Итак. Берём компьютер, которым никогда не пользовались, открываем инкогнито браузера. Регистрируемся в малоизвестном сервисе доставки еды (наверное не важно какой). Переходим к оплате, и.. на странице оплаты yoomoney.ru видим свою существующую карту (видны первые и последние цифры). Осталось ввести только CVC и оплата пройдёт.
Как такое возможно вообще?
Единственное что приходит на ум - в сервисе доставки еды регистрируемся по телефону, вводим код из sms, далее, сервис доставки сообщает номер телефона в yoomoney, yoomoney "верит" ему, что он проверил что номер телефона действительно принадлежит этому пользователю. После этого разрешает списать деньги с карты, с вводом CVC. (но это всё догадки, самый оптимистичный сценарий, что пришёл на ум).
Какие тут проблемы могут быть? Ну наверное когда-нибудь найдётся магазин, подключённый к yoomoney, в который можно попасть, обойдя проверку кода по sms. Магазины же, это не банки, там безопасность меньше После этого через такой магазин можно заказать что-то себе (а не жертве), зная номер телефона жертвы с CVC. Или, например, узнать часть цифр карт жертвы, зная номер телефона.
Кстати, конкретно в этом магазине отсутствует кнопка логаута, это показывает как они относятся к безопасности; получается если человек зашёл в магазин через чужой компьютер, он не сможет нормально выйти, и владелец этого компьютера в будущем может платить картой человека, если узнает CVC).
Теперь, если вам пришла sms "вы зарегистрированы в магазине XXX, вот код", то нужно беречь этот код, этот код - это не просто аккаунт в каком-то магазине, это ворота к вашим деньгам.
UPD: ещё проблема, если вы опплатили на своём компьютере своей картой оплату чужой покупки в чужом аккаунте магазина, ваша карта останется доступной для оплаты владельцу аккаунта магазина (предупреждения или галочки "не сохранять карту" нет). Разве это не уязвимость?
В этой ситуации больше всего напрягает что это всё не документировано, многие не задумываются что такое вообще может быть, не прозрачно кто и когда открывает возможность оплаты вашей картой, и по какой логике.
Вам делают как проще, а вы всё недовольны
Очевидно для создающих и использующих много аккаунтов это проблема, т.к их на этом палят.
А вообще режим инкогнито совсем не препятствие для идентификации пользователя.
Кому интересно может почитать про fingerprint browser
Инкогнито как раз может от отпечатка бразуера помогать.
Просто я не понимаю чем автор обеспокоен, чего он боиться
Ха, инкогнито поможет? Смешная шутка. Сейчас проверил. Зашел просто на сайт через гугл хром, потом через режим инкогнито гугл хром, потом через vpn и браузер microsoft edge, потом через режим inprivate edge и во всех 4 случаях Signature была одинаковая. Не верите, можете проверить.
Насколько я знаю частичную защиту от этого из коробки дают только 2 браузера brave и firefox.
+ Firefox Dev Edition
Чем? От отпечатка браузера насколько я помню может помогать подмена юзерагента, смена размера окна, мобильный режим и тд, а самое эффективное (и убивающиее браузер) - отключение js
Отпечаток браузера не должен использоваться в таких случаях, как идентификация пользователя, вместо сессий.
Он не эту задачу решает.
Давать доступ к чужой карте, потому что совпал отпечаток пользователя - была бы дыра дырой. Я оптимистичен, и думаю что тут такого не происходит.
Я описал, что оплата происходила в режиме инкогнито, чтобы было понятно что тут не случай "ой, в прошлом году платили с этого же компа, но забыли".
А платил в режиме инкогнито потому, что малоизвестный сервис доставки еды настолько малоизвестный, что, чтобы сделать два заказа одновременно на 2 адреса, там нужно завести два разных аккаунта на двух разных людей (это они мне сами сказали), и как бонусом функции логаута из аккаунта нет, поэтому чтобы юзать второй аккаунт пришлось открыть инкогнито.
А куки почистить не проще было чтобы разлогиниться?
нет. что может быть проще, чем открытие инкогнито?
Почистить куки
Вы не написали что за доставка. Случайно не со сбером связанная?
нет, малоизвестная.
Т.е. раньше вы никогда в этом сервисе еды ничего не покупали и вообще ввели туда свой телефон первый раз?
Совершенно верно!
Странно, конечно, что yoo не спрашивает подтверждения, ибо та же форма сбера (а yoo это сбер) тоже имеет такой функционал, но там телефон нужно подтвердить отдельно на странице платежной формы сбера.
Но в целом не сильно большая катастрофа. Даже если магазин примет заказ от неподтвержденного номера, и у вас с карты спишут эти деньги без 3ds подтверждения, то через банк свой такой платеж можно опротестовать.
Ну и не привязывайте к платежным системам свои карты (или заведите для таких целей с минимальным балансом карту)
Там нет возможности не привязывать карту. Она молча сохраняется, этого нельзя избежать и об этом не предупреждают.
Ого, с привязанной к аккаунту карты можно списать деньги, если получить доступ к этому аккаунту, кто бы мог подумать.
смысл поста не в этом
Если карта уже привязана, то значит вы пользовались этой доставкой ранее. yoo привязывает карты по клиентам отдельно или по логину в самом yoo (но тогда должно спросить пароль yoo)
Вот именно что нет. Никогда не пользовался этой доставкой. Первый раз в ней зарегистрировался, захожу в yoo, а там уже вылазит моя карта.
Комментарий недоступен
В сервисе доставки еды - номер телефона и email. В yoomoney - никакую.
Здравствуйте! Наш сервис по приёму платежей ЮKassa предоставляет подключённым магазинам безопасный способ для повтора платежей, что экономит время пользователям. Такие платежи полностью безопасны: при повторной покупке видны только последние 4 цифры карты, а для повтора платежа надо ввести CVV и подтвердить кодом 3Ds.
Описанный вами случай похож на редкий баг, который наша команда уже исправила. Хотели бы поблагодарить вас за внимательность к деталям — свяжемся с вами в личных сообщениях.