Всем добрый день. Букв, фактов и скриншотов будет много, те, кому лень читать, могут пролистать пост до конца, там будут краткие итоги.
Для начала — информация о SberPay.
Основные тезисы, которыми Сбербанк позиционирует данный сервис:
- Оплата производится только при подтверждении через приложение или сайт СбербанкОнлайн.
- SberPay не передает сторонним сервисам номер вашей банковской карты. Данные шифруются и не передаются третьим лицам.
- При оплате вам еще раз покажут сумму операции и магазин, куда идет оплата.
Все тезисы взяты из приложения СбербанкОнлайн и с сайта Сбербанка, при необходимости в комментарии скину скриншоты.
17 мая при попытке сделать заказ на WB через оплату SberPay, обнаруживаю:
- В приложении WB отображаются 4 последних цифры моей основной карты Сбера.
- При нажатии кнопки «Оплатить» приложение СбербанкОнлайн больше не открывается, заказ оформился автоматически с постоплатой и списанием «с привязанной карты» при получении (приложенное видео записано позднее, для ТП Сбера, но итог тот же).
- При этом привязанных карт в приложении нет, в разделе оплаты есть только вариант «Привязать карту»
Важный момент: я никогда не привязываю карты ни к каким сервисам. Там, где разово необходимо ввести данные карты для оплаты, использую отдельную карту, на которую перевожу точную сумму. То есть WB неоткуда было взять данные этой карты, кроме как напрямую из банка.
Начинаю разбираться. После энного количества обращений в Сбер и WB выясняется следующее:
- Моя основная карта Сбера была закреплена в приложении WB.
- Произошло это во время оплаты определенного товара в определенную дату. В истории операций оплата шла через SberPay, причем это был единственный платеж с этой карты за день.
- Привязанную таким образом карту удалить через приложение WB нельзя, только через сайт.
- На сайте WB отображаются данные моей карты, в том числе срок окончания действия.
- Удаление связки карта-WB из раздела SberPay СбербанкОнлайн не влияет ровным счетом ни на что (информация карты у WB сохранилась, заказы продолжают оформляться без подтверждения в СбербанкОнлайн), разве что предотвращает автосписание средств.
В итоге все заявления Сбербанка по поводу полной безопасности SberPay, а также того, что оплата производится только через приложение банка и данные карт не передаются третьим лицам, по факту оказались ложными.
Более того, техподдержка Сбера попросту не смогла предоставить мне нормативный документ или условия использования, регламентирующие SberPay. Соответствующая информация на сайте также отсутствует.
Суммарно мной было составлено не менее шести обращений, с изложением фактов, прикреплением видео и скриншотов. Одно из них — через руководителя отдела клиентской поддержки. Итоговый ответ Сбера (рассматривали они все это почти месяц) — «мы нич0 не передаем и не сливаем, где карта привязалась, туда и идите». Каких-либо решений проблемы или компенсаций, или даже элементарных извинений предложено не было.
Более того, рассмотрение обращений ТП Сбербанка настолько некачественное, что вначале они сделали чарджбэк, который я не просила (!), и по отмене которого пришлось создавать отдельное обращение, а потом в ответе указали операции SberPay по совершенно другой карте и в другие даты.
Проблема потенциально массовая; у нескольких опрошенных человек при оплате SberPay также привязалась карта в WB и в «Самокате»; приложение СбербанкОнлайн при попытке оплаты точно так же не открывается, деньги списываются без какого-либо подтверждения и проверок. Очень рекомендую проверить приложения WB, «Самокат» и других ИМ/доставок, где реализована оплата SberPay — данные вашей карты могут быть переданы туда Сбером, а потом попасть в свободный доступ при сливе баз ИМ/доставки.
Краткий итог всего вышесказанного:
- Сбербанк слил данные моей карты в WB через SberPay. По факту, это огромнейшая дыра в безопасности. Предполагаю, что проблема в API Сбера, которое используется для встраивания оплаты в сторонние приложения и сайты.
- Признавать слив данных и как-то решать проблему они не хотят.
- Проблема потенциально массовая, может касаться любого, кто использует SberPay.
Крайне интересно, ответит ли что-то внятное представитель Сбербанка, или отделается классическим «напишите в личку и мы разберемся».
Тут надо WB ебать за отсутствие варианта "без привязки" карты.
на скриншотах очевидно, что они все находятся в одном блоке: "привязать".
Единственная мера защиты — не пользоваться всякими "отечественными" сбер/хер и прочими ПЭЙями.
В сети платить только виртуальными картами
после оплаты удалять и заводить новую виртуальную
Открою секрет - многие платежные шлюзы отдают данные карты и спец-токен для последующих списаний и возвратов по конкретной операции.
Вам просто это не показывают :)
И да, полного номера карты там нет.
У меня не было бы ни малейших претензий к Сберу, если бы у них это было прописано — в явной (презентациях/инструкциях) или скрытой (в условиях использования юридическими заумными терминами) форме. Сбер же утверждает, что номер карты ни в каком виде не передается, все оплаты производятся только в приложении, что не соответствует действительности.
Если нет технической возможности обойтись без передачи токена, можно же было, в конце концов, содрать техническое решение у Apple и выдавать подменный токен.
Ну и разовый платеж и стабильная привязка с возможностью списания без подтверждения — совершенно разные вещи.
2 месяца проверяют 👍
Поржал в голос с ветки из завтраков от Сбера.
Вот с этого вообще выпал)
Здравствуйте! Напишите, пожалуйста, номер обращения. Все проверим по ситуации
Вам какое из шести?
220517-0973-654200 — в ответе на это, например, вы рассказываете, что я сама добавила карту в WB и забыла, а вы тут вообще ни при чем.
220519-0161-674000 — в результате рассмотрения этого обращения вы упоминаете списания совершенно с другой карты в совершенно другие даты.
Половину обращений вы вообще закрывали без ответа, непонятно по какому принципу.
Двух номеров достаточно?
Все проверим и вернемся
Девяти дней было недостаточно для проверки? Или вам лишь бы отписаться?
Вопрос еще в работе. Как только появятся новости, мы сразу с вами свяжемся. Пожалуйста, ожидайте 🙏
Что и требовалось доказать. Вы переносите сроки ответа уже третий раз (только по последнему обращению, до этого переносили еще раз пять), проблему не можете решить с мая.
Каждый вопрос решается индивидуально. Делаем все возможное для скорейшего его решения. Пожалуйста, ожидайте
Вы в очередной раз просто закрыли обращение без ответа. Видимо, просто тянули время в надежде, что я про него забуду.
Мы еще не закончили проверку по вашей ситуации. Когда все проверим, сразу напишем. Сейчас просим подождать
2 месяца прошло. Проверили ?
Еще во всем разбираемся, по итогу обязательно напишем
Ну теперь уж точно проверили ?
ну все таки не согласен, похоже на то, что привязывается не карта, а что то типо токена сберпея, а то что отображается часть номера карты это скорее как красивая иконка нежели сам номер. единственный косяк это то что не запрашивает подтверждение при списании.
можно попробовать добавить еще карту виртуальную в сбере, а с основной вывести все деньги и снова совершить покупку если пройдет оплата, значит я прав
Уже все зачищено — карта в WB удалена и отвязана, остались только скрины, сделанные для техподдержки. И к сожалению, это точно не виртуальный токен, так как на сайте WB отображался и номер карты, и дата истечения, и поддержка обоих компаний говорила про «привязку», только Сбер — в духе «да вы сами привязали и забыли, мы тут не при делах». Более того, виртуальный токен точно был бы удален при разрыве связки в СберОнлайн, чего не произошло.
Используйте виртуальную карту с динамическим лимитом, а для пущей безопасности не храните там много денег
Хотел букмекеру одному у которого раньше не делал ставок денег закинуть на интересную ставку. Выбрал оплату через сбер пей, так как знаю что данные карты на такие оплаты ни в коем случае вводить нельзя непорядочный букмекер сразу спишет все что есть на карте, в итоге тут же пришло сообщение что моя карта заблокирована и пароль от кабинета Сбербанк онлайн удалён… Позвонил в банк, они сказали что данные по карте скомпрометированы и поэтому нужно оформить новую, соответственно они 100% передают всю инфу через сбер пей.
Есть ещё одна хитрость которой я пользуюсь что бы деньги на карте не могли украсть, это перевод сумм с карты на свои же сберовские счета в Сбербанк онлайн (к примеру счёт накопить на какую то цель и.т.п) с них никак деньги списать никто не сможет, а на самой карте держу немного сколько мне нужно и при необходимости перевожу по немногу на карту.