Билайн и карточки

[nataraj]

Поскольку этот бред уже до коммерсанта дошел (или собирается дойти), таки скажу:

Авторизация (или как там оно называется) по карточке _не_может_ пройти на уровне банка эмитента, если не указаны ФИО. Поэтому билайн _должен_ указывать какие-то ФИО при привязке и снятия денег с карты.
Как вы думаете, почему при привязке карты билайн таки не спрашивает ФИО? Я подозреваю ровно потому что он считает что он ФИО уже знает. Оно в контракте написано. Так что тот факт что они ФИО не спрашивают, это не проеб, это доп. уровень защиты, чтобы клиент мог воспользоваться только своей карточной, и никак не чужой...

Так что прежде чем кричать об уязвимости, надо хотя-бы прару тестов прогнать. Думаю что тест с привязкой карточки жены к своему телефону не прошел бы.

Comments

[lodin]

Где ж ты раньше был, хоть бы у меня откомментил. Так-то совсем другое дело!

[alexkuklin.livejournal.com]

А ты проверил?
Я не могу, т.к. там надо на короткий номер звонить.

[alexkuklin.livejournal.com]

И, кстати о птичках.
1) cardholder name НЕ проверяется
2) может отличаться от того, как его читает билайн.

[ask-ripe.livejournal.com]

да? с чего ты это взял... проверять привязку своей карточки к телефону жены мне лень - но истинно тебе говорю, сотрудники процессингово центра банка хозяев билайна технических неувязок не увидели...


Gor
P.S. хотя лажа на самом деле в другом - очень сложно не отозвать транзакцию... те большинство банков будут сильно сопротивляться - но при должном усилии отзовут MC и почти наверняка транзакцию VISA. AMEX отзывается настолько легко, что ими и заплатить то - проблема... (например в парижском такси на мой корпоративный amex обиделись и предложили заплатить кешем. ну или если я очень настаиваю - то амексом но в 1.5 раза больше)

[shaplov.livejournal.com]

А меня эта мысль посетила спустя какое-то осмысленное время, вдали от интернета...

[shaplov.livejournal.com]

Слушай, если cardholder name не проверяется, то тогда проблема вовсе не в билайне, а в моем банке, который это позволяет...

И тогда бы уже давно снимали бы миллионы, потому что угадать год выпуска таки действительно крайне просто...

[alexkuklin.livejournal.com]

Я тебе умный вещь скажу, ты только не обижайся.
Ты бы сначала узнал, да?

Так вот, платежные точки бывают разные.
Те платежные точки, которые числятся как online, должны предоставлять (как минимум) PAN, EXP и CVV, причем CVV нельзя хранить ни в каком случае.
Есть другие типы платежных точек, которые числятся как, например, авиакассы или там отели, им можно делать операции без CVV, т.к. это не онлайн, а телефонная авторизация, и при этом чувака, который попытался оплатить чужой картой гостиницу [без ведома владельца карты] - [теоретически] возьмут за жопу.
Кто дал право билайну работать без CVV, без какой либо авторизации карты по выписке (читай, снятия случайной суммы, как делает мегафон, с последующим подтверждением; или указанием кода в выписке, как делает paypal) - очень хороший вопрос, и когда им зададутся в нужном месте - я полагаю, кому-то потребуется годовой запас вазелина.

[telecom-jur.livejournal.com]

речь идет о привязке определенной карты к номеру телефона, позвольте уж и мне прокомментировать... если клиент "засветил" где-то номер своей карты, а мошеннику удалось при помощи программы (ну или как-то иначе) подобрать комбинацию, то: 1. больше 1000 руб. за сутки и более 1500 руб. в месяц не списать, 2. существует нотификация о тестовом списании суммы в 2 руб., которую видит клиент и может заблокировать карту, 3. и уж если деньги украли, то пишите заявление в банк, после рассмотрения деньги вернут, даже если их вывели со счетов оператора.