{"id":11170,"title":"\u041a\u0430\u043a \u0437\u0430\u043c\u043e\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438\u0433\u0440\u043e\u043a\u043e\u0432 \u0442\u0440\u0430\u0442\u0438\u0442\u044c \u0434\u0435\u043d\u044c\u0433\u0438","url":"\/redirect?component=advertising&id=11170&url=https:\/\/vc.ru\/promo\/341559-korotko-uvelichit-prodazhi-cherez-sobstvennoe-prilozhenie&placeBit=1&hash=7a5df0ef2aad1850664a44a9e406536cb9a26738c002b57db0ec8a963322865f","isPaidAndBannersEnabled":false}

История с появлением "чужой" карты при оплате заказа на OZON.ru

Сегодня вечером я разместил заказ на OZON.ru, перешел к оплате и обнаружил сохраненную карту, чему я несколько удивился, т.к. обычно их нигде не сохраняю. Тем не менее, я ввёл CVV код и перешел к подтверждению платежа. Но push и смс от банка упорно не приходили. Я вернулся на шаг назад и понял, что OZON предлагает оплатить мой заказ неизвестной мне картой:

Я сразу же написал об этом в поддержку, где мне порекомендовали завершить все активные сессии, после чего карта действительно перестала появляться при попытке оплатить этот заказ. По мнению поддержки OZON этого достаточно, ведь
"В любой случае оплатить вы с неё не смогли бы, если это карта не ваша" и
"Если вы перезашли, всё в порядке. К вашем личному кабинету не должно быть доступа не у кого" (орфография сохранена):

В переписке с поддержкой я ещё сомневался, что карта могла принадлежать моей девушке, но сейчас я с уверенностью могу сказать, что это не та карта. Дополнительно это подтверждается тем, что push/sms уведомления не приходили на наши телефоны.

Со второй попытки, после повторного прохождения бота, мне удалось добиться того, что информацию передали "коллегам", после чего разговор вновь был прекращен.

Мои сообщения с предложением помощи в разборе ситуации были проигнорированы, а уровень обеспокоенности поддержки не давал никакой уверенности в том, что над проблемой действительно кто-то работает. Поэтому я решил опубликовать эту информацию.

Хочу задать OZON.ru несколько вопросов:

1) Каким образом получилось так, что в моём личном кабинете для оплаты предлагалась чужая банковская карта и, более того, подтверждение оплаты по ней уходило в банк? Насколько широко распространена эта проблема?

2) Считаете ли вы, что ваша поддержка адекватно реагирует на инциденты подобной серьезности?

Обновлено:

Из ответа @ozon следует что они, видимо, сейчас используют A/B систему предоставления платежных шлюзов. Моя транзакция попала на платежный шлюз Assist и он, в соответствии со старой логикой сохранения карт, выдал карту из своей системы*, а не системы OZON (в которой сохраненных карт нет).
Изначально я был уверен, что карта не моя, т.к. срок её действия не истёк, а номер не знаком. Но теперь я понимаю, что это была старая виртуальная карта, которая была аннулирована и поэтому формально по сроку выглядела действующей.

Спасибо @ozon, что разобрались с проблемой (но над поддержкой в контексте возможных инцидентов безопасности всё-таки стоило бы поработать).

*Тут следует заметить, как много существует мест, где хранятся данные ваших карт.

0
47 комментариев
Популярные
По порядку
Написать комментарий...
Ozon

Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её.

Ответить
Развернуть ветку
Сергей Масютин

Напишите сюда данные карты, думаю народ здесь разберётся чья эта карта

Ответить
48
Развернуть ветку
Иной бинокль

У меня есть только те, что видны на скриншоте: последние 4 цифры и срок действия.

Ответить
4
Развернуть ветку
Сергей Масютин

Я вижу что эта карта Тинькофф, и советую вам обратиться туда для того чтобы узнать не оформлен ли на вас кредит о котором вы не знаете случайно

Ответить
13
Развернуть ветку
Иной бинокль

С чего вы решили, что эта карта имеет ко мне какое-то отношение кроме того, что она отобразилась в моём личном кабинете на OZON.ru? На ней не отображается моё имя, она просто предлагалась для оплаты.

Ответить
1
Развернуть ветку
Сергей Масютин

Но если она сохранилась значит оплата по ней произошла в системе озон, и вам должен был на электронную почту прийти чек от заказа по ней. Дальше дело техники узнать у озон когда и скокого устройства производилась оплата, главное в этом деле не выйти на себя

Ответить
1
Развернуть ветку
Иной бинокль

Она не сохранилась. Оператор поддержки сама подтвердила, что сохренённых карт в моём аккаунте нет. Что ещё раз намекает на баг. И с чего вы решили, что ранее с этой картой что-то происходило в моём аккаунте?
Вы делаете очень странные выводы.

Ответить
4
Развернуть ветку
Artem Petrenkov

Это могла быть карта, привязанная к другому пользователю.

Ответить
0
Развернуть ветку
Mr Yellow

зашел сюда ха таким комментарием )

Ответить
1
Развернуть ветку
Сергей Д.

А что за леденцы Тиньков тут раздает на пососать? Тапнул плюсик под комментом - и оно вылезло...

Ответить
13
Развернуть ветку
ur spam

Пососите потом спросите.

Ответить
9
Развернуть ветку
Миха

"Рачки"

Ответить
3
Развернуть ветку
Arty Cool

Есть варик что ломанули акк чтоб заказать с ворованной карты. Посмотри историю заказов и адресов доставки через поддержку. Может подменяли адрес получения чтоб самим забрать. Сохраняется эта инфа локально или ее можно чистить? У озона то должна храниться

Ответить
4
Развернуть ветку
Иной бинокль

Выше отвечал, что неизвестных мне входов в аккаунт и заказов, судя по уведомлениям на почту, не было.

Ответить
0
Развернуть ветку
Иной бинокль

Я конечно не из Озона, но работаю программистом в интернет магазинах. Там вот много лет назад, была такая история, что покупателям магазина, подсовывались в корзину и в конечный заказ товары, которых они не заказывали. Это происходило очень редко, и было сложно быстро понять причину, как это возможно. Как выяснилось, уникальные хэш номера которые присваивались всем посетителям сайта, работали неправильно, и были не очень то уникальные, и могли раз в сто лет повторяться, при определенных событиях. -)) В результате новым покупателям, подтягивались данные от покупок старых покупателей плюс их собственные. Думаю, тут что-то в этом духе. Сотрудник когда зашел к вам в личный кабинет, не увидел никакой карты, так как не мог ее видеть. Для того чтобы ее увидеть, ему возможно нужно было иметь такие же cookie или данные сессии как у вас. Не думаю что вас кто-то ломал. Это просто глюк. И потом зачем взломщику, свою карту вставлять вместо вашей? -) По-моему логичнее было бы, чтобы оплачивали заказы вы со своей карты, а взломщик бы например менял адрес доставки. -) Тут хоть какой-то смысл бы появился. -)

Ответить
40
Развернуть ветку
Иной бинокль

Возможно, я не совсем ясно описал в посте, но у меня и не было мыслей о том, что кто-то взломал аккаунт, это были идеи подержки и комментаторов. Мои предположения изначально были об ошибке на сайте и я полность согласен в сами в том, что подобный взлом выглядит весьма бессмысленным.

Ответить
1
Развернуть ветку
Alexey Smith

Такое объяснение с такими же данными сессии выглядит наиболее правдоподобно. Я встречал аналогичный глюк с сайтом магазина Технопарк, когда открывая браузер с недавно сохранённой сессией в магазине вдруг ты оказывался в аккаунте другого человека с другими данными по выполненным заказам и прочему. Стоило перезалогиниться и всё становилось на свои места.

Ответить
1
Развернуть ветку
Влад Владов

«Поддержка» озона обычно отвечает шаблонными сообщениями на отвали. Судя по всему цель рядовых сотрудников чата, просто поскорее завершить диалог, а разбор ситуации на уровне технических сложностей это вообще за гранью возможностей. Если клиента что-то не устроило, по разным причинам, тут они пустые извинения умеют профессионально сыпать и не скупятся на них, но какого-либо решения добиться тяжело. Не удивлён манерой общения «поддержки» озон - уже имел опыт. Интересно что ответят тут, но думаю ничего нового.

Ответить
4
Развернуть ветку
Arty Cool

Ага у Озона у себя максимально бесполезная техподдержка, зато на vc и прочих пабликах реагируют нормально.
Нахуя так строить процесс, только репутацию себе портить и людей злить.

Ответить
4
Развернуть ветку
FRENDLY FAIR

Всякое бывает, если нет заказов с этой картой, то смысл что то выяснять и тратить на это время..
Тем более вход по номеру телефона, но если там андроид и скачано всякое вирусное дерьмо, то не удивлюсь, что доступ был и у другого человека к аккаунту)

Ответить
–6
Развернуть ветку
Последний Шанс

Про какие вирусы всегда на андроиде говорят ? Можно скачать их и потестить ?

Ответить
7
Развернуть ветку
Ledneva Elena

У яблофанов другого видения противоположной стороны просто нет. У них на чип записано «андроид = вирусы». Вот и живут с этим, бедняги.

Ответить
12
Развернуть ветку
Сергей Крашевич

Никогда не устанавливайте на свой телефон неизвестное ПО, особенно по прямым ссылкам, вроде этой:

https://гитхаб-ком/geeksonsecurity/android-overlay-malware-example/releases/download/v1.1/android-overlay-malware-example-1_1.apk

ОСТОРОЖНО, это хоть и экземпл, причем не самый свежий, но всё равно я бы советовал играться только на обнулённом устройстве, а лучше полностью изолированном эмуляторе

Ответить
0
Развернуть ветку
Александр Королёв

А как-же ломаные приложения с 4пда

Ответить
2
Развернуть ветку
Иной бинокль

Я исходил из такого гипотетического сценария (который не подтвердился): OZON выкатил новую версию сайта и из-за ошибки пользователям выдавались чужие карты. Оплатить такой картой что-либо было бы, скорее всего, сложно, т.к. требуется ещё CVV код (хотя я и не уверен, что во всех случаях) и, по крайней мере, зачастую, подтверждение от банка. Но это мы говорим про взаимодействие обычного пользователя с сайтом через браузер. А что если эта ошибка вдобавок позволяла бы создать вручную особый запрос и скачать больше информации, чем видно обычному пользователю? И т.д. и т.п. Поэтому у меня не было идеи оставить это "как есть".

Ответить
0
Развернуть ветку
Иной бинокль

А есть вероятность что кто то ваш аккаунт взломали и пытались чужой картой оплатить что-то? Посмотрите историю заказов.

Ответить
1
Развернуть ветку
Иной бинокль

Последний раз я оплачивал заказ на OZON.ru 13 сентября. С тех пор, судя по сообщениям в почте, других входов в аккаунт не было. Заказов, соответственно, тоже.
Вход в аккаунт происходит по смс на номер телефона. Телефон Google Pixel с актуальными обновлениями. Кроме того, я намного серьезнее среднестатистического даже не пользователя, IT специалиста, отношусь к безопасности своих устройств. Так что всё это тоже выглядит весьма сомнительным.

Ответить
1
Развернуть ветку
Игорь Лаврентьев

Вы уже несколько раз пишите про отсутствие уведомлений на почте, проверьте историю заказов в личном кабинете Озон

Ответить
5
Развернуть ветку
Иной бинокль

Т.е. вы думаете мне и почту взломали и почистили? :) Там двухфакторка. Феерический взлом с такой странной потенциальной выгодой получился бы.
В истории заказов на ozon тоже смотрел. А вот истории входов и списка активных сессий на самом сайте, почему-то, нет.

Ответить
0
Развернуть ветку
Джон Сильвер

Была похожая бага,правда на сайте Мвидео. Зарегал как то акк и спустя пару недель, что то искал себе в том замечательном магазине. Гляжу правым глазом, а профиль не мой, а какой то там Ольги Петровой... Причём Ольг (или Ольгов) в знакомых даже нет. Хотел залезть в профиль,но меня разлогинило.

Ответить
1
Развернуть ветку
Ozon

@Николай Ж. здравствуйте!
Пожалуйста, пришлите нам в ЛС номер любого вашего заказа, чтобы мы могли найти аккаунт и изучить вашу ситуацию во всех деталях.

Ответить
0
Развернуть ветку
Иной бинокль

Отправил.

Ответить
0
Развернуть ветку
Ozon

Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её.

Ответить
0
Развернуть ветку
Иной бинокль

Спасибо, что разобрались и здорово, что всё оказалось не так серьезно. Вероятно, это была старая виртуальная карта, которая была аннулирована, поэтому формальный срок её действия ещё не истёк, хоть она уже давно и недействительна. Думаю, её стоит удалить. Я отредактирую пост.

Ответить
4
Развернуть ветку
Alexey Kuznetsov

Хорошо бы закрепить ответ Озона, а то не каждый все комменты прочитает, а осадок останется...

Ответить
2
Развернуть ветку
Иной бинокль

Я обновил статью и опубликовал свой ответ со ссылкой на комментарий озона, но... я не могу понять как на vc.ru можно закрепить ответ :) Гугл не помог.

Ответить
0
Развернуть ветку
MrMike3112 .

А вот тут я пожалел, что компаниям отключили рейтинг в этом разделе. В данном случае очень даже подробно разобрались и устранили все сомнения. А плюсануть ответ не даёт. Ну хотя бы чтобы другие представители компаний понимали, что вот так — правильно.

Ответить
2
Развернуть ветку
Иной бинокль

А я удивлялся куда мой плюс пропал, вот оно что.

Ответить
0
Развернуть ветку
Serge Vladimirovich

Вы конечно не магазин, а дно какое-то.
Понятно теперь как вы относитесь к персональным данным своих клиентов

Ответить
1
Развернуть ветку
Ozon

@Инспектор закрепите наш расширенный комментарий, пожалуйста

Ответить
0
Развернуть ветку
Иной бинокль

Аккаунт старый на озоне или новорег?

Ответить
0
Развернуть ветку
Иной бинокль

Старый, с 2018 года.

Ответить
0
Развернуть ветку
Лунный Гонщик

Просто кабинет ломали

Ответить
0
Развернуть ветку
UNISON

Захватывающая история!

Ответить
0
Развернуть ветку
Надежда Карпова

Скорее всего платил через Гугл Пэй, вот он и запомнил виртуалку гугловскую, это же элементарно)

Ответить
0
Развернуть ветку
Dmitriy Kulagin

" Тем не менее, я ввёл CVV код "

Т.е. CVV код автор знал :)

Ну, а если серьезно то тут все просто: озон при проведении оплаты передает в платежный шлюз Assist идентификатор клиента. И (по их требованим) ЛЮБОЙ успешный плаптеж приводил к тому что карта сохранялась. Вы не ослышались - любой т.к. они явно требовали от Assist не показывать галочку "сохранить карту" клиенту, а просто всегда сохранять.
А далее, когда клиент (с тем же ID) приходит снова платить, он видит карту которой он хоть раз успешно оплатил заказ в озоне.
При этом в последние пару лет озон активно уводит трафик с Assist-а. Т.е. шансов попасть на платежную страницу Assist у вас очень мало. Основоной трафик платежей Озон проводит через другие шлюзы.
И возможно автор дейстивтельно попал когда-то давно в схему озона "сохраняем втихую всегда) а потом очень долго не попадал на оплату через Assist.
И вот когда он снова попал - то тут и всплыла его давнишняя карта (которую он уже успел забыть).

Хотя возможен и другой вариант - Озон мог передать асисту чужой идентификатор клиента.....

Но в любом случае: вот эти: "закрыть на всех устройствах" это как по колесу постучать у машины.... просто с таким низким шансом попасть снова на Assist автору "повезло" повторно на него не попасть.

ЗЫ Если что, то я про то что написал, я знаю изнутри почти 10 лет в Assist проработал и только недавно оттуда ушел.

Ответить
0
Развернуть ветку
Иной бинокль

Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.

Ответить
0
Развернуть ветку
Читать все 47 комментариев
Ozon запустил сервис Ozon Profit — в нём можно заработать на выполнении простых задач для маркетплейса Статьи редакции

За 4-6 часов работы в день — около 20 тысяч рублей в месяц.

Apple отчиталась о рекордной выручке в $123,9 млрд за квартал Статьи редакции

Больше половины принесли продажи iPhone.

Кейс: запустить шрифт для дислексиков и увеличить количество скачиваний приложения на 70%

Зачем — рассказывают дизайнер, логопед и агентство.

Озон больше месяца не публикует негативный отзыв
Как оценивать дизайн: Метод 3К, ч. 1

Раскладываем процесс оценки разрабатываемого дизайна на систему вопросов.

Я запарился перебирать онлайн-кинотеатры и создал агрегатор «Кино.Вино»

Есть такая проблема в век официальных/модных/современных (нужное подчеркнуть) онлайн-кинотеатров — их стало много, а выбрать где смотреть, да ещё и по более выгодной цене когда контент платный, занятие утомляющее.

Ozon добавил данные Росаккредитации уже в 1 млн товарных карточек: найти их непросто

Это значит, что маркетплейс и ведомство уже успели обменяться данными 1 000 000 товаров, сопоставить эти позиции с документами в базах Росаккредитации и подтвердить их безопасность. На страницах этих товаров теперь есть соответствующая пометка.

Почему отключение SWIFT не разрушит российскую банковскую систему, и чего действительно стоит бояться

С 2014 года мы слышим о возможном отключении России от системы SWIFT. В последние недели эти разговоры все чаще звучат в медиа и серьезно влияют на настроения в банковской среде. CBDO Банка 131 Анна Кузьмина рассказала, почему блокировка SWIFT в России не смертельный сценарий, и какие санкции против банков на самом деле вызывают беспокойство.

Московский акселератор – короткий путь к мечте!

У нас отличная новость: стартовала постакселерационная программа для участников треков AI Factory, T&M, Digital health, ArchTech. И он отличается от тех постакселераторов, какие были до этого. Чем? Сейчас расскажем.

Минфин, ФСБ, Минцифры и другие ведомства согласовали план по регулированию криптовалют до конца 2022 года — РБК Статьи редакции

Его не поддержал только ЦБ.

ЦБ выступил против предложений Минфина о регулировании криптовалют Статьи редакции

Подход Минфина угрожает появлением «параллельной финансовой системы», считает регулятор.

null