В режиме инкогнито в yoomoney появились данные сохранённой карты

Итак. Берём компьютер, которым никогда не пользовались, открываем инкогнито браузера. Регистрируемся в малоизвестном сервисе доставки еды (наверное не важно какой). Переходим к оплате, и.. на странице оплаты yoomoney.ru видим свою существующую карту (видны первые и последние цифры). Осталось ввести только CVC и оплата пройдёт.

Как такое возможно вообще?

Единственное что приходит на ум - в сервисе доставки еды регистрируемся по телефону, вводим код из sms, далее, сервис доставки сообщает номер телефона в yoomoney, yoomoney "верит" ему, что он проверил что номер телефона действительно принадлежит этому пользователю. После этого разрешает списать деньги с карты, с вводом CVC. (но это всё догадки, самый оптимистичный сценарий, что пришёл на ум).

Какие тут проблемы могут быть? Ну наверное когда-нибудь найдётся магазин, подключённый к yoomoney, в который можно попасть, обойдя проверку кода по sms. Магазины же, это не банки, там безопасность меньше После этого через такой магазин можно заказать что-то себе (а не жертве), зная номер телефона жертвы с CVC. Или, например, узнать часть цифр карт жертвы, зная номер телефона.

Кстати, конкретно в этом магазине отсутствует кнопка логаута, это показывает как они относятся к безопасности; получается если человек зашёл в магазин через чужой компьютер, он не сможет нормально выйти, и владелец этого компьютера в будущем может платить картой человека, если узнает CVC).

Теперь, если вам пришла sms "вы зарегистрированы в магазине XXX, вот код", то нужно беречь этот код, этот код - это не просто аккаунт в каком-то магазине, это ворота к вашим деньгам.

UPD: ещё проблема, если вы опплатили на своём компьютере своей картой оплату чужой покупки в чужом аккаунте магазина, ваша карта останется доступной для оплаты владельцу аккаунта магазина (предупреждения или галочки "не сохранять карту" нет). Разве это не уязвимость?

В этой ситуации больше всего напрягает что это всё не документировано, многие не задумываются что такое вообще может быть, не прозрачно кто и когда открывает возможность оплаты вашей картой, и по какой логике.

33
25 комментариев

Вам делают как проще, а вы всё недовольны

2

Очевидно для создающих и использующих много аккаунтов это проблема, т.к их на этом палят.
А вообще режим инкогнито совсем не препятствие для идентификации пользователя.
Кому интересно может почитать про fingerprint browser

1

Т.е. раньше вы никогда в этом сервисе еды ничего не покупали и вообще ввели туда свой телефон первый раз?

Совершенно верно!

Ого, с привязанной к аккаунту карты можно списать деньги, если получить доступ к этому аккаунту, кто бы мог подумать.

смысл поста не в этом

Если карта уже привязана, то значит вы пользовались этой доставкой ранее. yoo привязывает карты по клиентам отдельно или по логину в самом yoo (но тогда должно спросить пароль yoo)