Комментарии 21
Можно следить за драмой на реддит:
www.reddit.com/r/Steam
www.reddit.com/r/Steam
Да, наблюдал такое. Было очень странно.
Кстати, я не понимаю, как деньги с чужих карт уводили — оно же при платеже CVV просит, нет?
Кстати, я не понимаю, как деньги с чужих карт уводили — оно же при платеже CVV просит, нет?
Многие просят CVV, но не все это проверяют.
Очень часто банки кешируют (как в тему!) связку карта-магазин и повторные платежи авторизуются автоматически. Яркий пример — пейпал и т.п. системы.
У того же PayPal можно в личном кабинете отключить все привязки к сервисам, которые могут списывать деньги без подтверждений. А вот с обычными банками я такого не видел.
Я про другое.
Вот смотрите, вы делаете заказ где-либо, там оплата через PayPal, переходите по ссылке, входите в аккаунт, видите что деньги будут сниматься с карты 1234 (которая привязана к PayPal), и нажимаете оплатить. Все! Деньги сняты без CVV и без 3D Secure! Хотя на карте все включено. Т.е. сама возможность отключения 3D Secure для конкретных связок мерчант-карта есть. И зависит она скорее всего от банка.
Аналогично работает оплата и с другими сервисами. Например, есть хостер, при первой оплате в его пользу я вводил 3D Secure код и CVV, но при последующих — только CVV. Значит банк «закешировал» данного мерчанта/бенефициара для конкретной карты.
Технические детали могут рассказать люди, близкие к банковской системе.
Вот смотрите, вы делаете заказ где-либо, там оплата через PayPal, переходите по ссылке, входите в аккаунт, видите что деньги будут сниматься с карты 1234 (которая привязана к PayPal), и нажимаете оплатить. Все! Деньги сняты без CVV и без 3D Secure! Хотя на карте все включено. Т.е. сама возможность отключения 3D Secure для конкретных связок мерчант-карта есть. И зависит она скорее всего от банка.
Аналогично работает оплата и с другими сервисами. Например, есть хостер, при первой оплате в его пользу я вводил 3D Secure код и CVV, но при последующих — только CVV. Значит банк «закешировал» данного мерчанта/бенефициара для конкретной карты.
Технические детали могут рассказать люди, близкие к банковской системе.
Это не закешировал, это «recurring transaction».
Займусь буквоедством. Какой еще recurring? :)
Recurring это subscription (подписка) — т.е. снятие равной суммы (первая может отличаться) через определенный период.
Я же говорю про платежи в пользу одного и того же мерчанта/продавца. Это разные суммы, разные сроки и т.п.
Соглашусь с вами только в том случае если recurring transaction это некий установившийся внутрибанковский термин.
Recurring это subscription (подписка) — т.е. снятие равной суммы (первая может отличаться) через определенный период.
Я же говорю про платежи в пользу одного и того же мерчанта/продавца. Это разные суммы, разные сроки и т.п.
Соглашусь с вами только в том случае если recurring transaction это некий установившийся внутрибанковский термин.
Про рекарринг — это ваш пример про хостера с ежемесячными платежами.
А то, что вы описывали, насколько помню, называют токенизацией. Т.е. при первой авторизационной оплате списывается некая сумма, на платежном шлюзе ставится флажок «разрешить» и системе продавца отдается некий ключ, по которому потом можно проводить оплату в автоматическом режиме без участия покупателя. Требование CVV/3DS тут на усмотрение платежной системы (хотя, емнип, у банка есть способ форсить 3DS / SecureCode для своих карт).
А то, что вы описывали, насколько помню, называют токенизацией. Т.е. при первой авторизационной оплате списывается некая сумма, на платежном шлюзе ставится флажок «разрешить» и системе продавца отдается некий ключ, по которому потом можно проводить оплату в автоматическом режиме без участия покупателя. Требование CVV/3DS тут на усмотрение платежной системы (хотя, емнип, у банка есть способ форсить 3DS / SecureCode для своих карт).
Забыли поставить Cache-Control: private на реверс прокси кеше скорее всего
НЛО прилетело и опубликовало эту надпись здесь
Скорее всего, комбинация. В числе прочего можно было увидеть E-mail аккаунта, последние цифры карточки, историю покупок, возможно, ещё и телефон. Дальше — социнженерия.
НЛО прилетело и опубликовало эту надпись здесь
Да без проблем. Уж если отдельные индивидуумы во вконтактиках сами выкладывают фотки обеих сторон карточки по просьбе «друзей», желающих «оценить дизайн»… А тут много и не надо. «Мы — техподдержка, Steam взломан, ваша карточка утекла, сообщите полные данные, чтобы мы могли её проверить и/или перепривязать обратно к вашему аккаунту.» Для чуть более подкованных — «чтобы мы могли провести тестовый платёж (деньги зачислятся на стим-кошелёк/будут возвращены на карту/не спишутся вообще — нужное подчеркнуть)». И это самые простые варианты, что сходу пришли в голову. Те, кто этим занимаются, наверняка имеют в рукаве сотню-другую «сравнительно честных способов отъёма денег у населения».
Прошу прощения за оффтоп, просто очень похоже на одну ситуацию с почтой яндекса. Около года назад коллега поинтересовался, как получилось, что в почте его сына (школьник, класс пятый) внезапно появилась переписка за несколько лет явно какой-то женщины. Со всеми цепочками, вложениями и т.д. Я тогда поудивлялся, написал в яндекс, но сам так и не понял сути феномена.
А откуда информация про «У некоторых пользователей увели крупные суммы денег в привязанной кредитки»?
Просто Valve официально СМИ сказали иное: «We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users.»
Просто Valve официально СМИ сказали иное: «We believe no unauthorized actions were allowed on accounts beyond the viewing of cached page information and no additional action is required by users.»
Ну все правильно, кроме просмотра закешированных страниц никуда больше залезть нельзя было. А что было на этих страницах и как этим воспользуются это уже другой вопрос. Я тут читал на одном форуме что парню пришла смс с неизвестного номером с текстом «НЕ ЗАХОДИ В СТИМ», уж не знаю насколько правда, но такая ситуация вполне вероятна.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
У Steam проблемы с кешированием, из-за которой пользователи видят информацию о чужих аккаунтах