{"id":13574,"url":"\/distributions\/13574\/click?bit=1&hash=71363c64bc295a463461171f01f6e714a7961aa8025c2486fbe50b3ffa4c5530","title":"\u041a\u0430\u043a \u043f\u043e\u0431\u043e\u0440\u043e\u0442\u044c \u0444\u0440\u043e\u0434? ","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c","imageUuid":"ae112cc0-7183-5c18-b2cd-24fa08deeeea","isPaidAndBannersEnabled":false}
Приёмная
Владимир

Потенциальная прореха в безопасности у Сбермаркета

Дисклеймер: История произошла не со мной, но "разруливать кейс" с поддержкой решили с моей помощью, как и написание этой заметки. Все профилактические беседы по предотвращению мошеннических действий с человеком были проведены. Про лимиты на ограничения операций знаем, как и виртуальные карты.

6 июля 2022 года был совершён заказ в Сбермаркете на номер телефона из бесплатного сервиса виртуальных номеров. Личным пользоваться не хотелось, ибо привет сливы последних месяцев. А до использования нормальной дополнительной симки на момент заказа не было ни времени, ни возможности.

Собственно, залогинились по коду из смс в приложении, добавили карту, оплатили, закрыли. Примерно в 16:30 по мск.

Спустя час на карту прилетает списание — какой-то человечек, параллельно пользовавшийся этим номером, делает заказ в Сбермаркете для себя с самовывозом из московского Metro. Сумма около 5300 рублей.

Заказ из Metro сделал предприимчивый человечек

Карта блокируется, сразу звонок в саппорт и всё такое. Обещают разобраться, проверить в СБ, предлагают написать заявление в полицию, что было сделано вчера. Насчёт возврата денег ничего толком не говорят, упрашивали написать заявление.

Саппорт ещё немного запутал изначально, говорили, что заказ забрали из Metro в Улан-Удэ, где такого магазина вообще нет.

Казалось бы, типичная ситуация, когда клиент сам дурак и практически в открытом доступе оставил данные карты. Верно?

И да, и нет.

С точки зрения банка все операции проведены без нарушений. Была привязочная авторизация со всеми данными, подтверждением кодом из смс, всё красиво и по ПБО.

А вот к Сбермаркету есть предложение — после авторизации с нового устройства не давать оплачивать покупки без дополнительного подтверждения кодом из смс в банке-эмитенте (сейчас MIR Secure же?). Реализовать это не так дорого, зато потенциально можно предотвратить ситуации, как случились с нами.

Можно сказать — "Нефиг было пользоваться таким сервисом для анонимных номеров". Верно, но мы живём во времена виртуальных номеров, которые можно менять регулярно у мобильного оператора абсолютно законно. Условно я могу взять свободный номер в МТС, а он кому-то уже принадлежал. А этот кто-то заказывал еду в Сбермаркете, оставив данные карты, которая жива по сей день. И у меня появляется возможность без каких-либо ограничений сделать заказ еды на пару месяцев за чужой счёт.

Да, косяк со стороны пользователя есть, ситуацию можно было избежать разными путями. Но Сбермаркету стоит обратить внимание на эту дыру в безопасности и залатать её. А ещё было бы очень любезно вернуть фактически украденные средства с карты

0
40 комментариев
Написать комментарий...
Marina Meyer

Ребят, а зачем вы обвиняете пострадавших в глупости? По ценности это же как классическое «сама виновата, что такое платье надела», «она сама меня спровоцировала» и другие замечательные примеры виктимблейминга.

Вы бы так не поймались, вы умные, пострадавшие дураки — это мы поняли, но статья про продуктовый кейс и про конкретное предложение Сбермаркету доработать механику. Ну, и лишнее напоминание быть предусмотрительнее.

Вернутся не вернутся деньги, кто прав и неправ — это уже с полицией решать.

Ответить
Развернуть ветку
Аркадий

Потому что это предложение доработать механику только под такой случай использования, абсолютно уникальный и неадекватный. И да, вы знаете, тот кто считает себя жертвой – не всегда жертва.

Ответить
Развернуть ветку
Аркадий

@Владимир а почему вы минусуете молча?
Сбермаркет же отправляет код подтверждения на телефон при авторизации на сайте. Это что, так часто бывает, что для авторизации используется левый номер и к отправленным на него смс имеет доступ кто угодно, а вот карта привязана к настоящему номеру и поэтому нужно ещё и на него скинуть смс? В нормальной ситуации все-таки используется один и тот же номер. И если уж к нему злоумышленник получил доступ, то повторное подтверждение все равно не спасёт.

Ответить
Развернуть ветку
Владимир
Автор

Ух, опередили меня, не обессудьте насчёт минуса, он не молча :)

Про оценку "уникальный и неадекватный", к слову, судить не мне и не вам. Тут бы продуктовому менеджеру напару с аналитиками проверить данные.

А вот я бы на вашем месте перечитал бы контекст. В приложениях по типу Сбермаркета, Яндекс.Маркета и прочих сейчас не хочется пользоваться основным номером телефона, поэтому воспользовались виртуальным. Банковские же приложения - только на основной. У меня самого всё левое на виртуальной симке Тинькофф, а основное - на физической от МТС.

Повторное подтверждение спасёт. Потому что кто в здравом уме будет банковское приложение привязывать к виртуалке-моменталке?

Ответить
Развернуть ветку
Аркадий

Ваши минусы для меня как плюсы.

Мне не нужно перечитывать контекст, я и так все прекрасно понимаю. Вы в этом случае не личную виртуальную симку использовали, а сервис бесплатных виртуальных номеров, который даже не стали нам показывать и я также прекрасно понимаю почему.

И позвольте предположение, что этот маневр был вызван не страхом слива номера, а для получения скидки на первый заказ. Извините, если предположение некорректное.

И также обратите внимание на данные правила Сбермаркета:

2.6. Один Клиент может зарегистрировать только одну учетную запись. Создание нескольких учетных записей одним Клиентом является нарушением Правил, в случае выявления которого СберМаркет вправе отменить Заказы Клиента и/или аннулировать все учетные записи Клиента.

2.7. Клиент не вправе регистрировать учетную запись от имени лица, которым Клиент не является, и передавать свои регистрационные данные другим лицам. Клиент самостоятельно несет ответственность за все возможные негативные последствия, в случае передачи учетных данных Личного кабинета третьим лицам.

До свидания!

Ответить
Развернуть ветку
Владимир
Автор

Если понимаете, почему не поделитесь мыслью?

К слову, какой конкретно сервис, значения не имеет. Да и я действительно не помню, какой был

Ответить
Развернуть ветку
Аркадий

Имеет значение. Вам было жаль денег за хотя бы сколько-то безопасный номер и вы выбрали бесплатный вариант когда всем посетителям сайта видно на какой номер какая смс пришла и от какого сервиса и каждый мог воспользоваться этими данными.

Ответить
Развернуть ветку
Владимир
Автор

1. Тот же Тинькофф Мобайл для таких целей будет бесплатен, кстати.
2. Да, сервис таким и был. Вроде как фраза "параллельно пользовавшийся номером" достаточно чётко объясняет то, что смс видели не только мы. Этого я не отрицал

Ответить
Развернуть ветку
Alex Anselm Melnikoff

Не очень умные дурачки повсеместно привязывают безальтернативно авторизации к номеру телефона, который менее надежен, чем обычная электропочта, что уже проблема. Такие сервисы вообще стоит использовать с боооольшой осторожностью, так как даже тот номер, что вы считаете своим, легко вас покинет. Вы же вообще взяли чужой номер, а карту после заказа не отвязали. Камон?
И да, откройте для себя виртуалки, под такие случаи как раз удобно. Более безумно только передавать зарплатную карту в час пик в переполненной маршрутке

Ответить
Развернуть ветку
Владимир
Автор

Ну так в дисклеймере и написал, что все профилактические беседы проведены :) Я прекрасно знаю, что есть виртуалки, лимиты на счета и прочие приятности. Ещё есть тумблеры отключения определённых типов операций, отключение проведения покупок без 3DS

Ответить
Развернуть ветку
Ияза Гара

Автор с таким же успехом мог написать «Я оставил в зале ожидания кошелёк и пошёл курить. Когда вернулся - кошелёк пропал. Я, конечно, отчасти виноват, но вокзал мог бы более тщательно следить за моими вещами».
Сбермаркет, конечно, редкостное говно, но если у клиента нет ума, то он прекрасно расстанется с деньгами и без посредников.
Первое: кривой номер, с которым можешь расстаться - никогда не использовать для ответственных и финансовых операций.
Второе: настроить обязательную двухфакторную авторизацию еще проще, чем купить новый номер.
Третье: на карте для онлайн покупок не держать деньги, переводить только для оплаты заказа.

Ответить
Развернуть ветку
Аркадий

Удалось найти пару таких сервисов с бесплатными номерами и там мало того, что есть предупреждение не использовать их для создания аккаунтов с личными и финансовыми данными, так ещё и общедоступная лента в которой публикуется, откуда пришло смс (например, сбермаркет) и номер телефона, на который оно пришло.
Понятно, что ошибка могла произойти с кем угодно и обидно и жалко.
Но обвинять в этом невиновную сторону в надежде, что ей будет проще компенсировать деньги, чем объясняться на площадке, на которой их и так не очень жалуют — ну такое.

Ответить
Развернуть ветку
Ияза Гара

Да, в бесплатных сервисах именно так. Есть платные, где можно на время арендовать номер, и получать приватные сообщения. Но видимо, автор решил сэкономить, а может быть и не знал.

Ответить
Развернуть ветку
oleg nemoi

всегда выставляю лимиты на картах тинькофф
пользуюсь виртуалками и меняю их каждый месяц
бед не знаю где бы картами не светил
о моей безопасности никто кроме меня не позаботится

за этот пост мне конечно же заплатил лично тинькофф

Ответить
Развернуть ветку
Владимир
Автор

Лимиты/Альт.счета + Виртуалки — наше всё <_<

Ответить
Развернуть ветку
Аркадий

Простите, а вы в каком сервисе бесплатных номеров свой присмотрели? Не в том, в котором также есть лента с информацией, от какого сервиса/сайта на какой номер какая смс пришла? И что, на этом сервисе не было предупреждения не использовать номер для привязки финансовых данных?
А скиньте ссылочку на этот сервис.

Ответить
Развернуть ветку
Дмитрий Сергеев

Невольно вспомнилось
https://youtu.be/O8WbOS_DlZk

Ответить
Развернуть ветку
Аркадий

И ещё подскажите, пожалуйста, где реализовано то, что вы предлагаете сделать Сбермаркету (даблчек при авторизации с нового устройства)?

Ответить
Развернуть ветку
Пол Финч

Да то же приложение Яндекс.Go

Ответить
Развернуть ветку
Аркадий

Не совсем правильно сформулировано у меня в вопросе, но до конца просто и не понятно, что предлагает автор. В его аккаунт, созданный на виртуальный номер телефона, залогинились с помощью того же виртуального номера и смогли расплатиться привязанной картой.
Но, то, что ему при повторной оплате с той же карты не пришёл код на настоящий номер, привязанный к карте — это разве не в настройках карты проблема, что на ней видимо не включено подтверждение операций в интернете с помощью кода?

Ответить
Развернуть ветку
Пол Финч

Это настраивается со стороны банка-эквайера

Ответить
Развернуть ветку
Аркадий

Эм, нет, код в смс приходит от банка эмитента если соответствующая настройка включена держателем карты

Ответить
Развернуть ветку
Пол Финч

Я вам как человек, работающий с эквайрингом, могу подтвердить, что как провести платеж (с 3DS или без) решает банк-эквайер, а если быть точнее, то магазин, просто в случае неправомерного платежа с карты в эквайринге без 3DS все повышенные риски на себя берет магазин (тот же чарджбэк при таком условии делается гораздо проще). Со стороны банка-эмитента в некоторых банках можно установить запрет на операции без 3DS, не более.

Ответить
Развернуть ветку
Alex Anselm Melnikoff

смс приходит только если и эквайер и эмитент поддерживают технологию и запросили ее применение для данной операции. учитывая, что сбермаркет при привязке проверяет 3ds, то проверять каждый раз не обязательно. При этом есть еще ситуация, что сумма заказа может измениться, как ее проводить автоматически?
Просто авторизация по телефону зло, треш, пздц и провокация. По чужому-вообще бред. На основную карту-мазохизм

Ответить
Развернуть ветку
Владимир
Автор

1. Речь не про каждый заказ. Я лишь предлагаю проверять только после авторизации с нового устройства/ip
2. Проводить изменение суммы списания можно легко и просто. Авторизация (блокировка на карте) может пройти по одной сумме, а вот окончательное списание (клиринг), по другой. И вот клиринг (или отмена) железно высылается торговой точкой после авторизации, на это никаких дополнительных подтверждений от клиента не надо

Ответить
Развернуть ветку
Аркадий

Так авторизация в сбермаркете и так происходит через смс, отправленное на номер телефона. В нормальных сценариях это достаточная защита. Если кто-то завладеет вашим телефоном (устройством), он все равно и все остальные коды введет, которые попросят. И если вы потеряли телефон, вы сами принимаете все меры, а не вините банки и сервисы.
Но это ж совсем неадекватная ситуация, что кто-то для авторизации будет использовать не свой номер, а какой-то левый, к смс с которого имеет доступ кто угодно, а вот карта у него привязана к нормальному номеру и поэтому нужно ещё раз подтверждать.

Ответить
Развернуть ветку
Владимир
Автор

Вот и появился сценарий, где недостаточная защита. По сути человеком был получен доступ к платёжному средству (карте) без ограничений сразу после ввода кода из смс.

Кстати, кулстори. Друг как-то сменил номер телефона у одного виртуального мобильного оператора, так на нём был зарегистрирован телеграм-аккаунт.

То есть мог быть и аккаунт того же Сбермаркета, где привязана карта, почему бы нет?

Кстати, насчёт потерянного телефона. (Не помню, как сейчас у ведра дела). Айфон при любом раскладе просит создавать пин для включения, даже если используется Face ID/Touch ID. Так что вероятность кражи телефона со всеми доступами маловероятен

Ответить
Развернуть ветку
Аркадий

Да, человеком был получен доступ к карте после того, как он ввел смс, полученное на свой номер телефона. Это вы там что-то мутите непонятно зачем, а у нормальных людей и код подтверждения оплаты все равно пришел бы на тот же самый номер, на который минуту назад пришел код подтверждения входа. И у нормального человека это скорее бы вызвало раздражение.

Ответить
Развернуть ветку
Владимир
Автор

Если вам не понятно, вот ещё раз цитата: "Личным пользоваться не хотелось, ибо привет сливы последних месяцев".

Это тогда можно задаться вопросом о необходимости существования двухсимочных телефонов :) Или вы считаете людей, которые ими пользуются ненормальными тоже?

Ответить
Развернуть ветку
Аркадий

Я заканчиваю с вами беседовать. У вас нарушена логика, а логическое мышление так устроено, что его нарушение не дает вам понять, в чем именно вы ошибаетесь.
Вы снова приводите примеры, которые не относятся к вашему случаю. Если бы у вас был двухсимочный телефон и вы использовали два своих номера, такой проблемы бы также не возникло и двойное подтверждение было бы также не нужно.
Вы хотите решение от сервиса для случаев когда вы буквально опубликовали онлайн все доступы к вашему кабинету.

Ответить
Развернуть ветку
Владимир
Автор

По-моему у вас просто закончились аргументы и вы решили оппонента обвинить в отсутствии логики. Которую вы же ломаете переводом спора в разные русла практически в случайном порядке.

Я здесь больше вижу не попытку разобраться в ситуации и хоть сколько-нибудь понять её, сколько самоутвердиться в комментариях. Сделаю вам приятно и процитирую текст: "Да, косяк со стороны пользователя есть".

И, к слову, название звучит как "Потенциальная прореха", это сомнение, не утверждение. Здесь больше речь про предложение доработки, а не сбрасывание целиком и полностью ответственности на сервис. Если вы видите этот текст иначе - это ваша призма восприятия

Ответить
Развернуть ветку
Аркадий

Конечно, у меня закончились аргументы, они же не бесконечные. Но после вывода о вашей логике написано еще два аргумента, которые вы снова проигнорировали. Вы выбираете отдельные куски, которые решаете комментировать, и тут вас как раз подводит логика. Ну или умышленно так выкручиваете.

Вы пытаетесь подать ситуацию в выгодном вам свете, но почему-то совсем не написали о том, как именно другим человеком был получен доступ к вашему аккаунту.

А он был получен так, что вам было жаль денег за хотя бы сколько-то безопасный номер и вы выбрали бесплатный вариант когда всем посетителям сайта видно на какой номер какая смс пришла и от какого сервиса и каждый мог воспользоваться этими данными. Напоминаете людей, которые требовали от Сбера вернуть им деньги, которые они сами перевели мошенникам.

Сервис с точки зрения безопасности работает нормально. Из этой ситуации нужно сделать выводы только вам.

Теперь точно аргументы всё.

Ответить
Развернуть ветку
Владимир
Автор

В выгодном свете, это если бы я не проговаривал, что телефоном параллельно кто-то пользовался, например. Это я сразу прописал. Если вам такое надо подчёркивать жирным шрифтом и прописывать в каждом абзаце - увы, такого предоставить персонально не смогу.

И то же самое я уже отвечал вам несколько раз.

Спасибо, что в очередной раз мне напомнили о славных деньках, когда мне по работе приходилось читать отзывы на banki.ru :)

Ответить
Развернуть ветку
Alex Anselm Melnikoff

1. Ну ip на телефоне такой себе критерий...
2. А они делают через 2, отмена и новая авторизация. Почему так? А хз. И самокатопрокаты так же делают, поэтому их абузят с пустыми виртуалками.

Ответить
Развернуть ветку
Владимир
Автор

1. Про IP пример. Вариантов идентификации устройства тьма.

2. Так устроены банковские операции

Ответить
Развернуть ветку
Alex Anselm Melnikoff

1. ждать большого ума от тех, кто завязывает на мобильный номер все-уже странно
2. по-разному они устроены. амазон, например, именно в клиринг присылает другую сумму, российские делают отмену старой и проводят новую. может тупые как и в 1 пункте, может есть какая региональная причина
p.s. причины таки нет. втб и московский транспорт делают, как амазон, клиринг на другую сумму без отмены

Ответить
Развернуть ветку
Владимир
Автор

1. Я оптимист, хе-хе. На самом деле знаю, какого склада ума там работают люди в разработке, поэтому не переживаю на этот счёт.
2. Не, в большинстве ситуаций это хотелки торговых точек. Банки предоставляют инструменты с определёнными правилами от МПС, а ТТ уже сами разбираются, что и как делать.

У Амазона же ещё прикол в том, что они не запрашивают 3DS вообще, сразу клиринг кидают. Интересно, какой процент фрод-операций у них в таком случае. Ведь достаточно только пластика для покупки.

Ой, какие я только жонглирования отменами/клирингами/авторизациями от торговых точек не видел :D Тут реально всё зависит от фантазии ТТ.

Скипнул свой ответ про самокатопрокаты. Даже если арбузить на виртуалках (а сейчас их анонимными в стране попросту не сделать, зарубежные карты тоже не сканают), за такое банк уже отправит в бан. Там видят, когда у челика тьма виртуалок и куча авторизашек для привязки к сервису карты

Ответить
Развернуть ветку
Alex Anselm Melnikoff

1. даже если кодер хорош, но менеджер и тз говно, результат предсказуем
2. 3ds зло, так как лишает человека нулевой ответственности и создает лишние сложности по оплате, при этом мошенники так или иначе деньги уводят: обманом по телефону или фейковым сайтом, где человек себе сам купит билеты и введет все коды.
Вы не поняли схему с самокатопрокатами, там не повисает долг на банке. Идет авторизация на 500р (залог), после ее списания карта блокируется или ставится лимит. Катаемся, сколько хотим, но менее 500р, после этого завершаем поездку (например накатались на 400), идет отмена 500 (они приходят даже на блокированную или с лимитом) и идет попытка списать 400, и вот она натыкается на болт. Если бы по клирингу просто присылалась другая сумма, то схема не канала бы. А тут..

Ответить
Развернуть ветку
Леха Макаров

Тот случай когда "сам дурак"

Ответить
Развернуть ветку
Владимир
Автор

Разве я это отрицаю?

Ответить
Развернуть ветку
Читать все 40 комментариев
null