{"id":13719,"url":"\/distributions\/13719\/click?bit=1&hash=37b45e8fe8a3625aef844bacce12930f8ac4bfdf7a80e1fcdab7e733d5e7289d","title":"\u0417\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0432 \u043e\u0434\u0438\u043d\u043e\u0447\u043a\u0443 \u0431\u0440\u0435\u043d\u0434 \u2014 \u0438 \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u0442\u044c \u0435\u0433\u043e \u043d\u0430 \u043c\u0430\u0440\u043a\u0435\u0442\u043f\u043b\u0435\u0439\u0441\u0435","buttonText":"\u041a\u0430\u043a?","imageUuid":"67c99c35-0857-5d4a-9a03-08ce9292f882","isPaidAndBannersEnabled":false}

Опасная уязвимость при онлайн оплате картой Альфа-банка

Доброго времени суток.

В последнее время активно пользуюсь продуктами Альфа-банка и всем, казалось бы, доволен - кэшбэк внушительный, бонусная политика очень интересная, приложение удобное и шустрое, ни разу не падало по моей памяти. Разве могут обнаружиться какие-то проблемы? К сожалению, могут...

Мне сложно оценить, насколько выявленная уязвимость может быть опасна, однако сам факт её наличия вызывает настороженность. Итак, о чём же всё-таки речь:

Некоторое время назад я, будучи студентом, как обычно зашёл на перерыве между парами покушать во "Вкусно и точка". Заказы я всегда делаю через мобильное приложение, поэтому и в этот раз я достал телефон, выбрал еду и нажал "Оформить". После этого началась знакомая процедура оплаты. Карта Альфа-банка, надо заметить, у меня к приложению была привязана.
А мы тем временем подходим к кульминации рассказа... В процессе оплаты заказа, даже если карта привязана к приложению, в целях безопасности всегда запрашивается индивидуальный CVC-код. Так вот, в этот раз, при вводе этого кода я допустил опечатку, которую сразу же заметил, однако кнопка "Оплатить" была уже нажата. Я подумал, что сейчас передо мной появится ошибка оплаты и будет предложено пройти процедуру заново, однако, к моему удивлению, оплата прошла успешно и заказ был подтверждён, а деньги с карты списались.
Пока я кушал тот самый заказ, в голове крутились разные мысли по поводу произошедшего. Первое, что приходило в голову - что опечатка мне лишь почудилась, и всё было введено верно. Вторая мысль была о том, что эксперимент надо повторить, а если уязвимость зафиксируется, проверить её наличие при оплате с картами других банков.
Сказано - сделано. При следующей покупке любимой картошки с наггетсами я уже намеренно ввёл неправильный CVC-код и снял процесс оплаты на захват экрана. К моему удивлению, никакой ошибки опять не возникло. Вот, собственно, то самое видео с оплатой и фото карты, которой производилась оплата:

Обратите внимание на последнюю цифру кода
При оплате заказа я ввожу совсем другую цифру

К слову, при оплате картой другого банка, ввод неправильного CVC-кода приводил к ошибке и отмене заказа.

Итак, какой же я вывод сделал по результатам проделанного эксперимента? На лицо представляющая угрозу для пользователей уязвимость. Как ей может воспользоваться злоумышленник? Ну, самое простое, что приходит в голову - если ваш телефон попадёт в чужие руки, деньгами с вашей карты смогут воспользоваться, не вводя каких-либо паролей. А ведь у многих установлены не только приложения ресторанов быстрого питания, а ещё и, например, интернет-магазины.
В общем, многим проблема может показаться не стоящей внимания, но я считаю, что организация, обслуживающая денежные средства пользователей, в первую очередь должна обеспечивать сохранность этих денежных средств, а остальное - второстепенно.

0
5 комментариев
Альфа-Банк

Тимофей, приветствуем.

Спасибо, что рассказали об этой ситуации.
Постараемся успокоить: почти все покупки в интернете проходят с подтверждением по коду из смс, поэтому даже если кому-то станут известны реквизиты вашей карты, без смс-кода оплату сделать не получится.

Почему такое могло произойти?
Оплата в приложении проходит через эквайринг Сбера — это видно на записи экрана в посте. Так как карта уже сохранена в приложении, а также по ней уже проходила оплата по правильным реквизитам, эквайер мог запомнить эти данные.

Почему по другой карте оплата не прошла?
Два варианта: либо это карта, которой вы раньше не делали оплату в этом приложении, поэтому у эквайера пока нет её корректных данных, либо это карта того же банка, что и эквайер.

Мы следим за тем, чтобы ваши деньги были в безопасности 🙏

Ответить
Развернуть ветку
Илья Чирков

Вы о главном забыли. CVC вы в принципе не проверяете при оплате

Ответить
Развернуть ветку
Альфа-Банк

Здравствуйте, Илья! Мы проверяем данные карты при оплате. Судя по всему, в этом случае эквайер запомнил данные и CVC, который вводили раньше, и отправил их при подтверждении операции.

Ответить
Развернуть ветку
Илья Чирков

Ну зачем врать? :) вы даже официальный ответ давали, что да, CVV не проверяем, потому что и так есть проверка по смс. Например, тут - https://www.banki.ru/services/responses/bank/response/10133962/

Ответить
Развернуть ветку
Альфа-Банк

Извините, не совсем правильно написали. Происходит проверка CVC или нет, зависит от того, какие технологии безопасности поддерживаются интернет-магазином. Если на сайте предусмотрена технология 3D Secure, то трёхзначный код не проверяем, так как подтверждение проходит при помощи смс. В остальных случаях проводим проверку CVC, и, если он указан неверно, операцию отклоняем.

Ответить
Развернуть ветку
Читать все 5 комментариев
null