Потенциальная прореха в безопасности у Сбермаркета
Дисклеймер: История произошла не со мной, но "разруливать кейс" с поддержкой решили с моей помощью, как и написание этой заметки. Все профилактические беседы по предотвращению мошеннических действий с человеком были проведены. Про лимиты на ограничения операций знаем, как и виртуальные карты.
6 июля 2022 года был совершён заказ в Сбермаркете на номер телефона из бесплатного сервиса виртуальных номеров. Личным пользоваться не хотелось, ибо привет сливы последних месяцев. А до использования нормальной дополнительной симки на момент заказа не было ни времени, ни возможности.
Собственно, залогинились по коду из смс в приложении, добавили карту, оплатили, закрыли. Примерно в 16:30 по мск.
Спустя час на карту прилетает списание — какой-то человечек, параллельно пользовавшийся этим номером, делает заказ в Сбермаркете для себя с самовывозом из московского Metro. Сумма около 5300 рублей.
Карта блокируется, сразу звонок в саппорт и всё такое. Обещают разобраться, проверить в СБ, предлагают написать заявление в полицию, что было сделано вчера. Насчёт возврата денег ничего толком не говорят, упрашивали написать заявление.
Саппорт ещё немного запутал изначально, говорили, что заказ забрали из Metro в Улан-Удэ, где такого магазина вообще нет.
Казалось бы, типичная ситуация, когда клиент сам дурак и практически в открытом доступе оставил данные карты. Верно?
И да, и нет.
С точки зрения банка все операции проведены без нарушений. Была привязочная авторизация со всеми данными, подтверждением кодом из смс, всё красиво и по ПБО.
А вот к Сбермаркету есть предложение — после авторизации с нового устройства не давать оплачивать покупки без дополнительного подтверждения кодом из смс в банке-эмитенте (сейчас MIR Secure же?). Реализовать это не так дорого, зато потенциально можно предотвратить ситуации, как случились с нами.
Можно сказать — "Нефиг было пользоваться таким сервисом для анонимных номеров". Верно, но мы живём во времена виртуальных номеров, которые можно менять регулярно у мобильного оператора абсолютно законно. Условно я могу взять свободный номер в МТС, а он кому-то уже принадлежал. А этот кто-то заказывал еду в Сбермаркете, оставив данные карты, которая жива по сей день. И у меня появляется возможность без каких-либо ограничений сделать заказ еды на пару месяцев за чужой счёт.
Да, косяк со стороны пользователя есть, ситуацию можно было избежать разными путями. Но Сбермаркету стоит обратить внимание на эту дыру в безопасности и залатать её. А ещё было бы очень любезно вернуть фактически украденные средства с карты
Ребят, а зачем вы обвиняете пострадавших в глупости? По ценности это же как классическое «сама виновата, что такое платье надела», «она сама меня спровоцировала» и другие замечательные примеры виктимблейминга.
Вы бы так не поймались, вы умные, пострадавшие дураки — это мы поняли, но статья про продуктовый кейс и про конкретное предложение Сбермаркету доработать механику. Ну, и лишнее напоминание быть предусмотрительнее.
Вернутся не вернутся деньги, кто прав и неправ — это уже с полицией решать.
Потому что это предложение доработать механику только под такой случай использования, абсолютно уникальный и неадекватный. И да, вы знаете, тот кто считает себя жертвой – не всегда жертва.
@Владимир а почему вы минусуете молча?
Сбермаркет же отправляет код подтверждения на телефон при авторизации на сайте. Это что, так часто бывает, что для авторизации используется левый номер и к отправленным на него смс имеет доступ кто угодно, а вот карта привязана к настоящему номеру и поэтому нужно ещё и на него скинуть смс? В нормальной ситуации все-таки используется один и тот же номер. И если уж к нему злоумышленник получил доступ, то повторное подтверждение все равно не спасёт.
Ух, опередили меня, не обессудьте насчёт минуса, он не молча :)
Про оценку "уникальный и неадекватный", к слову, судить не мне и не вам. Тут бы продуктовому менеджеру напару с аналитиками проверить данные.
А вот я бы на вашем месте перечитал бы контекст. В приложениях по типу Сбермаркета, Яндекс.Маркета и прочих сейчас не хочется пользоваться основным номером телефона, поэтому воспользовались виртуальным. Банковские же приложения - только на основной. У меня самого всё левое на виртуальной симке Тинькофф, а основное - на физической от МТС.
Повторное подтверждение спасёт. Потому что кто в здравом уме будет банковское приложение привязывать к виртуалке-моменталке?
Ваши минусы для меня как плюсы.
Мне не нужно перечитывать контекст, я и так все прекрасно понимаю. Вы в этом случае не личную виртуальную симку использовали, а сервис бесплатных виртуальных номеров, который даже не стали нам показывать и я также прекрасно понимаю почему.
И позвольте предположение, что этот маневр был вызван не страхом слива номера, а для получения скидки на первый заказ. Извините, если предположение некорректное.
И также обратите внимание на данные правила Сбермаркета:
2.6. Один Клиент может зарегистрировать только одну учетную запись. Создание нескольких учетных записей одним Клиентом является нарушением Правил, в случае выявления которого СберМаркет вправе отменить Заказы Клиента и/или аннулировать все учетные записи Клиента.
2.7. Клиент не вправе регистрировать учетную запись от имени лица, которым Клиент не является, и передавать свои регистрационные данные другим лицам. Клиент самостоятельно несет ответственность за все возможные негативные последствия, в случае передачи учетных данных Личного кабинета третьим лицам.
До свидания!
Если понимаете, почему не поделитесь мыслью?
К слову, какой конкретно сервис, значения не имеет. Да и я действительно не помню, какой был
Имеет значение. Вам было жаль денег за хотя бы сколько-то безопасный номер и вы выбрали бесплатный вариант когда всем посетителям сайта видно на какой номер какая смс пришла и от какого сервиса и каждый мог воспользоваться этими данными.
1. Тот же Тинькофф Мобайл для таких целей будет бесплатен, кстати.
2. Да, сервис таким и был. Вроде как фраза "параллельно пользовавшийся номером" достаточно чётко объясняет то, что смс видели не только мы. Этого я не отрицал
Не очень умные дурачки повсеместно привязывают безальтернативно авторизации к номеру телефона, который менее надежен, чем обычная электропочта, что уже проблема. Такие сервисы вообще стоит использовать с боооольшой осторожностью, так как даже тот номер, что вы считаете своим, легко вас покинет. Вы же вообще взяли чужой номер, а карту после заказа не отвязали. Камон?
И да, откройте для себя виртуалки, под такие случаи как раз удобно. Более безумно только передавать зарплатную карту в час пик в переполненной маршрутке
Ну так в дисклеймере и написал, что все профилактические беседы проведены :) Я прекрасно знаю, что есть виртуалки, лимиты на счета и прочие приятности. Ещё есть тумблеры отключения определённых типов операций, отключение проведения покупок без 3DS
Автор с таким же успехом мог написать «Я оставил в зале ожидания кошелёк и пошёл курить. Когда вернулся - кошелёк пропал. Я, конечно, отчасти виноват, но вокзал мог бы более тщательно следить за моими вещами».
Сбермаркет, конечно, редкостное говно, но если у клиента нет ума, то он прекрасно расстанется с деньгами и без посредников.
Первое: кривой номер, с которым можешь расстаться - никогда не использовать для ответственных и финансовых операций.
Второе: настроить обязательную двухфакторную авторизацию еще проще, чем купить новый номер.
Третье: на карте для онлайн покупок не держать деньги, переводить только для оплаты заказа.
Удалось найти пару таких сервисов с бесплатными номерами и там мало того, что есть предупреждение не использовать их для создания аккаунтов с личными и финансовыми данными, так ещё и общедоступная лента в которой публикуется, откуда пришло смс (например, сбермаркет) и номер телефона, на который оно пришло.
Понятно, что ошибка могла произойти с кем угодно и обидно и жалко.
Но обвинять в этом невиновную сторону в надежде, что ей будет проще компенсировать деньги, чем объясняться на площадке, на которой их и так не очень жалуют — ну такое.
Да, в бесплатных сервисах именно так. Есть платные, где можно на время арендовать номер, и получать приватные сообщения. Но видимо, автор решил сэкономить, а может быть и не знал.
всегда выставляю лимиты на картах тинькофф
пользуюсь виртуалками и меняю их каждый месяц
бед не знаю где бы картами не светил
о моей безопасности никто кроме меня не позаботится
за этот пост мне конечно же заплатил лично тинькофф
Лимиты/Альт.счета + Виртуалки — наше всё <_<
Простите, а вы в каком сервисе бесплатных номеров свой присмотрели? Не в том, в котором также есть лента с информацией, от какого сервиса/сайта на какой номер какая смс пришла? И что, на этом сервисе не было предупреждения не использовать номер для привязки финансовых данных?
А скиньте ссылочку на этот сервис.
Невольно вспомнилось
https://youtu.be/O8WbOS_DlZk
И ещё подскажите, пожалуйста, где реализовано то, что вы предлагаете сделать Сбермаркету (даблчек при авторизации с нового устройства)?
Да то же приложение Яндекс.Go
Не совсем правильно сформулировано у меня в вопросе, но до конца просто и не понятно, что предлагает автор. В его аккаунт, созданный на виртуальный номер телефона, залогинились с помощью того же виртуального номера и смогли расплатиться привязанной картой.
Но, то, что ему при повторной оплате с той же карты не пришёл код на настоящий номер, привязанный к карте — это разве не в настройках карты проблема, что на ней видимо не включено подтверждение операций в интернете с помощью кода?
Это настраивается со стороны банка-эквайера
Эм, нет, код в смс приходит от банка эмитента если соответствующая настройка включена держателем карты
Я вам как человек, работающий с эквайрингом, могу подтвердить, что как провести платеж (с 3DS или без) решает банк-эквайер, а если быть точнее, то магазин, просто в случае неправомерного платежа с карты в эквайринге без 3DS все повышенные риски на себя берет магазин (тот же чарджбэк при таком условии делается гораздо проще). Со стороны банка-эмитента в некоторых банках можно установить запрет на операции без 3DS, не более.
смс приходит только если и эквайер и эмитент поддерживают технологию и запросили ее применение для данной операции. учитывая, что сбермаркет при привязке проверяет 3ds, то проверять каждый раз не обязательно. При этом есть еще ситуация, что сумма заказа может измениться, как ее проводить автоматически?
Просто авторизация по телефону зло, треш, пздц и провокация. По чужому-вообще бред. На основную карту-мазохизм
1. Речь не про каждый заказ. Я лишь предлагаю проверять только после авторизации с нового устройства/ip
2. Проводить изменение суммы списания можно легко и просто. Авторизация (блокировка на карте) может пройти по одной сумме, а вот окончательное списание (клиринг), по другой. И вот клиринг (или отмена) железно высылается торговой точкой после авторизации, на это никаких дополнительных подтверждений от клиента не надо
Так авторизация в сбермаркете и так происходит через смс, отправленное на номер телефона. В нормальных сценариях это достаточная защита. Если кто-то завладеет вашим телефоном (устройством), он все равно и все остальные коды введет, которые попросят. И если вы потеряли телефон, вы сами принимаете все меры, а не вините банки и сервисы.
Но это ж совсем неадекватная ситуация, что кто-то для авторизации будет использовать не свой номер, а какой-то левый, к смс с которого имеет доступ кто угодно, а вот карта у него привязана к нормальному номеру и поэтому нужно ещё раз подтверждать.
Вот и появился сценарий, где недостаточная защита. По сути человеком был получен доступ к платёжному средству (карте) без ограничений сразу после ввода кода из смс.
Кстати, кулстори. Друг как-то сменил номер телефона у одного виртуального мобильного оператора, так на нём был зарегистрирован телеграм-аккаунт.
То есть мог быть и аккаунт того же Сбермаркета, где привязана карта, почему бы нет?
Кстати, насчёт потерянного телефона. (Не помню, как сейчас у ведра дела). Айфон при любом раскладе просит создавать пин для включения, даже если используется Face ID/Touch ID. Так что вероятность кражи телефона со всеми доступами маловероятен
Да, человеком был получен доступ к карте после того, как он ввел смс, полученное на свой номер телефона. Это вы там что-то мутите непонятно зачем, а у нормальных людей и код подтверждения оплаты все равно пришел бы на тот же самый номер, на который минуту назад пришел код подтверждения входа. И у нормального человека это скорее бы вызвало раздражение.
Если вам не понятно, вот ещё раз цитата: "Личным пользоваться не хотелось, ибо привет сливы последних месяцев".
Это тогда можно задаться вопросом о необходимости существования двухсимочных телефонов :) Или вы считаете людей, которые ими пользуются ненормальными тоже?
Я заканчиваю с вами беседовать. У вас нарушена логика, а логическое мышление так устроено, что его нарушение не дает вам понять, в чем именно вы ошибаетесь.
Вы снова приводите примеры, которые не относятся к вашему случаю. Если бы у вас был двухсимочный телефон и вы использовали два своих номера, такой проблемы бы также не возникло и двойное подтверждение было бы также не нужно.
Вы хотите решение от сервиса для случаев когда вы буквально опубликовали онлайн все доступы к вашему кабинету.
По-моему у вас просто закончились аргументы и вы решили оппонента обвинить в отсутствии логики. Которую вы же ломаете переводом спора в разные русла практически в случайном порядке.
Я здесь больше вижу не попытку разобраться в ситуации и хоть сколько-нибудь понять её, сколько самоутвердиться в комментариях. Сделаю вам приятно и процитирую текст: "Да, косяк со стороны пользователя есть".
И, к слову, название звучит как "Потенциальная прореха", это сомнение, не утверждение. Здесь больше речь про предложение доработки, а не сбрасывание целиком и полностью ответственности на сервис. Если вы видите этот текст иначе - это ваша призма восприятия
Конечно, у меня закончились аргументы, они же не бесконечные. Но после вывода о вашей логике написано еще два аргумента, которые вы снова проигнорировали. Вы выбираете отдельные куски, которые решаете комментировать, и тут вас как раз подводит логика. Ну или умышленно так выкручиваете.
Вы пытаетесь подать ситуацию в выгодном вам свете, но почему-то совсем не написали о том, как именно другим человеком был получен доступ к вашему аккаунту.
А он был получен так, что вам было жаль денег за хотя бы сколько-то безопасный номер и вы выбрали бесплатный вариант когда всем посетителям сайта видно на какой номер какая смс пришла и от какого сервиса и каждый мог воспользоваться этими данными. Напоминаете людей, которые требовали от Сбера вернуть им деньги, которые они сами перевели мошенникам.
Сервис с точки зрения безопасности работает нормально. Из этой ситуации нужно сделать выводы только вам.
Теперь точно аргументы всё.
В выгодном свете, это если бы я не проговаривал, что телефоном параллельно кто-то пользовался, например. Это я сразу прописал. Если вам такое надо подчёркивать жирным шрифтом и прописывать в каждом абзаце - увы, такого предоставить персонально не смогу.
И то же самое я уже отвечал вам несколько раз.
Спасибо, что в очередной раз мне напомнили о славных деньках, когда мне по работе приходилось читать отзывы на banki.ru :)
1. Ну ip на телефоне такой себе критерий...
2. А они делают через 2, отмена и новая авторизация. Почему так? А хз. И самокатопрокаты так же делают, поэтому их абузят с пустыми виртуалками.
1. Про IP пример. Вариантов идентификации устройства тьма.
2. Так устроены банковские операции
1. ждать большого ума от тех, кто завязывает на мобильный номер все-уже странно
2. по-разному они устроены. амазон, например, именно в клиринг присылает другую сумму, российские делают отмену старой и проводят новую. может тупые как и в 1 пункте, может есть какая региональная причина
p.s. причины таки нет. втб и московский транспорт делают, как амазон, клиринг на другую сумму без отмены
1. Я оптимист, хе-хе. На самом деле знаю, какого склада ума там работают люди в разработке, поэтому не переживаю на этот счёт.
2. Не, в большинстве ситуаций это хотелки торговых точек. Банки предоставляют инструменты с определёнными правилами от МПС, а ТТ уже сами разбираются, что и как делать.
У Амазона же ещё прикол в том, что они не запрашивают 3DS вообще, сразу клиринг кидают. Интересно, какой процент фрод-операций у них в таком случае. Ведь достаточно только пластика для покупки.
Ой, какие я только жонглирования отменами/клирингами/авторизациями от торговых точек не видел :D Тут реально всё зависит от фантазии ТТ.
Скипнул свой ответ про самокатопрокаты. Даже если арбузить на виртуалках (а сейчас их анонимными в стране попросту не сделать, зарубежные карты тоже не сканают), за такое банк уже отправит в бан. Там видят, когда у челика тьма виртуалок и куча авторизашек для привязки к сервису карты
1. даже если кодер хорош, но менеджер и тз говно, результат предсказуем
2. 3ds зло, так как лишает человека нулевой ответственности и создает лишние сложности по оплате, при этом мошенники так или иначе деньги уводят: обманом по телефону или фейковым сайтом, где человек себе сам купит билеты и введет все коды.
Вы не поняли схему с самокатопрокатами, там не повисает долг на банке. Идет авторизация на 500р (залог), после ее списания карта блокируется или ставится лимит. Катаемся, сколько хотим, но менее 500р, после этого завершаем поездку (например накатались на 400), идет отмена 500 (они приходят даже на блокированную или с лимитом) и идет попытка списать 400, и вот она натыкается на болт. Если бы по клирингу просто присылалась другая сумма, то схема не канала бы. А тут..
Тот случай когда "сам дурак"
Разве я это отрицаю?