Сегодня вечером я разместил заказ на OZON.ru, перешел к оплате и обнаружил сохраненную карту, чему я несколько удивился, т.к. обычно их нигде не сохраняю. Тем не менее, я ввёл CVV код и перешел к подтверждению платежа. Но push и смс от банка упорно не приходили. Я вернулся на шаг назад и понял, что OZON предлагает оплатить мой заказ неизвестной мне картой:
Я сразу же написал об этом в поддержку, где мне порекомендовали завершить все активные сессии, после чего карта действительно перестала появляться при попытке оплатить этот заказ. По мнению поддержки OZON этого достаточно, ведь
"В любой случае оплатить вы с неё не смогли бы, если это карта не ваша" и
"Если вы перезашли, всё в порядке. К вашем личному кабинету не должно быть доступа не у кого" (орфография сохранена):
В переписке с поддержкой я ещё сомневался, что карта могла принадлежать моей девушке, но сейчас я с уверенностью могу сказать, что это не та карта. Дополнительно это подтверждается тем, что push/sms уведомления не приходили на наши телефоны.
Со второй попытки, после повторного прохождения бота, мне удалось добиться того, что информацию передали "коллегам", после чего разговор вновь был прекращен.
Мои сообщения с предложением помощи в разборе ситуации были проигнорированы, а уровень обеспокоенности поддержки не давал никакой уверенности в том, что над проблемой действительно кто-то работает. Поэтому я решил опубликовать эту информацию.
Хочу задать OZON.ru несколько вопросов:
1) Каким образом получилось так, что в моём личном кабинете для оплаты предлагалась чужая банковская карта и, более того, подтверждение оплаты по ней уходило в банк? Насколько широко распространена эта проблема?
2) Считаете ли вы, что ваша поддержка адекватно реагирует на инциденты подобной серьезности?
Обновлено:
Из ответа @ozon следует что они, видимо, сейчас используют A/B систему предоставления платежных шлюзов. Моя транзакция попала на платежный шлюз Assist и он, в соответствии со старой логикой сохранения карт, выдал карту из своей системы*, а не системы OZON (в которой сохраненных карт нет).
Изначально я был уверен, что карта не моя, т.к. срок её действия не истёк, а номер не знаком. Но теперь я понимаю, что это была старая виртуальная карта, которая была аннулирована и поэтому формально по сроку выглядела действующей.
Спасибо @ozon, что разобрались с проблемой (но над поддержкой в контексте возможных инцидентов безопасности всё-таки стоило бы поработать).
*Тут следует заметить, как много существует мест, где хранятся данные ваших карт.
Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её. ред.
Я конечно не из Озона, но работаю программистом в интернет магазинах. Там вот много лет назад, была такая история, что покупателям магазина, подсовывались в корзину и в конечный заказ товары, которых они не заказывали. Это происходило очень редко, и было сложно быстро понять причину, как это возможно. Как выяснилось, уникальные хэш номера которые присваивались всем посетителям сайта, работали неправильно, и были не очень то уникальные, и могли раз в сто лет повторяться, при определенных событиях. -)) В результате новым покупателям, подтягивались данные от покупок старых покупателей плюс их собственные. Думаю, тут что-то в этом духе. Сотрудник когда зашел к вам в личный кабинет, не увидел никакой карты, так как не мог ее видеть. Для того чтобы ее увидеть, ему возможно нужно было иметь такие же cookie или данные сессии как у вас. Не думаю что вас кто-то ломал. Это просто глюк. И потом зачем взломщику, свою карту вставлять вместо вашей? -) По-моему логичнее было бы, чтобы оплачивали заказы вы со своей карты, а взломщик бы например менял адрес доставки. -) Тут хоть какой-то смысл бы появился. -)
Такое объяснение с такими же данными сессии выглядит наиболее правдоподобно. Я встречал аналогичный глюк с сайтом магазина Технопарк, когда открывая браузер с недавно сохранённой сессией в магазине вдруг ты оказывался в аккаунте другого человека с другими данными по выполненным заказам и прочему. Стоило перезалогиниться и всё становилось на свои места.
«Поддержка» озона обычно отвечает шаблонными сообщениями на отвали. Судя по всему цель рядовых сотрудников чата, просто поскорее завершить диалог, а разбор ситуации на уровне технических сложностей это вообще за гранью возможностей. Если клиента что-то не устроило, по разным причинам, тут они пустые извинения умеют профессионально сыпать и не скупятся на них, но какого-либо решения добиться тяжело. Не удивлён манерой общения «поддержки» озон - уже имел опыт. Интересно что ответят тут, но думаю ничего нового.
Никогда не устанавливайте на свой телефон неизвестное ПО, особенно по прямым ссылкам, вроде этой:
ОСТОРОЖНО, это хоть и экземпл, причем не самый свежий, но всё равно я бы советовал играться только на обнулённом устройстве, а лучше полностью изолированном эмуляторе
Я исходил из такого гипотетического сценария (который не подтвердился): OZON выкатил новую версию сайта и из-за ошибки пользователям выдавались чужие карты. Оплатить такой картой что-либо было бы, скорее всего, сложно, т.к. требуется ещё CVV код (хотя я и не уверен, что во всех случаях) и, по крайней мере, зачастую, подтверждение от банка. Но это мы говорим про взаимодействие обычного пользователя с сайтом через браузер. А что если эта ошибка вдобавок позволяла бы создать вручную особый запрос и скачать больше информации, чем видно обычному пользователю? И т.д. и т.п. Поэтому у меня не было идеи оставить это "как есть".
Последний раз я оплачивал заказ на OZON.ru 13 сентября. С тех пор, судя по сообщениям в почте, других входов в аккаунт не было. Заказов, соответственно, тоже.
Вход в аккаунт происходит по смс на номер телефона. Телефон Google Pixel с актуальными обновлениями. Кроме того, я намного серьезнее среднестатистического даже не пользователя, IT специалиста, отношусь к безопасности своих устройств. Так что всё это тоже выглядит весьма сомнительным.
@Николай Ж. здравствуйте!
Пожалуйста, пришлите нам в ЛС номер любого вашего заказа, чтобы мы могли найти аккаунт и изучить вашу ситуацию во всех деталях.
Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её. ред.
Статья обновлена в соответствии с ответом OZON.ru
" Тем не менее, я ввёл CVV код "
Т.е. CVV код автор знал :)
Ну, а если серьезно то тут все просто: озон при проведении оплаты передает в платежный шлюз Assist идентификатор клиента. И (по их требованим) ЛЮБОЙ успешный плаптеж приводил к тому что карта сохранялась. Вы не ослышались - любой т.к. они явно требовали от Assist не показывать галочку "сохранить карту" клиенту, а просто всегда сохранять.
А далее, когда клиент (с тем же ID) приходит снова платить, он видит карту которой он хоть раз успешно оплатил заказ в озоне.
При этом в последние пару лет озон активно уводит трафик с Assist-а. Т.е. шансов попасть на платежную страницу Assist у вас очень мало. Основоной трафик платежей Озон проводит через другие шлюзы.
И возможно автор дейстивтельно попал когда-то давно в схему озона "сохраняем втихую всегда) а потом очень долго не попадал на оплату через Assist.
И вот когда он снова попал - то тут и всплыла его давнишняя карта (которую он уже успел забыть).
Хотя возможен и другой вариант - Озон мог передать асисту чужой идентификатор клиента.....
Но в любом случае: вот эти: "закрыть на всех устройствах" это как по колесу постучать у машины.... просто с таким низким шансом попасть снова на Assist автору "повезло" повторно на него не попасть.
ЗЫ Если что, то я про то что написал, я знаю изнутри почти 10 лет в Assist проработал и только недавно оттуда ушел.
Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.
Для владельцев малого бизнеса к прочтению обязательно.
Прошлый дайджест мы целиком посвятили 180-летию Сбера, поэтому новостей накопилось много. Среди них — запуск сайта по распознаванию рукописей Петра I, большое обновление на платформе умного дома Sber и другие. Рассказываем всё самое интересное.
Пришёл срок замены карты, по сроку действия. Стоит сразу сказать, что на низовом видимом варианте сотрудники Сбера работают отлично. Всегда помогут, подскажут, доброжелательно и в целом приятно. Но когда работает та невидимая часть Сбера к которой не приедешь, увы начинаются проблемы.
А также сколько они стоят и почему выращивать их — неплохой бизнес.
На проблемы с доступом пользователи жалуются с начала декабря.
27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.
Её основатель ещё в нулевых говорил, что физический мир канет в прошлое, и завлёк в игру не только пользователей, но также бренды, политиков и СМИ. Какой он видит метавселенную, исходя из своего опыта, — в пересказе Time.
В преддверии Нового года мы решили порадовать своих настоящих и будущих партнеров — участников партнерской программы школ Skillfactory, Contented и Product LIVE. Это возможность получить денежный бонус и заодно увеличить прибыль от продажи наших курсов.
Первым делом хочу попросить прощения у всех граждан России. Благодаря моим действиям, описанным вкратце в этой статье, я получил некоторую сумму денег, которая иначе могла бы попасть в бюджет РФ. Но произошло это по вине сотрудников АО «Почта России». Учредителем и единственным акционером АО «Почта России» является Российская Федерация.