{"id":14262,"url":"\/distributions\/14262\/click?bit=1&hash=8ff33b918bfe3f5206b0198c93dd25bdafcdc76b2eaa61d9664863bd76247e56","title":"\u041f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u0435 \u041c\u043e\u0441\u043a\u0432\u0435 \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u044e \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0435 \u0434\u043e 1,5 \u043c\u043b\u043d \u0440\u0443\u0431\u043b\u0435\u0439","buttonText":"\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435","imageUuid":"726c984a-5b07-5c75-81f7-6664571134e6"}

История с появлением "чужой" карты при оплате заказа на OZON.ru

Сегодня вечером я разместил заказ на OZON.ru, перешел к оплате и обнаружил сохраненную карту, чему я несколько удивился, т.к. обычно их нигде не сохраняю. Тем не менее, я ввёл CVV код и перешел к подтверждению платежа. Но push и смс от банка упорно не приходили. Я вернулся на шаг назад и понял, что OZON предлагает оплатить мой заказ неизвестной мне картой:

Я сразу же написал об этом в поддержку, где мне порекомендовали завершить все активные сессии, после чего карта действительно перестала появляться при попытке оплатить этот заказ. По мнению поддержки OZON этого достаточно, ведь
"В любой случае оплатить вы с неё не смогли бы, если это карта не ваша" и
"Если вы перезашли, всё в порядке. К вашем личному кабинету не должно быть доступа не у кого" (орфография сохранена):

В переписке с поддержкой я ещё сомневался, что карта могла принадлежать моей девушке, но сейчас я с уверенностью могу сказать, что это не та карта. Дополнительно это подтверждается тем, что push/sms уведомления не приходили на наши телефоны.

Со второй попытки, после повторного прохождения бота, мне удалось добиться того, что информацию передали "коллегам", после чего разговор вновь был прекращен.

Мои сообщения с предложением помощи в разборе ситуации были проигнорированы, а уровень обеспокоенности поддержки не давал никакой уверенности в том, что над проблемой действительно кто-то работает. Поэтому я решил опубликовать эту информацию.

Хочу задать OZON.ru несколько вопросов:

1) Каким образом получилось так, что в моём личном кабинете для оплаты предлагалась чужая банковская карта и, более того, подтверждение оплаты по ней уходило в банк? Насколько широко распространена эта проблема?

2) Считаете ли вы, что ваша поддержка адекватно реагирует на инциденты подобной серьезности?

Обновлено:

Из ответа @ozon следует что они, видимо, сейчас используют A/B систему предоставления платежных шлюзов. Моя транзакция попала на платежный шлюз Assist и он, в соответствии со старой логикой сохранения карт, выдал карту из своей системы*, а не системы OZON (в которой сохраненных карт нет).
Изначально я был уверен, что карта не моя, т.к. срок её действия не истёк, а номер не знаком. Но теперь я понимаю, что это была старая виртуальная карта, которая была аннулирована и поэтому формально по сроку выглядела действующей.

Спасибо @ozon, что разобрались с проблемой (но над поддержкой в контексте возможных инцидентов безопасности всё-таки стоило бы поработать).

*Тут следует заметить, как много существует мест, где хранятся данные ваших карт.

0
58 комментариев
Написать комментарий...
Сергей Масютин

Напишите сюда данные карты, думаю народ здесь разберётся чья эта карта

Ответить
Развернуть ветку
Николай Ж.
Автор

У меня есть только те, что видны на скриншоте: последние 4 цифры и срок действия.

Ответить
Развернуть ветку
5 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Сергей Д.

А что за леденцы Тиньков тут раздает на пососать? Тапнул плюсик под комментом - и оно вылезло...

Ответить
Развернуть ветку
Борат Язь

Пососите потом спросите.

Ответить
Развернуть ветку
Миха

"Рачки"

Ответить
Развернуть ветку
Arty Cool

Есть варик что ломанули акк чтоб заказать с ворованной карты. Посмотри историю заказов и адресов доставки через поддержку. Может подменяли адрес получения чтоб самим забрать. Сохраняется эта инфа локально или ее можно чистить? У озона то должна храниться

Ответить
Развернуть ветку
Николай Ж.
Автор

Выше отвечал, что неизвестных мне входов в аккаунт и заказов, судя по уведомлениям на почту, не было.

Ответить
Развернуть ветку
3 комментария
Влад Владов

«Поддержка» озона обычно отвечает шаблонными сообщениями на отвали. Судя по всему цель рядовых сотрудников чата, просто поскорее завершить диалог, а разбор ситуации на уровне технических сложностей это вообще за гранью возможностей. Если клиента что-то не устроило, по разным причинам, тут они пустые извинения умеют профессионально сыпать и не скупятся на них, но какого-либо решения добиться тяжело. Не удивлён манерой общения «поддержки» озон - уже имел опыт. Интересно что ответят тут, но думаю ничего нового.

Ответить
Развернуть ветку
Arty Cool

Ага у Озона у себя максимально бесполезная техподдержка, зато на vc и прочих пабликах реагируют нормально.
Нахуя так строить процесс, только репутацию себе портить и людей злить.

Ответить
Развернуть ветку
FRIENDLY FIRE

Всякое бывает, если нет заказов с этой картой, то смысл что то выяснять и тратить на это время..
Тем более вход по номеру телефона, но если там андроид и скачано всякое вирусное дерьмо, то не удивлюсь, что доступ был и у другого человека к аккаунту)

Ответить
Развернуть ветку
Последний Шанс

Про какие вирусы всегда на андроиде говорят ? Можно скачать их и потестить ?

Ответить
Развернуть ветку
3 комментария
Николай Ж.
Автор

Я исходил из такого гипотетического сценария (который не подтвердился): OZON выкатил новую версию сайта и из-за ошибки пользователям выдавались чужие карты. Оплатить такой картой что-либо было бы, скорее всего, сложно, т.к. требуется ещё CVV код (хотя я и не уверен, что во всех случаях) и, по крайней мере, зачастую, подтверждение от банка. Но это мы говорим про взаимодействие обычного пользователя с сайтом через браузер. А что если эта ошибка вдобавок позволяла бы создать вручную особый запрос и скачать больше информации, чем видно обычному пользователю? И т.д. и т.п. Поэтому у меня не было идеи оставить это "как есть".

Ответить
Развернуть ветку
Игорь

А есть вероятность что кто то ваш аккаунт взломали и пытались чужой картой оплатить что-то? Посмотрите историю заказов.

Ответить
Развернуть ветку
Николай Ж.
Автор

Последний раз я оплачивал заказ на OZON.ru 13 сентября. С тех пор, судя по сообщениям в почте, других входов в аккаунт не было. Заказов, соответственно, тоже.
Вход в аккаунт происходит по смс на номер телефона. Телефон Google Pixel с актуальными обновлениями. Кроме того, я намного серьезнее среднестатистического даже не пользователя, IT специалиста, отношусь к безопасности своих устройств. Так что всё это тоже выглядит весьма сомнительным.

Ответить
Развернуть ветку
2 комментария
Джон Сильвер

Была похожая бага,правда на сайте Мвидео. Зарегал как то акк и спустя пару недель, что то искал себе в том замечательном магазине. Гляжу правым глазом, а профиль не мой, а какой то там Ольги Петровой... Причём Ольг (или Ольгов) в знакомых даже нет. Хотел залезть в профиль,но меня разлогинило.

Ответить
Развернуть ветку
Ozon

@Николай Ж. здравствуйте!
Пожалуйста, пришлите нам в ЛС номер любого вашего заказа, чтобы мы могли найти аккаунт и изучить вашу ситуацию во всех деталях.

Ответить
Развернуть ветку
Николай Ж.
Автор

Отправил.

Ответить
Развернуть ветку
8 комментариев
Юрий

Аккаунт старый на озоне или новорег?

Ответить
Развернуть ветку
Николай Ж.
Автор

Старый, с 2018 года.

Ответить
Развернуть ветку
Лунный Гонщик

Просто кабинет ломали

Ответить
Развернуть ветку
UNISON

Захватывающая история!

Ответить
Развернуть ветку
Николай Ж.
Автор

Статья обновлена в соответствии с ответом OZON.ru

Ответить
Развернуть ветку
Надежда Карпова

Скорее всего платил через Гугл Пэй, вот он и запомнил виртуалку гугловскую, это же элементарно)

Ответить
Развернуть ветку
Dmitriy Kulagin

" Тем не менее, я ввёл CVV код "

Т.е. CVV код автор знал :)

Ну, а если серьезно то тут все просто: озон при проведении оплаты передает в платежный шлюз Assist идентификатор клиента. И (по их требованим) ЛЮБОЙ успешный плаптеж приводил к тому что карта сохранялась. Вы не ослышались - любой т.к. они явно требовали от Assist не показывать галочку "сохранить карту" клиенту, а просто всегда сохранять.
А далее, когда клиент (с тем же ID) приходит снова платить, он видит карту которой он хоть раз успешно оплатил заказ в озоне.
При этом в последние пару лет озон активно уводит трафик с Assist-а. Т.е. шансов попасть на платежную страницу Assist у вас очень мало. Основоной трафик платежей Озон проводит через другие шлюзы.
И возможно автор дейстивтельно попал когда-то давно в схему озона "сохраняем втихую всегда) а потом очень долго не попадал на оплату через Assist.
И вот когда он снова попал - то тут и всплыла его давнишняя карта (которую он уже успел забыть).

Хотя возможен и другой вариант - Озон мог передать асисту чужой идентификатор клиента.....

Но в любом случае: вот эти: "закрыть на всех устройствах" это как по колесу постучать у машины.... просто с таким низким шансом попасть снова на Assist автору "повезло" повторно на него не попасть.

ЗЫ Если что, то я про то что написал, я знаю изнутри почти 10 лет в Assist проработал и только недавно оттуда ушел.

Ответить
Развернуть ветку
Николай Ж.
Автор

Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.

Ответить
Развернуть ветку
Светлана Петрова

Хотела купить пылесос на Озоне. Перевела 12000. Нужно всего 19000. Пишут лимит 15000. Теперь не могу их вытащить оттуда. Уже повысила до "Премиум" бесполезно. Предлагают заполнить форму с данными паспорта и отправить. Заполняла сто раз и отправляла. Пишут одно и тоже "Не смогли проверить данные"
Попробуйте повторить повышение через некоторое время. Что делать? Писать в поддержку бесполезно. Пишут одно и тоже. "Повысьте лимит" Что делать?

Ответить
Развернуть ветку
Ozon

Светлана, здравствуйте. Подскажите ваш ID - номер до тире из любого заказа. Спросим у коллег, в чём дело.

Ответить
Развернуть ветку
9 комментариев
55 комментариев
Раскрывать всегда