Сегодня вечером я разместил заказ на OZON.ru, перешел к оплате и обнаружил сохраненную карту, чему я несколько удивился, т.к. обычно их нигде не сохраняю. Тем не менее, я ввёл CVV код и перешел к подтверждению платежа. Но push и смс от банка упорно не приходили. Я вернулся на шаг назад и понял, что OZON предлагает оплатить мой заказ неизвестной мне картой:
Я сразу же написал об этом в поддержку, где мне порекомендовали завершить все активные сессии, после чего карта действительно перестала появляться при попытке оплатить этот заказ. По мнению поддержки OZON этого достаточно, ведь
"В любой случае оплатить вы с неё не смогли бы, если это карта не ваша" и
"Если вы перезашли, всё в порядке. К вашем личному кабинету не должно быть доступа не у кого" (орфография сохранена):
В переписке с поддержкой я ещё сомневался, что карта могла принадлежать моей девушке, но сейчас я с уверенностью могу сказать, что это не та карта. Дополнительно это подтверждается тем, что push/sms уведомления не приходили на наши телефоны.
Со второй попытки, после повторного прохождения бота, мне удалось добиться того, что информацию передали "коллегам", после чего разговор вновь был прекращен.
Мои сообщения с предложением помощи в разборе ситуации были проигнорированы, а уровень обеспокоенности поддержки не давал никакой уверенности в том, что над проблемой действительно кто-то работает. Поэтому я решил опубликовать эту информацию.
Хочу задать OZON.ru несколько вопросов:
1) Каким образом получилось так, что в моём личном кабинете для оплаты предлагалась чужая банковская карта и, более того, подтверждение оплаты по ней уходило в банк? Насколько широко распространена эта проблема?
2) Считаете ли вы, что ваша поддержка адекватно реагирует на инциденты подобной серьезности?
Обновлено:
Из ответа @ozon следует что они, видимо, сейчас используют A/B систему предоставления платежных шлюзов. Моя транзакция попала на платежный шлюз Assist и он, в соответствии со старой логикой сохранения карт, выдал карту из своей системы*, а не системы OZON (в которой сохраненных карт нет).
Изначально я был уверен, что карта не моя, т.к. срок её действия не истёк, а номер не знаком. Но теперь я понимаю, что это была старая виртуальная карта, которая была аннулирована и поэтому формально по сроку выглядела действующей.
Спасибо @ozon, что разобрались с проблемой (но над поддержкой в контексте возможных инцидентов безопасности всё-таки стоило бы поработать).
*Тут следует заметить, как много существует мест, где хранятся данные ваших карт.
Есть варик что ломанули акк чтоб заказать с ворованной карты. Посмотри историю заказов и адресов доставки через поддержку. Может подменяли адрес получения чтоб самим забрать. Сохраняется эта инфа локально или ее можно чистить? У озона то должна храниться
Выше отвечал, что неизвестных мне входов в аккаунт и заказов, судя по уведомлениям на почту, не было.
Я конечно не из Озона, но работаю программистом в интернет магазинах. Там вот много лет назад, была такая история, что покупателям магазина, подсовывались в корзину и в конечный заказ товары, которых они не заказывали. Это происходило очень редко, и было сложно быстро понять причину, как это возможно. Как выяснилось, уникальные хэш номера которые присваивались всем посетителям сайта, работали неправильно, и были не очень то уникальные, и могли раз в сто лет повторяться, при определенных событиях. -)) В результате новым покупателям, подтягивались данные от покупок старых покупателей плюс их собственные. Думаю, тут что-то в этом духе. Сотрудник когда зашел к вам в личный кабинет, не увидел никакой карты, так как не мог ее видеть. Для того чтобы ее увидеть, ему возможно нужно было иметь такие же cookie или данные сессии как у вас. Не думаю что вас кто-то ломал. Это просто глюк. И потом зачем взломщику, свою карту вставлять вместо вашей? -) По-моему логичнее было бы, чтобы оплачивали заказы вы со своей карты, а взломщик бы например менял адрес доставки. -) Тут хоть какой-то смысл бы появился. -)
Такое объяснение с такими же данными сессии выглядит наиболее правдоподобно. Я встречал аналогичный глюк с сайтом магазина Технопарк, когда открывая браузер с недавно сохранённой сессией в магазине вдруг ты оказывался в аккаунте другого человека с другими данными по выполненным заказам и прочему. Стоило перезалогиниться и всё становилось на свои места.