22 сентября 2017 в 23:26 (МСК) | сохранено

H AliExpress «невероятные» возможности вашего профиля в интернет-магазине в черновиках

Платежные системы, Криптография, Информационная безопасность, Анализ и проектирование систем, IT-стандарты

Добрый вечер! Покупки — это здорово, а если на Алиэкспресс, то еще и не дорого, но правда рискованно и обычно долго. Конечно над ним постоянно работают, это видно, но пока еще не понятно многое.

Просьба

Началось с того, что меня попросили заказать в интерне-магазине на «Али» противоударный телефон для ребенка. Подобрали модель, согласовали, решили заказывать.
Что то не заладилось сразу и обзавестись профилем в PayPal удалось, а вот привязать к нему карту — нет.
Сразу оговорюсь, что электронными деньгами и картами пользуюсь очень аккуратно и никогда не храню на них деньги, ну если только до 1 000,00 рублей.
Попробовала заплатить картой напрямую, но все равно ничего не получалось. В какой то момент даже засомневавшись узнала баланс на счете, вдруг денег там нет.
Деньги были и в достаточном количестве.

Вышла из одного профиля и зашла в другой, с которого уже делала покупки. Раньше платила с VISA, решила что платеж не проходит потому что у покупателя Маэстро, по крайней мере я не нашла такого значка в списке пластиковых карт.

В общем-то с самого начала я на электронную почту покупателя зарегистрировала профиль в интернет-магазине, затем добавила карту Маэстро, но платеж не проходил. Забавно что система PayPal со счета списала примерно один доллар, но платеж в пользу продавца не проходил ни как.
У покупателя не было карты VISA, она была только у его супруги, мне скинули фотки карты, но было лень все заново регистрировать, и я добавила карту супруги покупателя на свой профиль.

И тут, вдруг...

«Спасибо за ваш платеж!» или что то подобное выдала мне система. Интересно! Только два реквизита я вводила не с карты — это дата рождения, и номер телефона. Но узнать их не составит определенного труда злоумышленнику, если он напрямую знаком с жертвой или имеет доступ к документации. Или допустим какие то знакомые, коллеги, родственники, не важно, мало ли.
Покупателю сказала, что должно прийти СМС-сообщение из банка с подтверждением платежа, что б они не пропустили и обязательно мне позвонили, сообщили.

Как то прям даже неловко

На следующий день знакомый перезвонил и сказал, что деньги списаны, их просто списали и все. Сообщение пришло такое же, как из банкомата, когда переводишь средства.
И тут возник резонный вопрос — а как? Как так получается, что не какой аутентификации платежа не было и он «провелся» не смотря на то, что владелец карты не был владельцем профиля? Странно, но а как же безопасность? Это допустимо или какая то ошибка при разработке?

Послесловие

Не смотря ни на что, телефон пришел и ребенку очень понравился, а это наверное главное). Проходя по различным учреждениям обращаю внимания как люди заполняющие различные заявления бросают свои документы и карты, наивно полагая, что списать с нее средства не зная пароль, под силу только хакерам или спец.службам.
Как видно из рассказа выше балованный сын или транжира-подружка смогут осуществить покупку с вашей карты на AliExpress, в принципе без вашего согласия и на приличную сумму.
Возможно я не права и это только рассуждения, но лишний раз подтверждает, что ваши деньги те — что у вас в кармане.

покупки в интернет, aliexpress, платёжные системы, платежные карты

–1

678

ninadinastiia

комментарии (18)

croupier , 22 сентября 2017 в 23:36 (МСК)

На подобное способны многие площадки, например хостер DigitalOcean. Не специалист в этой сфере, но полагаю, что есть какие-то типа сертификаты повышенного доверия, которые позволяют такое продавцам.

rananyev , 22 сентября 2017 в 23:51 (МСК) * (был изменён)

Отключенный 3DS на стороне банка-эквайера, ответственность на фрод на его стороне. Загадка решена.

//closed

dartraiden , 22 сентября 2017 в 23:52 (МСК) * (был изменён)

У Амазона точно так же. Если компания готова нести риски, связанные с фродом, то она может таким образом упростить жизнь клиентам.

ebragim , 22 сентября 2017 в 23:55 (МСК)

Всё гораздо проще. Есть разные виды аутентификации. Например, терминал в магазине может быть настроен так, чтобы запрашивать у вас и пин и подпись, или даже игнорировать записанные в чипе карты приоритеты аутентификации. Но в случае разных методов подтверждения, ответственность несёт или банк, или продадец, или покупатель.
То же самое с оплатой через интернет экваринг: у вас могут не запросить 3d-secure код или даже cvc/cvv, но в таком случае спорные операции будут за счёт продавца. Многие экваринги блокируют продавцов с большим количеством жалоб, видимо, али на это пофиг, или они даже экваринг им и принадлежит.

ninadinastiia , 22 сентября 2017 в 23:58 (МСК)

Видимо пофиг) Интересно как бы это пояснил Сбербанк.

Shtucer , 23 сентября 2017 в 00:21 (МСК)

А что он должен пояснить?

Marwin , 23 сентября 2017 в 00:47 (МСК)

Вы правда впервые с этим столкнулись? Как правильно ответили выше — то, что не спросили никаких подтверждений — это личное и законное дело любой платежной системы. Подтверждение — лишь способ перекладывания ответственности при спорных ситуациях. Платежи-то прозрачны. В случае чего всех найдут и по паспорту первого встречного алкаша такие права не дают.
Как же бы тогда работали все эти автоплатежи за телефон и квартплаты, да и миллион других сервисов, ежемесячно списывающих абоненплату ))

croupier , 22 сентября 2017 в 23:56 (МСК)

У Тинькова в личном кабинете можно включать и выключать интернет-платежи. Удобно для параноика)

rokobungi , 22 сентября 2017 в 23:41 (МСК)

Простите за оффтоп, но…

ни как

не какой аутентификации

и ещё много ошибок… Может, не стоит спешить с размещением статьи, а предварительно хотя бы в Word'е на ошибки проверить?

ninadinastiia , 22 сентября 2017 в 23:46 (МСК)

Возможно вы правы, спешить не стоило. спасибо за исправления.

MikeKosulin , 22 сентября 2017 в 23:53 (МСК)

Заметив что различается тип карты, платила я с VISA, решила что платеж не проходит потому что у покупателя Маэстро.

Как-то очень непонятно, что Вы там решили.

ninadinastiia , 22 сентября 2017 в 23:54 (МСК)

Решила что это из-за того, что карта Маэстро)

a1888877 , 23 сентября 2017 в 00:07 (МСК)

И тут возник резонный вопрос — а как?

По коду cvv2. Странно что вопрос возникает. Там с карточкой банк ещё бумаги давал, в которых пару раз указывалось, что номер карты, имя владельца, срок действия и cvv2 нельзя разглашать.

ninadinastiia , 23 сентября 2017 в 00:15 (МСК)

Сразу оговорюсь, что электронными деньгами и картами пользуюсь очень аккуратно и никогда не храню на них деньги, ну если только до 1 000,00 рублей.

Очень редко этим пользуюсь, Яндекс-деньги больше нравится.

seokirill , 23 сентября 2017 в 00:34 (МСК)

Стесняюсь спросить, а как ЭТО связано с разработкой, проектированием систем или криптографией?

Это позиционируется как техническая статья или «пятничный флейм формат, крик души»?

ninadinastiia , 23 сентября 2017 в 00:43 (МСК)

Пока как «несколько дней на сайте». Критику учту, спасибо.

AgentSmith , 23 сентября 2017 в 00:44 (МСК)

«Вообщем то»?
Деточка, пиши правильно — «в общем-то».
Да, надо писать именно так — «в общем-то». Мне карму слили из-за того, что поправляю неграмотных.
Так что, запомните:
«в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то»

ninadinastiia , 23 сентября 2017 в 00:50 (МСК)

Не стоит утрировать. Сочувствую, что слили карму, но нервничать так не стоит. Обязательно буду стараться писать правильно.