Pull to refresh

Comments 16

Спасибо за статью.
Но иногда, мне кажется что для того, чтобы обезопасить платежи, нужно просто тупо что-нибудь новое разрабатывать. Даже неважно насколько безопасное, ключевое слово — постоянно.

И постоянно хакеры будут это ломать, но если разработка не будет останавливаться, то методы взлома не успеют войти в массы, и так и будет — вечный небезопасный платеж на очередной новой технологии, и маленький процент хакеров в тренде, которые в нем разобраться и что-то подхачить. Затем все по новой. Лишь бы не остановиться на месте на год-два, чтобы способы взлома не появились на каком-нить пикабу.
А как устроена оплата через приложение Тиньков для телефонов Android с NFC? Я думал, что Apple/Google Pay работают по аналогичному принципу, и вопрос работоспособности этих технологий лежал лишь в юридической плоскости.
Не знаю насчет Тинькова, но в «Кошельке» (который cardsmobile для любых устройств с 4.4 и NFC) и Google Pay используется Host Card Emulation, вроде бы работающий так, как описано в статье (т.е. клиенту отдается только одноразовый токен), а у Apple и более старых «кошельков» все завязано на Secure Element, работающий как чип в настоящей PayPass-карте.
Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».

Что за чушь. Когда сайт продавца взломан, мониторятся поля ввода и вся информация прекрасно собирается взломщиком до того, как она попадёт в облако.
Под взломом подразумевается доступ к базе данных, где могут храниться данные о клиентах, включая номера карточки.

Отследить, что на сайте выполняется чужой код — не так уж и сложно, и провисит оно там не так уж и долго — много ли данных соберет?

А скопировать базу клиентов за последние 2-3 года с готовыми данными — это совсем другое дело.
UFO just landed and posted this here
токен каждый раз выдается новый на конкретную операцию.
А данные карточки можно использовать, чтобы например снять сразу наличку в банкомате, или оплатить что-то в другом магазине, плюс чтобы пользоваться социальным инженерингом.
На сайте продавца нет ввода данных карточки.
UFO just landed and posted this here
Потому что токен генерируется каждый раз новый для новой транзакции. Украв старый токен ничего сделать нельзя — по нему уже была проведена операция и новую провести невозможно.
Не совсем так. Всякие оффлайн-платежи (допустим, по подписке с карты снимают сумму раз в месяц) тоже работают через токенизацию. Токен в таком сценарии переиспользуется.
Много текста и мало смысла. Описание того «как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard» видимо надо искать по ссылкам на оригинальные статьи?
Собственно, технология токенизации далеко не нова, и используется в других странах.

Насколько я понял, то, что делают у нас сейчас — это внедрение внутреннего сервиса токенизации. Эдакий отечественный аналог Stripe и иже с ними.

Таким образом обходится ограничение на передачу данных на иностранные сервера, в соответствии с Российским законодательством.
Реально информация о банковских картах передается только на сервер токенизации (который теперь будет внутри страны).
Яндекс.Деньги уже имеют бесконтактные платежи…
Менеджера/сеошника посадили писать статью?
Sign up to leave a comment.