Сегодня вечером я разместил заказ на OZON.ru, перешел к оплате и обнаружил сохраненную карту, чему я несколько удивился, т.к. обычно их нигде не сохраняю. Тем не менее, я ввёл CVV код и перешел к подтверждению платежа. Но push и смс от банка упорно не приходили. Я вернулся на шаг назад и понял, что OZON предлагает оплатить мой заказ неизвестной мне картой:
Я сразу же написал об этом в поддержку, где мне порекомендовали завершить все активные сессии, после чего карта действительно перестала появляться при попытке оплатить этот заказ. По мнению поддержки OZON этого достаточно, ведь
"В любой случае оплатить вы с неё не смогли бы, если это карта не ваша" и
"Если вы перезашли, всё в порядке. К вашем личному кабинету не должно быть доступа не у кого" (орфография сохранена):
В переписке с поддержкой я ещё сомневался, что карта могла принадлежать моей девушке, но сейчас я с уверенностью могу сказать, что это не та карта. Дополнительно это подтверждается тем, что push/sms уведомления не приходили на наши телефоны.
Со второй попытки, после повторного прохождения бота, мне удалось добиться того, что информацию передали "коллегам", после чего разговор вновь был прекращен.
Мои сообщения с предложением помощи в разборе ситуации были проигнорированы, а уровень обеспокоенности поддержки не давал никакой уверенности в том, что над проблемой действительно кто-то работает. Поэтому я решил опубликовать эту информацию.
Хочу задать OZON.ru несколько вопросов:
1) Каким образом получилось так, что в моём личном кабинете для оплаты предлагалась чужая банковская карта и, более того, подтверждение оплаты по ней уходило в банк? Насколько широко распространена эта проблема?
2) Считаете ли вы, что ваша поддержка адекватно реагирует на инциденты подобной серьезности?
Обновлено:
Из ответа @ozon следует что они, видимо, сейчас используют A/B систему предоставления платежных шлюзов. Моя транзакция попала на платежный шлюз Assist и он, в соответствии со старой логикой сохранения карт, выдал карту из своей системы*, а не системы OZON (в которой сохраненных карт нет).
Изначально я был уверен, что карта не моя, т.к. срок её действия не истёк, а номер не знаком. Но теперь я понимаю, что это была старая виртуальная карта, которая была аннулирована и поэтому формально по сроку выглядела действующей.
Спасибо @ozon, что разобрались с проблемой (но над поддержкой в контексте возможных инцидентов безопасности всё-таки стоило бы поработать).
*Тут следует заметить, как много существует мест, где хранятся данные ваших карт.
Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её.
Я вижу что эта карта Тинькофф, и советую вам обратиться туда для того чтобы узнать не оформлен ли на вас кредит о котором вы не знаете случайно
Но если она сохранилась значит оплата по ней произошла в системе озон, и вам должен был на электронную почту прийти чек от заказа по ней. Дальше дело техники узнать у озон когда и скокого устройства производилась оплата, главное в этом деле не выйти на себя
А что за леденцы Тиньков тут раздает на пососать? Тапнул плюсик под комментом - и оно вылезло...
Есть варик что ломанули акк чтоб заказать с ворованной карты. Посмотри историю заказов и адресов доставки через поддержку. Может подменяли адрес получения чтоб самим забрать. Сохраняется эта инфа локально или ее можно чистить? У озона то должна храниться
Я конечно не из Озона, но работаю программистом в интернет магазинах. Там вот много лет назад, была такая история, что покупателям магазина, подсовывались в корзину и в конечный заказ товары, которых они не заказывали. Это происходило очень редко, и было сложно быстро понять причину, как это возможно. Как выяснилось, уникальные хэш номера которые присваивались всем посетителям сайта, работали неправильно, и были не очень то уникальные, и могли раз в сто лет повторяться, при определенных событиях. -)) В результате новым покупателям, подтягивались данные от покупок старых покупателей плюс их собственные. Думаю, тут что-то в этом духе. Сотрудник когда зашел к вам в личный кабинет, не увидел никакой карты, так как не мог ее видеть. Для того чтобы ее увидеть, ему возможно нужно было иметь такие же cookie или данные сессии как у вас. Не думаю что вас кто-то ломал. Это просто глюк. И потом зачем взломщику, свою карту вставлять вместо вашей? -) По-моему логичнее было бы, чтобы оплачивали заказы вы со своей карты, а взломщик бы например менял адрес доставки. -) Тут хоть какой-то смысл бы появился. -)
Такое объяснение с такими же данными сессии выглядит наиболее правдоподобно. Я встречал аналогичный глюк с сайтом магазина Технопарк, когда открывая браузер с недавно сохранённой сессией в магазине вдруг ты оказывался в аккаунте другого человека с другими данными по выполненным заказам и прочему. Стоило перезалогиниться и всё становилось на свои места.
«Поддержка» озона обычно отвечает шаблонными сообщениями на отвали. Судя по всему цель рядовых сотрудников чата, просто поскорее завершить диалог, а разбор ситуации на уровне технических сложностей это вообще за гранью возможностей. Если клиента что-то не устроило, по разным причинам, тут они пустые извинения умеют профессионально сыпать и не скупятся на них, но какого-либо решения добиться тяжело. Не удивлён манерой общения «поддержки» озон - уже имел опыт. Интересно что ответят тут, но думаю ничего нового.
Ага у Озона у себя максимально бесполезная техподдержка, зато на vc и прочих пабликах реагируют нормально.
Нахуя так строить процесс, только репутацию себе портить и людей злить.
Всякое бывает, если нет заказов с этой картой, то смысл что то выяснять и тратить на это время..
Тем более вход по номеру телефона, но если там андроид и скачано всякое вирусное дерьмо, то не удивлюсь, что доступ был и у другого человека к аккаунту)
Про какие вирусы всегда на андроиде говорят ? Можно скачать их и потестить ?
У яблофанов другого видения противоположной стороны просто нет. У них на чип записано «андроид = вирусы». Вот и живут с этим, бедняги.
Никогда не устанавливайте на свой телефон неизвестное ПО, особенно по прямым ссылкам, вроде этой:
ОСТОРОЖНО, это хоть и экземпл, причем не самый свежий, но всё равно я бы советовал играться только на обнулённом устройстве, а лучше полностью изолированном эмуляторе
Я исходил из такого гипотетического сценария (который не подтвердился): OZON выкатил новую версию сайта и из-за ошибки пользователям выдавались чужие карты. Оплатить такой картой что-либо было бы, скорее всего, сложно, т.к. требуется ещё CVV код (хотя я и не уверен, что во всех случаях) и, по крайней мере, зачастую, подтверждение от банка. Но это мы говорим про взаимодействие обычного пользователя с сайтом через браузер. А что если эта ошибка вдобавок позволяла бы создать вручную особый запрос и скачать больше информации, чем видно обычному пользователю? И т.д. и т.п. Поэтому у меня не было идеи оставить это "как есть".
Последний раз я оплачивал заказ на OZON.ru 13 сентября. С тех пор, судя по сообщениям в почте, других входов в аккаунт не было. Заказов, соответственно, тоже.
Вход в аккаунт происходит по смс на номер телефона. Телефон Google Pixel с актуальными обновлениями. Кроме того, я намного серьезнее среднестатистического даже не пользователя, IT специалиста, отношусь к безопасности своих устройств. Так что всё это тоже выглядит весьма сомнительным.
Вы уже несколько раз пишите про отсутствие уведомлений на почте, проверьте историю заказов в личном кабинете Озон
Была похожая бага,правда на сайте Мвидео. Зарегал как то акк и спустя пару недель, что то искал себе в том замечательном магазине. Гляжу правым глазом, а профиль не мой, а какой то там Ольги Петровой... Причём Ольг (или Ольгов) в знакомых даже нет. Хотел залезть в профиль,но меня разлогинило.
@Николай Ж. здравствуйте!
Пожалуйста, пришлите нам в ЛС номер любого вашего заказа, чтобы мы могли найти аккаунт и изучить вашу ситуацию во всех деталях.
Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её.
Хорошо бы закрепить ответ Озона, а то не каждый все комменты прочитает, а осадок останется...
А вот тут я пожалел, что компаниям отключили рейтинг в этом разделе. В данном случае очень даже подробно разобрались и устранили все сомнения. А плюсануть ответ не даёт. Ну хотя бы чтобы другие представители компаний понимали, что вот так — правильно.
Вы конечно не магазин, а дно какое-то.
Понятно теперь как вы относитесь к персональным данным своих клиентов
Скорее всего платил через Гугл Пэй, вот он и запомнил виртуалку гугловскую, это же элементарно)
" Тем не менее, я ввёл CVV код "
Т.е. CVV код автор знал :)
Ну, а если серьезно то тут все просто: озон при проведении оплаты передает в платежный шлюз Assist идентификатор клиента. И (по их требованим) ЛЮБОЙ успешный плаптеж приводил к тому что карта сохранялась. Вы не ослышались - любой т.к. они явно требовали от Assist не показывать галочку "сохранить карту" клиенту, а просто всегда сохранять.
А далее, когда клиент (с тем же ID) приходит снова платить, он видит карту которой он хоть раз успешно оплатил заказ в озоне.
При этом в последние пару лет озон активно уводит трафик с Assist-а. Т.е. шансов попасть на платежную страницу Assist у вас очень мало. Основоной трафик платежей Озон проводит через другие шлюзы.
И возможно автор дейстивтельно попал когда-то давно в схему озона "сохраняем втихую всегда) а потом очень долго не попадал на оплату через Assist.
И вот когда он снова попал - то тут и всплыла его давнишняя карта (которую он уже успел забыть).
Хотя возможен и другой вариант - Озон мог передать асисту чужой идентификатор клиента.....
Но в любом случае: вот эти: "закрыть на всех устройствах" это как по колесу постучать у машины.... просто с таким низким шансом попасть снова на Assist автору "повезло" повторно на него не попасть.
ЗЫ Если что, то я про то что написал, я знаю изнутри почти 10 лет в Assist проработал и только недавно оттуда ушел.
Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.
Как изменился «AliExpress Россия»: рассказывают «старички» маркетплейса.
Решение по делу вынесли в сентябре 2021 года, но пока оно не вступило в силу — его оспаривают обе компании.
Ковидные ограничения стали испытанием для мобильных операторов, которые недополучили доход от роуминга в 2020 году. В Yota в 2020 году выручка от роуминга сократилась в два раза по сравнению с 2019 годом.
Команда проекта предложила вернуть деньги за награду — но им пока не ответили.
Делимся кейсом: как найти свою аудиторию в TikTok и зачем это нужно крупной ИТ-компании.
Три из них можно будет посмотреть уже весной 2022 года.
Всем привет! Удивительная История о том как микрофинансовая организация выдала заем 22 тысячи рублей, взыскала с заемщика почти 100 т.р., затем пыталась взыскать еще 237 т.р., а в итоге осталась ни с чем. История о любви, предательстве, жадности и судах.
В прошлом году я стал операционным директором офиса компании Promwad в Иннополисе и оказался единственным сотрудником, который исходно жил в этом городе. Остальные приезжали из других городов России. Поэтому мне часто приходилось делиться с новичками своим опытом трех лет жизни и работы в Иннополисе. В итоге я решил собрать свои заметки про плюсы…