{"id":9208,"title":"\u0412 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445 \u043d\u0430 vc.ru \u043f\u043e\u044f\u0432\u0438\u043b\u0438\u0441\u044c \u0441\u0442\u0438\u043a\u0435\u0440\u044b","url":"\/redirect?component=advertising&id=9208&url=https:\/\/vc.ru\/promo\/326527-lyubite-rugat-servisy-vk-etot-tekst-dlya-vas&placeBit=1&hash=032d65c70fe5fc63c371cf935d9281ebe7529d9359ff65d7499233043c93d674","isPaidAndBannersEnabled":false}

История с появлением "чужой" карты при оплате заказа на OZON.ru

Сегодня вечером я разместил заказ на OZON.ru, перешел к оплате и обнаружил сохраненную карту, чему я несколько удивился, т.к. обычно их нигде не сохраняю. Тем не менее, я ввёл CVV код и перешел к подтверждению платежа. Но push и смс от банка упорно не приходили. Я вернулся на шаг назад и понял, что OZON предлагает оплатить мой заказ неизвестной мне картой:

Я сразу же написал об этом в поддержку, где мне порекомендовали завершить все активные сессии, после чего карта действительно перестала появляться при попытке оплатить этот заказ. По мнению поддержки OZON этого достаточно, ведь
"В любой случае оплатить вы с неё не смогли бы, если это карта не ваша" и
"Если вы перезашли, всё в порядке. К вашем личному кабинету не должно быть доступа не у кого" (орфография сохранена):

В переписке с поддержкой я ещё сомневался, что карта могла принадлежать моей девушке, но сейчас я с уверенностью могу сказать, что это не та карта. Дополнительно это подтверждается тем, что push/sms уведомления не приходили на наши телефоны.

Со второй попытки, после повторного прохождения бота, мне удалось добиться того, что информацию передали "коллегам", после чего разговор вновь был прекращен.

Мои сообщения с предложением помощи в разборе ситуации были проигнорированы, а уровень обеспокоенности поддержки не давал никакой уверенности в том, что над проблемой действительно кто-то работает. Поэтому я решил опубликовать эту информацию.

Хочу задать OZON.ru несколько вопросов:

1) Каким образом получилось так, что в моём личном кабинете для оплаты предлагалась чужая банковская карта и, более того, подтверждение оплаты по ней уходило в банк? Насколько широко распространена эта проблема?

2) Считаете ли вы, что ваша поддержка адекватно реагирует на инциденты подобной серьезности?

Обновлено:

Из ответа @ozon следует что они, видимо, сейчас используют A/B систему предоставления платежных шлюзов. Моя транзакция попала на платежный шлюз Assist и он, в соответствии со старой логикой сохранения карт, выдал карту из своей системы*, а не системы OZON (в которой сохраненных карт нет).
Изначально я был уверен, что карта не моя, т.к. срок её действия не истёк, а номер не знаком. Но теперь я понимаю, что это была старая виртуальная карта, которая была аннулирована и поэтому формально по сроку выглядела действующей.

Спасибо @ozon, что разобрались с проблемой (но над поддержкой в контексте возможных инцидентов безопасности всё-таки стоило бы поработать).

*Тут следует заметить, как много существует мест, где хранятся данные ваших карт.

0
47 комментариев
Популярные
По порядку
Написать комментарий...

Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её. ред.

Напишите сюда данные карты, думаю народ здесь разберётся чья эта карта

48
Террористический месяц

У меня есть только те, что видны на скриншоте: последние 4 цифры и срок действия.

4

Я вижу что эта карта Тинькофф, и советую вам обратиться туда для того чтобы узнать не оформлен ли на вас кредит о котором вы не знаете случайно

13
Террористический месяц

С чего вы решили, что эта карта имеет ко мне какое-то отношение кроме того, что она отобразилась в моём личном кабинете на OZON.ru? На ней не отображается моё имя, она просто предлагалась для оплаты.

1

Но если она сохранилась значит оплата по ней произошла в системе озон, и вам должен был на электронную почту прийти чек от заказа по ней. Дальше дело техники узнать у озон когда и скокого устройства производилась оплата, главное в этом деле не выйти на себя

1
Террористический месяц

Она не сохранилась. Оператор поддержки сама подтвердила, что сохренённых карт в моём аккаунте нет. Что ещё раз намекает на баг. И с чего вы решили, что ранее с этой картой что-то происходило в моём аккаунте?
Вы делаете очень странные выводы. ред.

4

Это могла быть карта, привязанная к другому пользователю.

0

зашел сюда ха таким комментарием )

1

А что за леденцы Тиньков тут раздает на пососать? Тапнул плюсик под комментом - и оно вылезло...

13

Пососите потом спросите.

9

"Рачки"

3

Есть варик что ломанули акк чтоб заказать с ворованной карты. Посмотри историю заказов и адресов доставки через поддержку. Может подменяли адрес получения чтоб самим забрать. Сохраняется эта инфа локально или ее можно чистить? У озона то должна храниться

4
Террористический месяц

Выше отвечал, что неизвестных мне входов в аккаунт и заказов, судя по уведомлениям на почту, не было.

0

Я конечно не из Озона, но работаю программистом в интернет магазинах. Там вот много лет назад, была такая история, что покупателям магазина, подсовывались в корзину и в конечный заказ товары, которых они не заказывали. Это происходило очень редко, и было сложно быстро понять причину, как это возможно. Как выяснилось, уникальные хэш номера которые присваивались всем посетителям сайта, работали неправильно, и были не очень то уникальные, и могли раз в сто лет повторяться, при определенных событиях. -)) В результате новым покупателям, подтягивались данные от покупок старых покупателей плюс их собственные. Думаю, тут что-то в этом духе. Сотрудник когда зашел к вам в личный кабинет, не увидел никакой карты, так как не мог ее видеть. Для того чтобы ее увидеть, ему возможно нужно было иметь такие же cookie или данные сессии как у вас. Не думаю что вас кто-то ломал. Это просто глюк. И потом зачем взломщику, свою карту вставлять вместо вашей? -) По-моему логичнее было бы, чтобы оплачивали заказы вы со своей карты, а взломщик бы например менял адрес доставки. -) Тут хоть какой-то смысл бы появился. -)

40
Террористический месяц

Возможно, я не совсем ясно описал в посте, но у меня и не было мыслей о том, что кто-то взломал аккаунт, это были идеи подержки и комментаторов. Мои предположения изначально были об ошибке на сайте и я полность согласен в сами в том, что подобный взлом выглядит весьма бессмысленным.

1

Такое объяснение с такими же данными сессии выглядит наиболее правдоподобно. Я встречал аналогичный глюк с сайтом магазина Технопарк, когда открывая браузер с недавно сохранённой сессией в магазине вдруг ты оказывался в аккаунте другого человека с другими данными по выполненным заказам и прочему. Стоило перезалогиниться и всё становилось на свои места.

1

«Поддержка» озона обычно отвечает шаблонными сообщениями на отвали. Судя по всему цель рядовых сотрудников чата, просто поскорее завершить диалог, а разбор ситуации на уровне технических сложностей это вообще за гранью возможностей. Если клиента что-то не устроило, по разным причинам, тут они пустые извинения умеют профессионально сыпать и не скупятся на них, но какого-либо решения добиться тяжело. Не удивлён манерой общения «поддержки» озон - уже имел опыт. Интересно что ответят тут, но думаю ничего нового.

4

Ага у Озона у себя максимально бесполезная техподдержка, зато на vc и прочих пабликах реагируют нормально.
Нахуя так строить процесс, только репутацию себе портить и людей злить.

4

Всякое бывает, если нет заказов с этой картой, то смысл что то выяснять и тратить на это время..
Тем более вход по номеру телефона, но если там андроид и скачано всякое вирусное дерьмо, то не удивлюсь, что доступ был и у другого человека к аккаунту)

–6

Про какие вирусы всегда на андроиде говорят ? Можно скачать их и потестить ?

7

У яблофанов другого видения противоположной стороны просто нет. У них на чип записано «андроид = вирусы». Вот и живут с этим, бедняги.

12

Никогда не устанавливайте на свой телефон неизвестное ПО, особенно по прямым ссылкам, вроде этой:

https://гитхаб-ком/geeksonsecurity/android-overlay-malware-example/releases/download/v1.1/android-overlay-malware-example-1_1.apk

ОСТОРОЖНО, это хоть и экземпл, причем не самый свежий, но всё равно я бы советовал играться только на обнулённом устройстве, а лучше полностью изолированном эмуляторе

0

А как-же ломаные приложения с 4пда

2
Террористический месяц

Я исходил из такого гипотетического сценария (который не подтвердился): OZON выкатил новую версию сайта и из-за ошибки пользователям выдавались чужие карты. Оплатить такой картой что-либо было бы, скорее всего, сложно, т.к. требуется ещё CVV код (хотя я и не уверен, что во всех случаях) и, по крайней мере, зачастую, подтверждение от банка. Но это мы говорим про взаимодействие обычного пользователя с сайтом через браузер. А что если эта ошибка вдобавок позволяла бы создать вручную особый запрос и скачать больше информации, чем видно обычному пользователю? И т.д. и т.п. Поэтому у меня не было идеи оставить это "как есть".

0
Террористический месяц

А есть вероятность что кто то ваш аккаунт взломали и пытались чужой картой оплатить что-то? Посмотрите историю заказов.

1
Террористический месяц

Последний раз я оплачивал заказ на OZON.ru 13 сентября. С тех пор, судя по сообщениям в почте, других входов в аккаунт не было. Заказов, соответственно, тоже.
Вход в аккаунт происходит по смс на номер телефона. Телефон Google Pixel с актуальными обновлениями. Кроме того, я намного серьезнее среднестатистического даже не пользователя, IT специалиста, отношусь к безопасности своих устройств. Так что всё это тоже выглядит весьма сомнительным.

1

Вы уже несколько раз пишите про отсутствие уведомлений на почте, проверьте историю заказов в личном кабинете Озон

5
Террористический месяц

Т.е. вы думаете мне и почту взломали и почистили? :) Там двухфакторка. Феерический взлом с такой странной потенциальной выгодой получился бы.
В истории заказов на ozon тоже смотрел. А вот истории входов и списка активных сессий на самом сайте, почему-то, нет.

0

Была похожая бага,правда на сайте Мвидео. Зарегал как то акк и спустя пару недель, что то искал себе в том замечательном магазине. Гляжу правым глазом, а профиль не мой, а какой то там Ольги Петровой... Причём Ольг (или Ольгов) в знакомых даже нет. Хотел залезть в профиль,но меня разлогинило.

1

@Николай Ж. здравствуйте!
Пожалуйста, пришлите нам в ЛС номер любого вашего заказа, чтобы мы могли найти аккаунт и изучить вашу ситуацию во всех деталях.

0
Террористический месяц

Отправил.

0

Николай, уточнили всю информацию и написали вам в ЛС, но продублируем тут.
Мы пользуемся услугами разных платёжных провайдеров и на вашем скриншоте с картой изображён один из них, который сейчас используется на минимальном количестве платежей - Assist.
Мы запросили у них информацию и узнали, что карта была сохранена на их стороне 31.08.2018 в 19:52, когда в вашем аккаунте был создан первый заказ. Также проверили сумму, всё полностью сходится.
Так как раньше работала другая логика сохранения карт и они сохранялись на стороне платёжного провайдера, на нашем сайте в разделе "Сохранённые карты" её не видно. Также при новой оплате скорее всего вы попадёте уже на форму оплаты другого платёжного провайдера и не увидите эту карту.
Если карту необходимо удалить, напишите нам, а мы свяжемся с партнёром и удалим её. ред.

0
Террористический месяц

Спасибо, что разобрались и здорово, что всё оказалось не так серьезно. Вероятно, это была старая виртуальная карта, которая была аннулирована, поэтому формальный срок её действия ещё не истёк, хоть она уже давно и недействительна. Думаю, её стоит удалить. Я отредактирую пост.

4

Хорошо бы закрепить ответ Озона, а то не каждый все комменты прочитает, а осадок останется...

2
Террористический месяц

Я обновил статью и опубликовал свой ответ со ссылкой на комментарий озона, но... я не могу понять как на vc.ru можно закрепить ответ :) Гугл не помог.

0

А вот тут я пожалел, что компаниям отключили рейтинг в этом разделе. В данном случае очень даже подробно разобрались и устранили все сомнения. А плюсануть ответ не даёт. Ну хотя бы чтобы другие представители компаний понимали, что вот так — правильно.

2
Террористический месяц

А я удивлялся куда мой плюс пропал, вот оно что.

0

Вы конечно не магазин, а дно какое-то.
Понятно теперь как вы относитесь к персональным данным своих клиентов

1

@Инспектор закрепите наш расширенный комментарий, пожалуйста

0
Террористический месяц

Аккаунт старый на озоне или новорег?

0
Террористический месяц

Старый, с 2018 года.

0

Просто кабинет ломали

0

Захватывающая история!

0

Скорее всего платил через Гугл Пэй, вот он и запомнил виртуалку гугловскую, это же элементарно)

0

" Тем не менее, я ввёл CVV код "

Т.е. CVV код автор знал :)

Ну, а если серьезно то тут все просто: озон при проведении оплаты передает в платежный шлюз Assist идентификатор клиента. И (по их требованим) ЛЮБОЙ успешный плаптеж приводил к тому что карта сохранялась. Вы не ослышались - любой т.к. они явно требовали от Assist не показывать галочку "сохранить карту" клиенту, а просто всегда сохранять.
А далее, когда клиент (с тем же ID) приходит снова платить, он видит карту которой он хоть раз успешно оплатил заказ в озоне.
При этом в последние пару лет озон активно уводит трафик с Assist-а. Т.е. шансов попасть на платежную страницу Assist у вас очень мало. Основоной трафик платежей Озон проводит через другие шлюзы.
И возможно автор дейстивтельно попал когда-то давно в схему озона "сохраняем втихую всегда) а потом очень долго не попадал на оплату через Assist.
И вот когда он снова попал - то тут и всплыла его давнишняя карта (которую он уже успел забыть).

Хотя возможен и другой вариант - Озон мог передать асисту чужой идентификатор клиента.....

Но в любом случае: вот эти: "закрыть на всех устройствах" это как по колесу постучать у машины.... просто с таким низким шансом попасть снова на Assist автору "повезло" повторно на него не попасть.

ЗЫ Если что, то я про то что написал, я знаю изнутри почти 10 лет в Assist проработал и только недавно оттуда ушел.

0
Террористический месяц

Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.

0
Читать все 47 комментариев
Дайджест новостей Сбера: сайт Digital Пётр, сценарии для умного дома и платина от Forbes

Прошлый дайджест мы целиком посвятили 180-летию Сбера, поэтому новостей накопилось много. Среди них — запуск сайта по распознаванию рукописей Петра I, большое обновление на платформе умного дома Sber и другие. Рассказываем всё самое интересное.

Картинка, сгенерированная ruDALL-E по запросу «рыжий котик»
Мой опыт общения с Почтой России

Первым делом хочу попросить прощения у всех граждан России. Благодаря моим действиям, описанным вкратце в этой статье, я получил некоторую сумму денег, которая иначе могла бы попасть в бюджет РФ. Но произошло это по вине сотрудников АО «Почта России». Учредителем и единственным акционером АО «Почта России» является Российская Федерация.

ИТ-специалисты сообщили о блокировке Tor в России Статьи редакции

На проблемы с доступом пользователи жалуются с начала декабря.

Чему создатели метавселенных могут поучиться у 3D-игры Second Life Статьи редакции

Её основатель ещё в нулевых говорил, что физический мир канет в прошлое, и завлёк в игру не только пользователей, но также бренды, политиков и СМИ. Какой он видит метавселенную, исходя из своего опыта, — в пересказе Time.

Кадр из игры Second Life SL Community
Продавец eBay из Кургана стала победителем в финале Всероссийского конкурса «Молодой предприниматель России 2021»

27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.

Сайты в 2021 году
И сотрудников тоже касается: кибербуллинг на рабочем месте
Design vector created by pikisuperstar - www.freepik.com
Tele2. Недоразумение со сменой тарифа

Моя бабушка пользуется тарифом без абонентской платы от Tele2. Недавно ей позвонили и предложили поменять тарифный план. Бабушка в этом ничего не понимает, но прекрасно понимает, что не стоит принимать решения, не посоветовавшись с детьми/внуками. Поэтому она, почти сразу,прервала разговор. На следующий день выяснилось, что с ее номера телефона…

От чтения мыслей до вторжения во сны: зачем исследуют сознание и чем это грозит Статьи редакции

Учёные научились считывать структуру фраз и даже визуальные образы из мыслей. Теперь они переживают, что компании внедрят в сны рекламу.

Откуда берут взрослые деревья для парков и улиц

А также сколько они стоят и почему выращивать их — неплохой бизнес.

Сбербанк компрометирует код CVC при выдаче карты

Пришёл срок замены карты, по сроку действия. Стоит сразу сказать, что на низовом видимом варианте сотрудники Сбера работают отлично. Всегда помогут, подскажут, доброжелательно и в целом приятно. Но когда работает та невидимая часть Сбера к которой не приедешь, увы начинаются проблемы.

null