Комментарии 21
Можно следить за драмой на реддит:
www.reddit.com/r/Steam
www.reddit.com/r/Steam
0
Да, наблюдал такое. Было очень странно.
Кстати, я не понимаю, как деньги с чужих карт уводили — оно же при платеже CVV просит, нет?
Кстати, я не понимаю, как деньги с чужих карт уводили — оно же при платеже CVV просит, нет?
+1
Многие просят CVV, но не все это проверяют.
0
Очень часто банки кешируют (как в тему!) связку карта-магазин и повторные платежи авторизуются автоматически. Яркий пример — пейпал и т.п. системы.
+1
У того же PayPal можно в личном кабинете отключить все привязки к сервисам, которые могут списывать деньги без подтверждений. А вот с обычными банками я такого не видел.
0
Я про другое.
Вот смотрите, вы делаете заказ где-либо, там оплата через PayPal, переходите по ссылке, входите в аккаунт, видите что деньги будут сниматься с карты 1234 (которая привязана к PayPal), и нажимаете оплатить. Все! Деньги сняты без CVV и без 3D Secure! Хотя на карте все включено. Т.е. сама возможность отключения 3D Secure для конкретных связок мерчант-карта есть. И зависит она скорее всего от банка.
Аналогично работает оплата и с другими сервисами. Например, есть хостер, при первой оплате в его пользу я вводил 3D Secure код и CVV, но при последующих — только CVV. Значит банк «закешировал» данного мерчанта/бенефициара для конкретной карты.
Технические детали могут рассказать люди, близкие к банковской системе.
Вот смотрите, вы делаете заказ где-либо, там оплата через PayPal, переходите по ссылке, входите в аккаунт, видите что деньги будут сниматься с карты 1234 (которая привязана к PayPal), и нажимаете оплатить. Все! Деньги сняты без CVV и без 3D Secure! Хотя на карте все включено. Т.е. сама возможность отключения 3D Secure для конкретных связок мерчант-карта есть. И зависит она скорее всего от банка.
Аналогично работает оплата и с другими сервисами. Например, есть хостер, при первой оплате в его пользу я вводил 3D Secure код и CVV, но при последующих — только CVV. Значит банк «закешировал» данного мерчанта/бенефициара для конкретной карты.
Технические детали могут рассказать люди, близкие к банковской системе.
+2
Это не закешировал, это «recurring transaction».
0
Займусь буквоедством. Какой еще recurring? :)
Recurring это subscription (подписка) — т.е. снятие равной суммы (первая может отличаться) через определенный период.
Я же говорю про платежи в пользу одного и того же мерчанта/продавца. Это разные суммы, разные сроки и т.п.
Соглашусь с вами только в том случае если recurring transaction это некий установившийся внутрибанковский термин.
Recurring это subscription (подписка) — т.е. снятие равной суммы (первая может отличаться) через определенный период.
Я же говорю про платежи в пользу одного и того же мерчанта/продавца. Это разные суммы, разные сроки и т.п.
Соглашусь с вами только в том случае если recurring transaction это некий установившийся внутрибанковский термин.
0
Про рекарринг — это ваш пример про хостера с ежемесячными платежами.
А то, что вы описывали, насколько помню, называют токенизацией. Т.е. при первой авторизационной оплате списывается некая сумма, на платежном шлюзе ставится флажок «разрешить» и системе продавца отдается некий ключ, по которому потом можно проводить оплату в автоматическом режиме без участия покупателя. Требование CVV/3DS тут на усмотрение платежной системы (хотя, емнип, у банка есть способ форсить 3DS / SecureCode для своих карт).
А то, что вы описывали, насколько помню, называют токенизацией. Т.е. при первой авторизационной оплате списывается некая сумма, на платежном шлюзе ставится флажок «разрешить» и системе продавца отдается некий ключ, по которому потом можно проводить оплату в автоматическом режиме без участия покупателя. Требование CVV/3DS тут на усмотрение платежной системы (хотя, емнип, у банка есть способ форсить 3DS / SecureCode для своих карт).
0
Забыли поставить Cache-Control: private на реверс прокси кеше скорее всего
0
НЛО прилетело и опубликовало эту надпись здесь
Скорее всего, комбинация. В числе прочего можно было увидеть E-mail аккаунта, последние цифры карточки, историю покупок, возможно, ещё и телефон. Дальше — социнженерия.
0
НЛО прилетело и опубликовало эту надпись здесь
Да без проблем. Уж если отдельные индивидуумы во вконтактиках сами выкладывают фотки обеих сторон карточки по просьбе «друзей», желающих «оценить дизайн»… А тут много и не надо. «Мы — техподдержка, Steam взломан, ваша карточка утекла, сообщите полные данные, чтобы мы могли её проверить и/или перепривязать обратно к вашему аккаунту.» Для чуть более подкованных — «чтобы мы могли провести тестовый платёж (деньги зачислятся на стим-кошелёк/будут возвращены на карту/не спишутся вообще — нужное подчеркнуть)». И это самые простые варианты, что сходу пришли в голову. Те, кто этим занимаются, наверняка имеют в рукаве сотню-другую «сравнительно честных способов отъёма денег у населения».
+2
Прошу прощения за оффтоп, просто очень похоже на одну ситуацию с почтой яндекса. Около года назад коллега поинтересовался, как получилось, что в почте его сына (школьник, класс пятый) внезапно появилась переписка за несколько лет явно какой-то женщины. Со всеми цепочками, вложениями и т.д. Я тогда поудивлялся, написал в яндекс, но сам так и не понял сути феномена.
0
А откуда информация про «У некоторых пользователей увели крупные суммы денег в привязанной кредитки»?
Просто Valve официально СМИ сказали иное: «We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users.»
Просто Valve официально СМИ сказали иное: «We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users.»
0
Ну все правильно, кроме просмотра закешированных страниц никуда больше залезть нельзя было. А что было на этих страницах и как этим воспользуются это уже другой вопрос. Я тут читал на одном форуме что парню пришла смс с неизвестного номером с текстом «НЕ ЗАХОДИ В СТИМ», уж не знаю насколько правда, но такая ситуация вполне вероятна.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
У Steam проблемы с кешированием, из-за которой пользователи видят информацию о чужих аккаунтах