Сбербанк компрометирует код CVC при выдаче карты
Пришёл срок замены карты, по сроку действия. Стоит сразу сказать, что на низовом видимом варианте сотрудники Сбера работают отлично. Всегда помогут, подскажут, доброжелательно и в целом приятно. Но когда работает та невидимая часть Сбера к которой не приедешь, увы начинаются проблемы.
Итак перевыпуск карты. Несмотря на то, что я живу в районе города скажем так с северной стороны, мне выпустили и доставили карту в самую противоположную часть города. Доставить в другое отделение - не могут, доставка на дом - тоже в городе пока нет. Сразу скажу, у меня даже подписка есть Сберпрайм, правда по льготной цене брал, за 3 месяца я не использовал ни единой услуги из неё, но когда мне понадобилось в этом случае - естественно она оказалась бесполезной. Попробовав карту привезти поближе, чтобы не тратить время полдня рабочего, увы я уперся в бюрократическое "не положено".
Ладно поругавшись внутри себя, собрался и поехал в отделение. ПРиезжаю, 10 минут ожидания и сажусь к менеджеру. Она мне сразу предлагает защиту от кражи средств на карте. Расценки: за 250 000 примерно 5200 страховка. Выше суммы не увидел, видимо больше суммы не хотят страховать. Отказываюсь, ибо знаю многие уловки мошенников, прошу выдать карту. Приносят мне карту, без конверта, CVC код открыт, все доступно. Я сижу мягко говоря очень удивленный и продышавшись спрашиваю: а что это такое то. Где моя защита секретного кода, с которым я буду делать оплату 3 года. Мне отвечают в духе " не боись, никто ничего не украдёт, все хорошо итак, мы тут все порядочные люди". Основная защита в виде CVC кода прошла непонятно через сколько рук, кто куда записал и сфотографировал его. Я прошу этот вопрос решать, в таком виде я не считаю безопасным хранить средства на карте. Идём к руководителю отделения, они объясняют, что это нормально, мол никто ничего не украдёт. Спрашиваю на кой тогда вы мне предлагали страховку средств на карте, если даже скомпрометированные секретные данные карты вы не считаете проблемой? Ответа нет.
А вот памятка безопасности Сбербанка и 1 пунктом идёт: не сообщайте пароли, пин и CVV коды даже сотрудникам банка.
Дальше смотрю вообще анекдот. Имя Александр, в их транскрипции стало Alexander - добавилась буква Е. В общем казус какой то сплошной. Причем это из года в год ведь, прошлые разы аналогично было.
Дальше я еду в отделение близко к моему места жительства. Пишу там обращение, что данные в банке скомпрометированы, имя написано коряво, прошу сделать перевыпуск без замены номера и без блокировки карты.
И немного выводов которые увы лежат на поверхности:
1. Сбербанк вообще не заинтересован в защите моих средств на карте. Он с легкостью раскрывает мой секретный код, предлагая мне верить в их сотрудников.
2. Как крупная компания Сбербанк не особо думает над безопасностью моих средств и ему наплевать, что создана проблема, что есть элементарная безопасность. Неужели трудно отдавать в закрытом конверте?
3. В случае обращения Сбер снова ничего не теряет, а я теряю время и возможность использовать карту.
В общем то еще один пример бестолкового и равнодушного отношения к своим клиентам. Хотя в целом мне нравится, но все равно криво работает эта система. Им без разницы что CVC – Card Validation Code или «Проверочный код карты» Это код безопасности, применяемый в картах системы Mastercard. Они не хотят защищать своих клиентов в итоге. Не надо никакой социальной инженерии, надо просто иметь карту сбербанка и при желании легко ваш секретный код могут узнать.
Обращение в банк я написал, это для того, чтобы в случае кражи средств с карты, имея ответ Сбербанка с уверением что секретный код можно выдавать открытым - пойду в суд и там буду требовать возврата средств, опираясь в том числе на то, что банк создал условия для кражи средств.
Здравствуйте! По актуальным правилам платежной системы карты выдаются без конверта. Сотрудники банка соблюдают банковскую тайну и вероятность компрометации данных исключена. Ранее в конверте выдавался только PIN карты.
Что касается ошибки в имени на карте - приносим извинения за неудобства. Вы уже оформили перевыпуск этой карты на правильные данные?
Вам не стыдно писать то, что противоречит вашему 1 правилу безопасности? Никому не показывать CVV код безопасности. Насколько надо быть бестолковыми, чтобы свои же правила безопасности нарушать, а Сбербанк?
ну а по-сути вам cvc не много дает, большинство операций с 3d secure, а если кто-то и сделает покупку по вашей карте без 3d secure, например когда вы будете где-то светить карту (ресторан, отель) - заявите претензию и чарджбеком вам все вернут. пользователь несет ответственность за операции по карте с использованием пинкода, или за утрату средств авторизиции. а вот сама карта принадлежит банку - он видимо считает что это довольно безопасно что у них там в сейфе лежит открыто.
Комментарий недоступен
И что. Чарджбеком все вернут. По закону любой продавец вправе запросить у вас подпись чека и саму карту для сверки подписи, увидит ваш код, побежите карту перевыпускать?. Все покупки без авторизации клиентом ( подписи чека или ввод пинкод или ввод смс) чарджбеком мгновенно возвращаются на карту. Псевдо-финансовая грамотность иногда поражает. Учите матчасть перед тем как писать.
У человека тут недавно была проблема на 600 тысяч с оплатой на Али заказов по его карте. Пока он не подключил знакомых, не особо вернули. И то помог не банк, а знакомство в Алиэкспресс, он смог отменить заказы с его карты оплаченные.
Другой момент: сколько нервов надо потратить, бегать, искать, ругаться, доказывать. Оно мне надо? Только потому что Сбер пожалел конверт купить за 1 рубль и организовать доставку правильно?
Я ещё раз вам говорю, у вас продавец потребует предьявить карту для сверки подписи. Вы откажите? А если дадите то побежите карту перевыпускать? По правилам каждый кассир обязан это делать если пин не введён. То что наша страна полна неграмотных людей и заминуссованность комментария только показывает что люди даже просто не изучили матчасть, а следуют заложенному - у нас все плохо. И кстати, при выдаче карты сотрудник банка обязан удостоверится что карту вы подписали, что тоже ее компрометирует. Что касается опыта, мне Райфайзен 25 вернул по чарджбеком за 3 дня. Без нервов, просто написал заявление.
Вы не представляете масштабов экономии.
Зачем бабку за рубль пристукнули?
Десять бабок - уже червонец
Думаю тот, кто отыскал у VISA разрешение выдавать без конвертиков - крупную премию получил.
Так, Сбер?
А давайте вы мне фото карты с двух сторон отправите, раз у вас все так просто, и все можно вернуть чарджбэком.
Поддерживаю. Мне тоже пришли.
Вы бы для начала матчасть подучили. Мгновенно вам ничего никто не вернёт.
Нормальный банк может что-то и вернёт, но при чём тут сбер?
При том, что чарджбек это функционал платежной системы, а не банка
Это актуально для дебетовых карт. Кредитные карты тоже выдают без конверта. А значит, что владельца можно загнать в минус. И возвратом средств тут не отделаться банально потому, что в случае пользования кредитной картой, оплата товара или услуг производится фактически средствами банка. Вы же картой валидируете открытие кредита. А это значит, что вернуть вам нечего. Это не ваши средства.
Столкнулся с этим когда оплачивал покупки в гипермаркете: средства "списались", а у магазина транзакция не прошла. И всё. Долг по кредитке образовался, а товар получить не могу. И это не решить банальной операцией по возврату средств а-ля "Приложите карту к терминалу".
Проблема решилась лишь трёхсторонними постоянными созвонами покупатель-банк-гипермаркет спустя 1 час присутствия в том же гипермаркете перед Новогодними праздниками.
чушь какая-то. сто раз отменял покупки по кредитке. какая разница, как это внутри банка выглядит? есть платежная система, в которой выпущена карта, есть деньги на карте. их можно как снять, так и вернуть обратно.
Что значит чушь, если я описал личный опыт?
Звонил в Сбер сам. Мне это подтвердили. Также в Сбере сообщили, что сотрудникам магазина также необходимо звонить в банк и подтверждать отсутствие транзакции по оплате.
Необходимости обращаться сотрудникам магазина в банк в данном случае нет. Достаточно вашего обращения к нам любым удобным способом
Норм тебя сбер уел )
Вы это называете «уел»? Не мелковато ли?
Для чарджбэка магазину точно не надо никуда звонить. Раза 3 чарджбэком пользовался, достаточно было в чат написать и простейший скриншот приложить.
по аналогии: "ну украли у вас кошелек с наличкой, и что такого? — просто напишите заявление в полицию и все вам вернут"
только при покупке на алиэскпрессе покупки едут в адрес.. в случае такого фокуса в аждрес может приехать полиция.
Комментарий недоступен
Покупки ещё едут в постоматы.
Ага а ещё в Турцию и Европу....
В постомат пойдёт дроп, а владелец карты будет потом алишные товары продавать. И то, если полиционеры согласятся засаживаться неделю у постомата.
Дропа возьмут с товарами, что он там продавать будет.
Так товар заберут у дропа и отдадут терпиле.
Ну приедет посылка на адрес в Украине, или другой страны, с которой правоохранители не работают особо. Что дальше?
И найдут бабку старую.
получение на почте, ставишь любой адрес, отслеживание в приложухе, получение через нее же
карты лежат в сбере в сейфе (зависит наверное от отделения), и лазят туда не все сотрудники, у меня карты более 20 лет - соответственно я помню карты без чипов, без 3d secure, просто с магнитной полосой, по которым возможны не онлайн-транзакции путем копирования цифрок прокатыванием - они для этого выпуклые. эта карта принадлежит банку, главное чтоб банк соблюдал все условия по возврату средств
Расскажите пожалуйста как? Чтобы подвязать карту на Али или палке нужна операция валидации она без смс не делается. А вот дальше код этот на фиг не нужен...
Чувак ты почему без штанов гуляешь? Так в трусах же. Так примерно выглядит для меня понимание, что кто-то знает мой CVV код. Это код безопасности, один из уровней защиты. Уважающий своих клиентов банк - выдавать должен в конверте.
Потратиться на копеечный конверт ради безопасности? Нет, надо потратить миллиард на ребрендинг. Приоритеты Сбера как они есть.
А в конверт карту кто кладет? Специально нанятый слепой?)
А кто чупа-чупсы в обертку заворачивает? Специально нанятые гастарбайтеры с помытыми руками?
Предварительно его облизывая, чтобы обертка лучше держалась.
Эта должна автоматически делать машина персонализирующая голый пластик с голым чипом. То есть на входе белые карты и бумага, на выходе конверт с именем владельца и несколькими последними цифрами номера карты.
Вот это и занятно. Тинькофф карту в конверте привозит, который я сам и вскрываю. Но кладут её туда вроде бы люди.
В конверт кладет один человек, под запись видеонаблюдения и ему некуда эти данные сохрпнить. А вот в отделении ничем не защищённую карту могут пощупать все от охранника до уборщицы и у них в кармане телефон с камерой.
С другой стороны, любое кафе или ресторан, где отдаешь карту в руки официанту гораздо менее надёжно, чем отделение Сбера.
А зачем карту отдавать официанту? Везде давно терминалы к столикам приносят.
3d secure не гарантирует безопасности средств, защищает не держателя, а банк и продавца, так как подтверждает, что операция санкционирована именно держателем карты
Ну, много — немного, а вот Яндекс.Маркет позволяет по крайней мере с карты MasterCard оплачивать без 3d secure
Только с привязанных карт. Привязка по cvc не получается...
Комментарий недоступен
CVC это дополнительное число подобное тому, что записано на магнитной полосе. Является ли прогон карты по сканеру, удостоверением того, что картой платил владелец счёта? В нормальных банках, нет.
Товагищь! Мы, вуские, не обманываем дгуг дгуга!!!
Так это никому не показывать относится к клиенту, а не банку. Клиент не должен показывать.
Когда я увижу пункт при выдаче: Банк возместит все случаи мошенничества с использованием CVV кода сразу в течении суток - я даже слова не скажу, выдавайте как хотите. А пока банк лицемерно заявляет о честности, при этом боится на себя брать мою ответственность - естественно ваш комментарий не имеет смысла.
Вы немного не правы. Вы не должны сообщать код активированной карты при его запросе.
А так, знание кода бессмысленно. Он применим только при наличии подтверждения через приложение или смс.
уже привели пример сайта, довольно известного, где не нужно это самое подтверждение. Данных на карте хватает для покупки.
Такой сервис как стим, кстати, тоже не требует подтверждения. Берешь левый акк, покупаешь на него скинов пока карту не заблокируют, выводишь их с комиссией через любую площадку. У тебя на руках бабки, которые никто никогда в жизни не отследит.