Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Соцсети
Телеграм
Крипто
Право
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Виктор Ефимов
Приёмная

В режиме инкогнито в yoomoney появились данные сохранённой карты

Итак. Берём компьютер, которым никогда не пользовались, открываем инкогнито браузера. Регистрируемся в малоизвестном сервисе доставки еды (наверное не важно какой). Переходим к оплате, и.. на странице оплаты yoomoney.ru видим свою существующую карту (видны первые и последние цифры). Осталось ввести только CVC и оплата пройдёт.

Как такое возможно вообще?

Единственное что приходит на ум - в сервисе доставки еды регистрируемся по телефону, вводим код из sms, далее, сервис доставки сообщает номер телефона в yoomoney, yoomoney "верит" ему, что он проверил что номер телефона действительно принадлежит этому пользователю. После этого разрешает списать деньги с карты, с вводом CVC. (но это всё догадки, самый оптимистичный сценарий, что пришёл на ум).

Какие тут проблемы могут быть? Ну наверное когда-нибудь найдётся магазин, подключённый к yoomoney, в который можно попасть, обойдя проверку кода по sms. Магазины же, это не банки, там безопасность меньше После этого через такой магазин можно заказать что-то себе (а не жертве), зная номер телефона жертвы с CVC. Или, например, узнать часть цифр карт жертвы, зная номер телефона.

Кстати, конкретно в этом магазине отсутствует кнопка логаута, это показывает как они относятся к безопасности; получается если человек зашёл в магазин через чужой компьютер, он не сможет нормально выйти, и владелец этого компьютера в будущем может платить картой человека, если узнает CVC).

Теперь, если вам пришла sms "вы зарегистрированы в магазине XXX, вот код", то нужно беречь этот код, этот код - это не просто аккаунт в каком-то магазине, это ворота к вашим деньгам.

UPD: ещё проблема, если вы опплатили на своём компьютере своей картой оплату чужой покупки в чужом аккаунте магазина, ваша карта останется доступной для оплаты владельцу аккаунта магазина (предупреждения или галочки "не сохранять карту" нет). Разве это не уязвимость?

В этой ситуации больше всего напрягает что это всё не документировано, многие не задумываются что такое вообще может быть, не прозрачно кто и когда открывает возможность оплаты вашей картой, и по какой логике.

3
25 комментариев