Доброго времени суток.
В последнее время активно пользуюсь продуктами Альфа-банка и всем, казалось бы, доволен - кэшбэк внушительный, бонусная политика очень интересная, приложение удобное и шустрое, ни разу не падало по моей памяти. Разве могут обнаружиться какие-то проблемы? К сожалению, могут...
Мне сложно оценить, насколько выявленная уязвимость может быть опасна, однако сам факт её наличия вызывает настороженность. Итак, о чём же всё-таки речь:
Некоторое время назад я, будучи студентом, как обычно зашёл на перерыве между парами покушать во "Вкусно и точка". Заказы я всегда делаю через мобильное приложение, поэтому и в этот раз я достал телефон, выбрал еду и нажал "Оформить". После этого началась знакомая процедура оплаты. Карта Альфа-банка, надо заметить, у меня к приложению была привязана.
А мы тем временем подходим к кульминации рассказа... В процессе оплаты заказа, даже если карта привязана к приложению, в целях безопасности всегда запрашивается индивидуальный CVC-код. Так вот, в этот раз, при вводе этого кода я допустил опечатку, которую сразу же заметил, однако кнопка "Оплатить" была уже нажата. Я подумал, что сейчас передо мной появится ошибка оплаты и будет предложено пройти процедуру заново, однако, к моему удивлению, оплата прошла успешно и заказ был подтверждён, а деньги с карты списались.
Пока я кушал тот самый заказ, в голове крутились разные мысли по поводу произошедшего. Первое, что приходило в голову - что опечатка мне лишь почудилась, и всё было введено верно. Вторая мысль была о том, что эксперимент надо повторить, а если уязвимость зафиксируется, проверить её наличие при оплате с картами других банков.
Сказано - сделано. При следующей покупке любимой картошки с наггетсами я уже намеренно ввёл неправильный CVC-код и снял процесс оплаты на захват экрана. К моему удивлению, никакой ошибки опять не возникло. Вот, собственно, то самое видео с оплатой и фото карты, которой производилась оплата:
К слову, при оплате картой другого банка, ввод неправильного CVC-кода приводил к ошибке и отмене заказа.
Итак, какой же я вывод сделал по результатам проделанного эксперимента? На лицо представляющая угрозу для пользователей уязвимость. Как ей может воспользоваться злоумышленник? Ну, самое простое, что приходит в голову - если ваш телефон попадёт в чужие руки, деньгами с вашей карты смогут воспользоваться, не вводя каких-либо паролей. А ведь у многих установлены не только приложения ресторанов быстрого питания, а ещё и, например, интернет-магазины.
В общем, многим проблема может показаться не стоящей внимания, но я считаю, что организация, обслуживающая денежные средства пользователей, в первую очередь должна обеспечивать сохранность этих денежных средств, а остальное - второстепенно.
Тимофей, приветствуем.
Спасибо, что рассказали об этой ситуации.
Постараемся успокоить: почти все покупки в интернете проходят с подтверждением по коду из смс, поэтому даже если кому-то станут известны реквизиты вашей карты, без смс-кода оплату сделать не получится.
Почему такое могло произойти?
Оплата в приложении проходит через эквайринг Сбера — это видно на записи экрана в посте. Так как карта уже сохранена в приложении, а также по ней уже проходила оплата по правильным реквизитам, эквайер мог запомнить эти данные.
Почему по другой карте оплата не прошла?
Два варианта: либо это карта, которой вы раньше не делали оплату в этом приложении, поэтому у эквайера пока нет её корректных данных, либо это карта того же банка, что и эквайер.
Мы следим за тем, чтобы ваши деньги были в безопасности 🙏
Вы о главном забыли. CVC вы в принципе не проверяете при оплате
Здравствуйте, Илья! Мы проверяем данные карты при оплате. Судя по всему, в этом случае эквайер запомнил данные и CVC, который вводили раньше, и отправил их при подтверждении операции.
Ну зачем врать? :) вы даже официальный ответ давали, что да, CVV не проверяем, потому что и так есть проверка по смс. Например, тут - https://www.banki.ru/services/responses/bank/response/10133962/
Извините, не совсем правильно написали. Происходит проверка CVC или нет, зависит от того, какие технологии безопасности поддерживаются интернет-магазином. Если на сайте предусмотрена технология 3D Secure, то трёхзначный код не проверяем, так как подтверждение проходит при помощи смс. В остальных случаях проводим проверку CVC, и, если он указан неверно, операцию отклоняем.