Яндекс автоматически привязывает карту к другому аккаунту

    В последнее время многие сервисы стараются запоминать данные банковской карты при оплате, чтобы в следующий раз пользователю было удобнее платить, и не нужно было заполнять данные карты снова. Почти уверен, что во всех учебниках по маркетингу написано, что в случае привязки карты вероятность покупки возрастает на 146%.



    Из способов привязки можно выделить 3 самых основных:

    • Предлагать ненавязчиво — кому нужно сам поставит галочку;
    • Предлагать активно — галочка у привязки стоит по умолчанию, кто забыл её убрать — сам виноват;
    • Привязывать без какого-то уведомления — сервис сам знает, как пользователю будет лучше.

    Во всех этих вариантах есть одно общее: привязка происходит к тому аккаунту, где выполняется оплата. Сегодня я хочу рассказать Вам о том, что Яндекс изобрел 4-й вариант привязки: в некоторых случаях карта может быть привязана к (почти) чужому аккаунту.

    Сразу хочу предупредить, что проблема затрагивает не все аккаунты, а какую-то часть, которую Яндекс отметил у себя специальным образом, поэтому воспроизвести проблему может не получиться, однако техподдержка Яндекса говорит, что такое поведение не является багом и было задумано изначально.

    Итак, для начала нужны будут 2 вещи: аккаунт на Яндексе и номер телефона, который подтвержден в аккаунте. Дальше нам потребуется мобильное приложение Яндекс.Такси — оно особенное: в него можно “войти”, если нет аккаунта на Яндексе, просто по номеру телефона. В последнее время любое приложение от Яндекса просит Вас войти в свою учетную запись: пользователю так будет удобнее, а Яндекс сможет получать еще больше данных о клиенте.

    В Яндекс.Такси все по-другому: чтобы воспользоваться сервисом, входить в аккаунт не нужно, просто вводите номер телефона, получаете SMS, и можно ехать. Также Яндекс.Такси предлагает привязать карту для удобства оплаты: в этом нет ничего особенного, все подобные сервисы работают аналогичным образом, а некоторые даже работают только с оплатой по карте. Но после привязки карты можно столкнуться со следующей особенностью: эта карта автоматически привяжется к аккаунту Яндекса, для которого подтвержден номер телефона из Яндекс.Такси.

    Итак, список действий по порядку:

    1. Берем аккаунт на Яндексе с привязанным номером телефона;
    2. Открываем приложение Яндекс.Такси, входим в это приложение только по номеру телефона (без участия аккаунта Яндекса);
    3. Привязываем в Яндекс.Такси банковскую карту;
    4. Видим, что эта банковская карта автоматически привязалась к аккаунту Яндекса из первого пункта.



    Важные особенности:

    • если удалить карту из аккаунта Яндекса, то она удалится и из Яндекс.Такси;
    • если добавить карту в аккаунт Яндекса, то она НЕ добавится в Яндекс.Такси;
    • если создать еще один аккаунт на Яндексе и подтвердить там тот же самый номер телефона, то карта появится только в первом аккаунте;
    • с новым аккаунтом и другим номером телефона воспроизвести такое поведение не удалось (скорее всего нужно какое-то время на то, чтобы Яндекс как-то сделал сильную “связку” между номером телефона и аккаунтом).

    С одной стороны можно сказать, что проблема не очень большая: если пользователь подтвердил номер телефона в аккаунте Яндекса, то по нему можно делать привязку с другими аккаунтами, но я вижу тут большую проблему при таком развитии событий:

    1. Кто-то регистрирует аккаунт на Яндексе и привязывает туда номер телефона;
    2. Через какое-то время из-за неактивности оператор сотовой связи блокирует номер, после чего пускает его в свободную продажу;
    3. Кто-то другой покупает SIM-карту с этим номером, открывает приложение Яндекс.Такси, привязывает карту, а она привязывается к аккаунту Яндекса совершенно постороннего человека.

    Я решил рассказать о таком странном поведении техподдержке Яндекс.Такси, но они меня не совсем поняли и предложили обновить приложение :-)

    Дальше я обратился через форму BUG BOUNTY, и разговор пошел более продуктивно.

    Сотрудник техподдержки Яндекса сообщил, что указанный мной баг вовсе не баг, а задумка разработчиков: аккаунты “связываются” только при нужной фазе луны, а ситуация с перевыпуском SIM-карты и последующей привязкой карты вообще исключена.
    Механизм связывания аккаунтов в Яндекс.Паспорте и Яндекс.Такси устроен более сложно и учитывает большое количество параметров, в том числе вход и в аккаунт Яндекс.Такси, и в аккаунт Яндекс.Паспорта с одного устройства.

    Описанная вами ситуация с перевыпуском сим-карты по прошествию времени не будет возможна, так как в данном случае связывания аккаунта не произойдет и карты добавленные в аккаунт Яндекс.Такси не появятся в аккаунте Яндекс.Паспорт.
    У меня нет оснований не доверять сотрудникам полиции Яндекса, и скорее всего описанных мною проблем ни у кого не возникнет, однако я решил рассказать о таком, на мой взгляд, не очень обычном варианте привязки карты, чтобы следующим логичным шагом со стороны Яндекса не была привязка карты во все аккаунты, в которые когда-либо заходили с одного устройства или с IP адреса.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 101

      +22

      Хм… Ответ техподдержки про "устроен более сложно и учитывает большое количество параметров" – это ещё хуже. Звучит как "вы не можете заранее узнаеть, привяжется ли карта". Imho всё должно быть прозрачно и однозначно: или всегда привязываем ко всем сервисам (показывая соответствующий интерфейс, чтобы юзер видел, что делает), или никогда. А так – сложное место, ломающее одидания юзера и затрудняющее тестирование

        0
        вход и в аккаунт Яндекс.Такси, и в аккаунт Яндекс.Паспорта с одного устройства достаточно нормально. То есть в одной программе с одного и того же мобильника вошли через Яндекс.Паспорт, потом вход в Яндекс.Такси и имеем связку. Скорее всего это означает, что в момент связки на устройстве работает приложение, войденное через Яндекс.Паспорт.

        В какой-то статье на хабре они описывали этот механизм. При запуске не первого приложения Яндекса ищется, не вошли ли мы уже в яндекс, и, если вошли или предлагается войти или просто входится.

        То есть это просто часть связывания аккаунтов разных приложений.
          +1
          Это не «Просто...»
          Представьте, такси вызвала одна из ваших подружек, утром. Со своего телефона.
          Вы, как настоящий джентльмен, оплатили её поездку данными своей карты.
          То-то она к обеду обрадуется! :)
            +1
            А как она в мой аккаунт Яндекса с того же мобильника зайдет? А без этого — не привяжется.

            И да, в таких случаях (а их много) я вызываю со своего телефона (опция «поедет другой пассажир»). Ибо если дать полные данные карты подружке, она по ним в любом инет магазине накупит себе шмоток.
              0
              Можно воспользоваться социальной инженерией, типа, хочу послушать твою яндекс музыку.
            0
            Оба приложения используют один экземпляр AccountManager'а на устройстве, который устанавливается вместе с первым установленным и запущенным приложением Яндекса. Авторизация в любом приложении проходит через этот менеджер, так что авторизация всегда одна. Номер телефона периодически проверяется, что он всё ещё принадлежит пользователю.
              0
              Номер телефона периодически проверяется, что он всё ещё принадлежит пользователю.

              А вот это как реализовано?

                0
                Боюсь, что сам алгоритм проверки—это NDA. Если тут есть разработчики Яндекс.Паспорта, то они могут ответить подробнее про реализацию.
          +6
          Это печально. У меня так было. Привязал карту к такси — автопродлилась подписка «плюс» (хотя я намеренно удалил карту из аккаунта). При этом варианта, что я отказался как будто нет.
          Частично помогают виртуальные карты. Сам пользуюсь именно такими при необходимости зарегистрировать триальный аккаунт акаого-нибудь сервиса. Например, привязал виртуальную карту с лимитом в 100 рублей в Apple. Теперь мне не страшно пользоваться триальными программами, которые работают 3 дня, а потом снимают абонентку 1500 в месяц.
            0
            Если не секрет, подскажите, где вы берете столько виртуальных карт, с которыми работают сервиса? Например Сбер, на сколько я знаю, выдает всего 1 карту и больше ни-ни. Раньше на WebMoney можно было делать несколько вирт. карт, но потом эта возможность исчезла.
              +3
              у Тинькофф — можно сколько угодно
                +1

                В Альфе генерите сколько нужно с какими угодно лимитами.

                +4
                Не всегда это поможет. В случае с мобильными приложухами пока работает. Но, например, при невозвратном бронировании могут списать средства в минус, или при аренде авто. Даже без доп подтверждений и всяких СМС-кодов. И нет гарантии, что Гугл или Эппл не пойдут по этому пути.

                Ибо по факту:
                1. Ты согласился платить, пока триал
                2. Ты не отменил триал, значит нравится, значит пользуешься.
                3. Снимем с тебя деньги в долг, что бы ты не расстраивался из-за прекращения пункта 2.
                  +3
                  С точки зрения банка операция выглядит как попытка снять деньги со счёта, на котором их не хватает. Как это можно сделать, сняв в минус?
                  Если с карты всё-таки снимут деньги, несмотря на лимит, обращусь в СБ банка. Я не подтверждал эту операцию. Это выглядит, как мошенничество. В любом случае, я смогу спокойно удалить карту у себя в личном кабинете банка. Пусть попробуют с неё снять денег, ага.
                  И да, это два разных подхода:
                  1) А давайте привяжем пользователей подписками. Тогда они просто так не уйдут. [Будем предоставлять услугу и пытаться снять деньги и спамить о том, что у пользователя (у пользователя? ;-) ) проблемы с оплатой.]
                  2) У пользователя скоро закончится подписка. Уведомим. Пусть продлит подписку. Не продлил — приостановим оказание услуги.

                  Учитывая, что подход выбирают они, считаю справедливым поступать так.
                    +3
                    Если с карты всё-таки снимут деньги, несмотря на лимит, обращусь в СБ банка. Я не подтверждал эту операцию.

                    Это, к сожалению не поможет. Ты подтвердил данную операцию, заключив договор или оформив подписку. Отсутствие денег на счету не является основанием для расторжения. Поэтому для платежной системы все честно. Более того, есть варианты офлайн оплаты, когда карточку откатывают или ксерокопируют и потом предъявляют счет к оплате. И его банк исполнит вне зависимости от наличия денег на счету.
                      0
                      Хм. Но я также и с банком подтвердил устанавливая лимиты, что не должно быть ухода в минус. И мое соглашение с банков в данном случае должно иметь больший приоритет. Ибо иначе зачем оно всё?
                      И если банк списал деньги нарушив соглашение, то это прямой путь в СБ и в Суд.
                        +3
                        Скорее всего будет технический овердрафт и у вас будет минус на счету, такое может происходить.
                          +3
                          Межбанковские требования имеют больший приоритет. Давай на кейсе: Ты забронировал авто в Лиссабоне, оплатил картой через терминал, подписал договор. Сразу обрисую цепочку: Ты -> Автопрокат -> Банк Автопроката -> Твой Банк — Ты (в смысле твой счет) При этом используется онлайн система — проверка денег на счету. Ты покатался и уехал, через неделю пришли счета за пользование платными дорогами. Автопрокат их оплачивает -> Выставляет через свой банк платежное требование(ибо проверить твою карту уже нельзя, ее у них нет) твоему банку, которое он по правилам платежных систем обязан исполнить и только потом он перевыставляет это платеж тебе. Если деньги есть — списываются, нет — технический овердрафт.
                          Теперь если пойдешь в СБ с жалобой: Поднимут платежное поручение, обратятся в банк Автопроката, тот в свою очередь к Автопрокату. Автопрокат показывает договор с твоей подписью. Вердикт?
                            0

                            Интересное развитие ситуации будет, если пойти на условный плати.ру и купить непойми на кого зарегистрированную виртуальную карту на 100р за условные 120р...

                              0
                              Не выйдет. Такие платежи чаще всего проводятся онлайн с проверкой.

                              А вот реальный случай оплаты без денег, был со мной:
                              лечу NorvegianAir из Норвегии в Данию, заказываю чашку кофе, наливают называют цену. У меня при себе наличные кроны, 2 карты руб и евро электрон и нулевая (0 руб на счету) виза голд. Даю кроны — не берут, даю карты электрон — не принимаем такие… Я сижу с уже налитым кофе и понимаю, что заплатить мне нечем… От отчаянья предлагаю голдовую — оплата проходит, все довольны. А мог и колье бриллиантовое без денег купить )) Потом уже в порту перевел пару евро на счет, что бы в минус не уйти.
                          0

                          Подтвердить-то подтвердил, но есть карты, в которых по условиям обслуживания оффлайн списание запрещено, а онлайн требует подтверждения через 3D Secure.


                          И тут уже сервис может решать — готов ли он работать с клиентом, с чьей карты списать деньги без согласия самого клиента невозможно.
                          Если твой договор с банком не позволяет провести списание, то банк просто откажется выполнять такое требование.


                          И тут уже сервис должен будет взыскивать с вас деньги через суд. Если сможет...


                          Кстати, хороший пример (в вашем посте ниже) — бомж Вася заключает с банком договор, открывает дебетовую карту, кладет туда 100 рублей. А потом в Лиссабоне арендует Ламборджини Диабло, катается на ней месяц, сдает машину, автопрокат выставляет его банку счёт на $40k, банк платит эти деньги, а потом пытается взыскать их с бомжа, верно?
                          А ещё лучше — Вася договаривается с конторой в том же Лиссабоне, контора получает $40k, Вася налом с конторы получает $10k, а банк влетает на -$40k без какого-либо шанса вернуть эти деньги.

                            0

                            Ну, во-первых, Васе надо будет заплатить за аренду вперед, и тут 100 рублей не хватит, а самое главное Васе предложат на выбор либо страховку, либо депозит. И то, и другое на Диабло будет стоить космос (как и сама аренда), так как:
                            а) это Ламбо
                            Б) Диабло — это уже практически музейный экспонат с соответствующим ценником (но это уже другой вопрос)

                              0
                              Да я понимаю, что такую машину дадут не каждому человеку с деньгами.
                              Как минимум надо уметь водить такого монстра, не говоря уже про всё остальное.

                              Но если рассматривать ситуацию как пример, то Диабло можно заменить на что угодно. Главное то, что банк-эмитент карты Васи не может рисковать на безлимитную сумму. Его риски не выходят за пределы кредитного лимита (по кредитной карте) и каких-то несущественных сумм при прохождении процессинга по дебетовой карте.

                              Даже если Вася накосячит на миллиард долларов, но в руках у него будет дебетовая карта с $5, то ничего кроме этих $5 (ну хорошо, из-за глюков и задержек процессинга $15) с Васиного банка никто списать не сможет.
                                0

                                А я Вам говорю о том, что до того, как у Васи останется 5$ на карте, с него спишут стоимость аренды + депозит или страховку. То есть, по сути, Васина платёжеспособность будет проверена. Если после этого у Васи осталось 5 баксов и он при этом влетел так, что депозита не хватает, то разбираться с Васей скорее будет:


                                • его банк, который исполнит требование о списании средств, вогнав Васю в дорогой овердрафт
                                • прокатная контора, которая риски такой фигни закладывает в свою бизнес-модель

                                В общем, мысль коротко: покататься за 5 баксов не получится, даже на бомжмобиле

                              0
                              Насколько мне известно, в Европе и Америке автопрокаты принимают только кредитки.
                                –2
                                Не так, но похоже.

                                У Васи, не бомжа, есть карта (кредитная, не дебетная — это в правилах написано) на ней 100 000. Он берет дьяблу, платит за 3 дня условно 70 000 (платежом через терминал, с проверкой — у бомжа столько нет) и разбивает ее пьяный. И контора в Лиссабоне выставляет Васиному банку 25 000 000 рублей претензий. И у Васи тех овердрафт на карте — 24 970 000. А уж как Васин банк будет взыскивать эти деньги с Васи — это не Лиссабонского банка проблемы.

                                А про бомжа — ну это бизнес, риски.
                                  0
                                  И у Васи тех овердрафт на карте — 24 970 000. А уж как Васин банк будет взыскивать эти деньги с Васи — это не Лиссабонского банка проблемы.

                                  А вы уверены?
                                  Это напоминает анекдот «и тут-то мне карта и попёрла!»

                                  Что тогда мешает замутить мега-крутой бизнес конторе из того же Лиссабона?
                                  Берём 1000 бомжей в России, помогаем им открыть кредитки с лимитом в $100 (совсем несложно), даём бомжам по $1k на руки (и партнёрам, которые будут работать локально в РФ по $4k за поиск клиентов), а потом «списываем» с их карт по $1M?
                                  Вот уже миллиард долларов на пустом месте. Прибыльность огромная, расходы никакие, риски стремятся к нулю. Существенно выгоднее торговли наркотиками.

                                  Но почему-то такого не происходит.
                                  Давайте предположу — в худшем случае банк выплатит сумму в пределах кредитного лимита ($100), а технический овердрафт на 24.970.000 будет означать только то, что компания из Лиссабона может взыскать в суде РФ с Васи эти деньги.
                                    +1
                                    Верховный суд РФ не признаёт технический(неразрешённый) овердрафт. Это проблемы банка выдавшего карту, по ЗоЗПП к клиенту у банка в таких случаях не может быть претензий.
                                    Разрешённый овердрафт(на дебетовой карте) указывается в договоре(проверьте свой если найдёте), правда операторы зачастую забывают уточнить максимальную сумму у клиента. Обычно она в пределах 1-2тыр.
                                      0
                                      Отличное уточнение, спасибо!

                                        0
                                        Моя история про дебет-кредит:
                                        Дебетовая карта Почта Банка, VISA.
                                        Банк каждый месяц лазил в кредитные бюро и интересовался моей кредитной историей, якобы для выставления предложений по кредитам. Отказался от всех возможных рассылок, но просмотр кредитной истории продолжился…
                                        После попытки прямо подать заявление на отзыв разрешения на работу с персональными данными (оно у них при заключении очень широкое и так можно ограничить работу с персональными данными только задачами обслуживания карты) выяснилось, наконец, что дебетовая карта на самом деле «кредитная» с отключенным (!) кредитным лимитом в 1 тысячу рублей!!! Нет, лимит включить нельзя — только получить другую, уже кредитную карту!
                                        (Потому что так торговать ПДн и отслеживать финансы пользователя банку удобнее, чем с настоящей дебетовкой?)
                                        Карту закрыл в итоге…
                                          +1
                                          Банк каждый месяц лазил в кредитные бюро и интересовался моей кредитной историей, якобы для выставления предложений по кредитам.

                                          А откуда вы это узнали?

                                          Я тоже хочу знать кто и когда интересовался моей кредитной историей.
                                            0
                                            Конкретно о Почти Банке я узнал от «Объединённое Кредитное Бюро», bki-okb.ru, раздел присланного отчёта «Кто интересовался моей кредитной историей?», два запроса в год — бесплатно (относится ко всем БКИ, т.е. у каждого по два в год можно бесплатно запросить).
                                            0
                                            Банк каждый месяц лазил в кредитные бюро


                                            В соответствии со ст. 6 Федерального закона «О кредитных историях» кредитная организация может ознакомиться с основной частью кредитной истории потенциального заемщика только с его согласия. Такое согласие может быть получено в письменной форме на бумажном носителе или в форме электронного документа согласно требованиям, содержащимся в ч. 9 ст. 6 Федерального закона «О кредитных историях».

                                            Если это было нарушено, то пишите в ЦБ, как в надзорную организацию. Они за это банки нагибают. Прецеденты уже были.
                                              0
                                              Вот именно поэтому дебетовая карта на самом деле оказалась «кредитной», но с заблокированным лимитом в тысячу рублей — что-бы можно было смотреть кредитную историю…
                                              Может я, конечно, чего-то не до конца понимаю, но если у тебя «кредитка» какого-то банка — то этот банк может смотреть твою кредитную историю регулярно и тут только закрыть карту можно когда банк начинает наглеть, как в данном случае…
                                                0
                                                нет, в том-то и дело, что каждый запрос должен быть подкреплен отдельным согласием
                              0
                              1. Не факт. Я так попал на оплату вайфая в метро москвы. Прикол в том, что я платил через google pay 1 рубль за первый месяц. Вариант автоподписки в случае если ты платишь не через карту\мобильный телефон в договоре не предусмотрен. Когда я потребовал вернуть деньги-вернули.
                              Вы забыли п.4.
                              Так как у вас счёт в минусе по условиям договора услуги не предоставляются(но оплачиваются вами) Ну по крайней мере так было у билайна.
                            +8

                            Обнаружил тоже самое. Отвязал карту в акаунте, потом запустил приложение я.такси. (я его использую без входа в акаунт яндекса)
                            Там привязка к номеру сохранилась.


                            Но вообще, конечно, выглядит мерзко это…
                            Имхо.

                              +14
                              Проверил, так и есть, более того, заканчивается триальная подписка на Плюс, которую я оформлял на виртуальную карту, и Яндекс списал бы с меня плату. Минус в карму Яндексу, видимо, пришло время эффективных менеджеров в управлении, что бывает дальше, мы знаем.

                              UPD: указал в приложении Такси способ оплаты Google Pay, его то Яндекс к себе не привяжет
                                +9
                                Вообще сам факт того, что нам приходится оформлять подписки на одноразовые виртуальные карты говорит, что с этими подписками всё очень не хорошо. Многократно сталкивался с тем, что подписка включалась при регистрации по умолчанию, а чтобы убрать её приходилось лезть в дикие дебри интерфейса. Пару месяцев назад у меня обнулился аккаунт на Netflix c привязанной картой (может глюк netflix, может ломанули, подобрав мой не слишком сложный пароль к этому сервису), но в итоге получилось так, что в моём аккаунте больше не было привязки к карте и вообще какой-либо информации о карте, а деньги с карты продолжали списываться ежемесячно. Техподдержка никак не помогла, такое ощущение, что общался с роботом, пришлось блокировать карту.
                                  +12
                                  В такое время живем, да, одноразовые почтовые ящики, виртуальные карты, симкарты, оформляемые специально для подачи объявления. Всё потому что уроды извратят любую хорошую идею.
                                  +9
                                  Оооо, Яндекс уже давно обращается с клиентскими деньгами, как со своими. Например, при оплате рекламы в Я.Директ — вы ставите ограничение, что купить клики готовы за 1 рубль максимум. Не удивляйтесь, когда увидите в статистике, что Директ спокойно списывает 1,7 рубля и на все вопросы «Вы что делаете? Вам не разрешали брать больше 1 рубля!» следует ответ «Ну мы лучше знаем, что вам нужно и считаем, что клик в 1,5 раза дороже максимально установленной вами суммы будет вам полезен. Мы так считаем!». Получается, что «Ваше мнение нас не волнует! Ваши деньги стали нашими!». «Эффективные менеджеры» в действии. Только называется это мошенничеством.
                                    0
                                    Такое же и у амазона, берешь их бесплатный сервер микро, для поиграться, а через год, если ты его не дропнул, начнет выставляться счет за обслуживание. Хотя казалось бы, вроде логично было остановить такой сервер.
                                    У близзард при оплате абонемента на 1 месяц — включается автопродление. Которое отключить можно удалив карту.
                                    +8
                                    Ну а вот вам сам баг, возможно, из-за этого механизма. Если так, получается, за баг-баунти вам всё же должны.
                                      +2

                                      Да, именно из за непрозрачности механизма привязки карты у Яндекса, пришлось отказаться от привязки своей карты и привязывать виртуальную карту.

                                        0

                                        Банки определяют перевыпуск сим-карты и заставляют переподтверждать номер, для Яндекса определить, что симка другая, тоже не должно быть сложно. Ну, я надеюсь :)

                                          –4
                                          Вы полагаете какому-то там Яндексу (да собственно хоть хрену с горы) ваш банк должен сообщать о том, перевыпущена ли сим-карта вашего телефона? Вы серъёзно?
                                            +1
                                            Определить, что симкарта поменялась можно без участия оператора: smsc.ru/hlr
                                              0
                                              Не нашёл там, как узнать о замене SIM-карты без смены номера и оператора. Поправьте меня, но по приведённой ссылке оказывают услугу «пробива» активности номера.
                                                0
                                                Если отправить HLR запрос, то в ответе будет содержаться уникальный номер симкарты. Записываем этот номер себе в базу и при каждом новом запросе смотрим не поменялся ли он.
                                                  0
                                                  А, вижу imsi… Очень странно, что оператор выдаёт эту информацию. Это вообще законно?
                                                    0
                                                    Ну тут тайного ничего нет. Это тоже самое, что и Ваш ID в базе Хабра, то есть зная этот номер ничего не сделать.
                                                      +1
                                                      Пожалуй, всё-таки это больше похоже на номер паспорта. Зная номер паспорта ведь ничего не сделаешь.
                                                      А здесь явное сопоставление номера телефона с номером sim-карты. И самое главное — активность. Уж очень близко это подбирается к персональным данным.
                                                      Т.е. да, я не вижу противоречий в предоставлении сведений об операторе, который обслуживает мой номер. А вот остальное лично у меня вызывает противоречивые чувства.
                                                        0
                                                        Номер бланка паспорта не является персональными данными. Хотя у разных судов на этот счёт может быть противоположные мнения.
                                                          0
                                                          Сами по себе данные отдельно друг от друга — нет. Но если их отдавать в связке, то уже фиг знает. Например, если отдавать связку номера телефона и номера паспорта.
                                                            0
                                                            В любом случае, последнее слово за судом. Он и ID на Хабре может ПДн признать.
                                                      0

                                                      Это не вопрос законности, номер IMSI нужен для оказания услуг связи. Так в своё время придумали в далёком прошлом веке и отказаться от этого можно только перейдя с GSM на что-то иное.


                                                      Это как "А-а-а, сайт узнал мой IP адрес, это законно? Не хочу отдавать сайту свой IP", вот только без вашего IP сайт не сможет с вами общаться.

                                                        0
                                                        Сам по себе мой IP адрес — это просто набор цифр. Но если к нему сопоставить телефон, то это уже вероятно ПД. Об этом речь.
                                                          0
                                                          Ну вариантов тут всего два:
                                                          1. Оставить всё как есть
                                                          2. Подать в суд на международный консорциум 3GPP и их предшественников, которые разработали все стандарты мобильной связи ещё во времена СССР, а ещё надёжнее — сразу пойти жаловаться в спортлото.

                                                          Отказ от «обработки IMSI абонента» возможен только в двух случаях:
                                                          1. Перейти с GSM на что-то иное, вполне можно на WiFi перейти и радоваться жизни с WhatsApp over WiFi.
                                                          2. Удалить из всех систем данные о SIM карте абонента. В этом случае она даже в сети не сможет зарегистрироваться, но это уже проблемы абонента.

                                                          Так уж получилось, что во многих сценариях IMSI — это способ адресации абонента. Если вы хотите позвонить конкретному абоненту, то вы обращаетесь к одному элементу сети и говорите «хочу позвонить вот ему», вам говорят «он сейчас зарегистрирован вот на этом коммутаторе, обращаясь к коммутатору укажите, что вам нужен абонент с IMSI таким-то».

                                                          p.s. Для знатоков. Да, знаю, что HLR Interrogation обычно выполняет собственный GMSC, но никто не мешает из-за ошибок в настройках эту же процедуру выполнить чужой платформе. А для работы услуги SMS и некоторых других раскрытие IMSI всем посторонним — часть обязательного стандарта.
                                                          Да, операторы начали маскировать IMSI, но это работает не у всех, не всегда, а в определённых случаях (к примеру, роуминг) технически невозможно.

                                                            0
                                                            По-вашему, это 3GPP консорциум публикует связку IMSI и телефона?
                                                            Нет. Это публикует вполне себе конкретное третье лицо, которое подняло свой GSM шлюз и оказывает такую услугу.
                                                            Выражение мнения != Основание для подачи в суд.
                                                            Покуда я не несу с этого прямых убытков, в суд мне причины подавать не на кого и на за что. И уж тем более жаловаться в спортлото.
                                                              0
                                                              По-вашему, это 3GPP консорциум публикует связку IMSI и телефона?

                                                              Консорциум написал стандарты так, что без IMSI никак.

                                                              Нет. Это публикует вполне себе конкретное третье лицо, которое подняло свой GSM шлюз и оказывает такую услугу.
                                                              Выражение мнения != Основание для подачи в суд.

                                                              Всё верно.
                                                              Информацию публикует конкретное лицо, находящееся в каком-нибудь Уругвае, Парагвае, ЧАД или Уганде. Оно подключилось к сигнальной сети и оттуда выполнило «пробивку» данных.

                                                              Покуда я не несу с этого прямых убытков, в суд мне причины подавать не на кого и на за что.

                                                              Но даже если вы их и понесёте, то привлечь к ответственности кого-либо будет крайне проблематично.
                                                              Особенно, если схема будет «как обычно» — сотовый оператор в Уганде продаёт через интернет возможность подключения к сигнальной сети через свои сервера. Человек, находящийся в Судане оплачивает услуги (да хоть банковским переводом) и начинает торговать вашими данными.

                                                              Вы легко сможете «дотянуться» до вашего сотового оператора.
                                                              Но ваш сотовый оператор ничего не нарушил, но просто оказывал вам услуги связи.
                                                              Вы можете подать в суд на компанию из Уганды, заставить их выдать контакты человека из Судана,… заставить того человека выдать ник SuperMegaJoker'а, который попросил его за вознаграждение оплатить этот договор. Но, как вы сами понимаете, это никак не приблизит вас к Ивану Сергею Петровичу, жителю вашего же города, который и есть тот самый SuperMegaJoker и является настоящим злоумышленником.

                                                              Поэтому в такой ситуации лучше всего жаловаться именно в спортлото. Они хоть будут обидно смеяться, но это единственные, кто даст вам ответ по существу вопроса.
                                                      0

                                                      … и при каждом новом запросе получаете новый рандомный IMSI. Запросите 20 раз в день — получите 20 рандомных уникальных IMSI по одному и тому же абоненту.
                                                      Ибо операторы эту дырку уже давно закрыли.

                                                    0
                                                    Лажа. Только что проверил номер телефона человека, с кем разговаривал вчера. Оператор и регион определился верно. А активность нет — написал «нет маршрута».
                                                    (или проверка определила что человек просто спустился в метро?)
                                                    0
                                                    Вам банк выдал симку? :)
                                                      –2
                                                      Нет, конечно. Но и банку этого знать не положено.
                                                        0
                                                        Что именно банку знать не положено? То, что банки отличают разные симки на тот же номер и используют это, чтобы предотвратить мошеннические действия — медицинский факт, я это даже обсуждать не собираюсь.

                                                        Естественно, речь идёт о номерах клиентов, к которым привязано подтверждение операций по СМС, например.
                                                          0
                                                          я это даже обсуждать не собираюсь.

                                                          Ок, не обсуждайте.
                                                          Я утверждал, что не считаю логичным делать публичным связь IMSI и номера телефона.
                                                          И я с вами не согласен в том, что банкам (как и кому угодно) это вдруг должно быть проще. Равно как и любые другие ПД. Это всё.
                                                          А по поводу мошенничества — это отдельный вопрос. Например, когда я менял SIM год назад, ни один банк и усом не дёрнул. Ну и где они, эти хвалёные «медицинские факты»?
                                                            0
                                                            Не знаю, как реализовано в реальности, но для проверки смены SIM не требуется передавать банку imsi. Можно, например, отдавать хэш от пары (imsi, код банка) или дату последней смены SIM.
                                                              0
                                                              А по поводу мошенничества — это отдельный вопрос. Например, когда я менял SIM год назад, ни один банк и усом не дёрнул. Ну и где они, эти хвалёные «медицинские факты»?

                                                              Несколько лет назад (пять или более) много писали, в том числе и на Хабре, про выдачу SIM-карт третьим лицам по подложным документам с последующей кражей денег с банковских счетов, которые могли управляться теле- или SMS-банкингом через номер телефона перевыпущенной SIM-карты. В течение довольно короткого периода времени после этих событий, например, зеленый банк научился различать привязку не по номеру телефона, а по уникальности SIM. С тех пор при перевыпуске SIM-карты вам требуется заново настраивать привязку номера телефона к счетам/пластику, поскольку банкинг отключается. Убеждался в этом сам не раз с удовольствием. Опыт с вашими банками вызывает лишь вопросы по безопасности и недоумение.
                                                      0

                                                      del

                                                      –4
                                                      Microsoft в первых своих учебниках по базам данных писали — «разделяй и властвуй», если связывают вас то вы стадная овца. Что вы теперь плачетесь?
                                                        +9
                                                        Ахренеть! Мне это не нравится.
                                                        Я не привязывал банковскую карту к аккаунту яндекс! Я не заходил в яндекс такси используя яндекс аккаунт! Только номер телефона. И я привязывал карту к яндекс такси, а не к яндекс аккаунту. Что за фигня?
                                                        Согласен с автором, что это бред. Дело даже не в перевыпуске сим карты, я хотел бы контролировать то, куда я привязываю карту! Что за прикол.
                                                          +2
                                                          С ними спорить бесполезно, чаще хочется удалить их приложение.

                                                          Техподдержка Яндекса всегда считает что так и должно быть. Например, при открытии сайта из информационной карточки организации, приложение Яндекс карты вначале смотрит на то есть ли Яндекс браузер и по умолчанию открывает его и ничего больше. На вопрос почему я не могу выбрать другой браузер, мне ответили что оно так и должно быть.
                                                          «Я не покупаю, я только посмотреть.»

                                                          Поэтому я им не доверяю и делаю небольшие переводы на Яндекс такси перед поездкой на их кошелек, и не дай Бог случайным кликом подписаться на яндекс плюс из приложения для такси (было).
                                                            0
                                                            Со стороны тех кто эти карточки создаёт для своих организаций ещё веселей. Я к примеру удалил свой номер уже полгода назад и ЛК организации он не отображается, но люди продолжают звонить. Так же с фотографиями, они то исчезают новые, то вылезают старые.
                                                            Или ТП к примеру не знает как выглядит типичный адрес сайта.
                                                            Такое ощущение что тех кто знал как что работает по увольняли эффективные менеджеры, набрав бабушек(многократно звонил и перезванивали, редко молодые голоса слышу).
                                                            +1
                                                            У меня была интересная ситуация.
                                                            Была у меня карта, которой год нигде не платил, на которой был только scaleway и яндекс такси.
                                                            Внезапно эта карта привязывается к другому номеру Я.Такси и совершается поездка бизнес-классом на 2к рублей. Потом начинаются попытки списания с карты в сторону стима.
                                                            К чести яндекса, рассмотрели мою жалобу на фрод и вернули эти 2к. Ни в чем их не обвиняю, но совпадание получилось очень интересным — два сервиса оплачиваются из которых 1 — я.такси и именно я.такси становится первой точкой фрода.

                                                            Деньги вернул, карту заблочил, как она могла утечь — до сих пор загадка. Почему яндекс так легко дает привязать карту к новому аккаунту, не запрашивая доп.верификацию — тоже загадка)
                                                              +1
                                                              Никакой загадки.
                                                              Жадность.
                                                              Просто жадность.
                                                              Ну и ещё безнаказанность подобных действий.
                                                                0
                                                                У меня буквально на днях случилась подобная ситуация
                                                                Я обычно всегда для оплаты картой использовал только виртуальную картку, и сразу после транзакций закрывал её, на этот раз забыл это сделать
                                                                И буквально на следующий день у меня с кошелька улетает ровно такая же сумма транзакции которую я делал днём ранее (около 10 000р)
                                                                с той лишь разницей что инициировал транзакцию не я, а яндекс решил меня не просить подтверждать её через телефон, как это делает обычно и покорно списать деньги
                                                                через службу поддержи я в итоге смог вернуть деньги, но никто даже не извинился за такое списание, отсутствие подтверждения и потраченное мной время на разбирательства
                                                                не удивительно, я же не Кадыров ;)
                                                                +4
                                                                Никогда не было и вот опять — IT корпорации нами пользуются по чём зря)

                                                                А самое главное — некому адресовать вопрос. Везде только безымянная ТП и формы обратной связи. У меня так на яндексе завис ПДД для одного домена. Вот ну нет никакой возможности перепривязать его к другому аккаунту ввиду полной утраты доступа к предыдущему. За пару лет ничего не изменилось, видимо фильтры яндекса меня за робота-спамера держат. Потерял аккаунт — прощай почта, хотя домен в твоём владении.

                                                                Вот посмотрите — на хабре есть целый блог яндекса. У нас тут возникли определённые вопросы к корпорации. Как вызвать корпорацию сюда? Кто администратор блога — где его никнейм? Постепенно вызывать 698 зарегистрированных сотрудников? Или просмотреть 1,6к статей и вызывать постепенно их авторов? Как?

                                                                Вот это проблема нашего времени. Вместо того, чтобы связаться с человеком из ТП, рассказать, доказать и показать ему косяк и он, поняв проблему, пойдёт уже рассказывать, доказывать и показывать своим вышестоящим коллегам, приходится писать вот такие вот статьи, потому что в ТП сидят скрипты с заготовленными ответами, в задачу которых думать не входит. И чем дальше будет — тем хуже. Всё эти модные нейросети и тотальная автоматизация ситуацию, боюсь, никак не улучшат. Яндекс как-то отреагирует увидя реакцию на эту статью. Но ощущение, что мир идёт «не туда» не покинет даже если проблема будет корректным образом решена.
                                                                  +4
                                                                  Можно зашеймить в твитторе!
                                                                  Западные компании так травят только в путь (по делу и без, конечно). Но это все актуально при наличии института репутации и альтернатив.
                                                                  Как бы некрасиво не поступали мейл и яндекс, в текущих реалиях, их бойкот небольшой группой лиц (без института репутации) — несет издержки и неудобства только для бойкотиующих. Такси, сервисы еды и все такое оффлайновое заменяется не самым хорошим качеством или высокими ценниками
                                                                    0
                                                                    Там ниже уже один активизировался.
                                                                    +2
                                                                    Запоминание карты это бардак, странно что нет законов регулирующих это. Хотя в правилах Мастеркард написано, что все сервисы, хранящие номер карты будут блокироваться в этой системе. Из за этого бардака приходится менеджерить свои карты, благо Сбербанк он-лайн это позволяет. Хотя возможно это неизбежно и человеку будущего очень внимательно придётся следить за своими платёжными апи.
                                                                      +2

                                                                      У меня однажды произошёл случай, что я тестировал оплату на сайте через яндекс кассу и был залогинен в профиль клиента, заплатил с личной карты примерно рубль, карта привязалась к профилю. Отвязать простым способом не вышло, потому что клиент уже не владел номером телефона, пришлось срочно писать в поддержку. Карту отвязали, но ответили, что где-то там в какой-то момент оплаты стояла галочка, которую нужно было снять.
                                                                      А осадочек остался.

                                                                        0

                                                                        Яндекс принадлежит правительству рф(через сбербанк), что еще вы ожидали от госконторы? То ли еще будет...

                                                                          0
                                                                          Яндекс принадлежит правительству рф(через сбербанк)

                                                                          Это неправда.
                                                                            0
                                                                            Всмысле неправда? Золотая акция яндекса принадлежит сбербанку через фонд, сбербанк недавно куплен правительством РФ
                                                                              0
                                                                              Вы переоцениваете значимость «золотой акции» имхо. Контрольный пакет принадлежит частным лицам.
                                                                                0
                                                                                Частным «нужным» лицам. Не зря как только яндекс передал свои акции в некоммерческий фонд сразу отменили законопроект о доле иностранного капитала, который разрабатывали для него как средство давления
                                                                          +4

                                                                          Яндекс отвратительный
                                                                          Ничего нового

                                                                            0

                                                                            На соседнем сайте (называется на «пи») есть история что тётенька развелась с дяденькой, а к Я.Такси у дяденьки привязана карта тётеньки. И тётеньку не спасло даже то, что она карту заблокировала и выпустила новую. Деньги все равно списывались. Зелёный банк, ссылку на историю сейчас найду.

                                                                              0

                                                                              Пруфы: pikabu.ru/story/sber_yandeks_zhopa_7389122

                                                                              +1
                                                                              вероятность покупки возрастает на 146%

                                                                              Что-то тут не то. Либо «на» лишнее, либо сотня, но не вместе.
                                                                                +1
                                                                                была вероятность новой покупки 10%, стало 24.6%.

                                                                                вообще, конечно, говорить в процентах про рост величины, указываемой в процентах — гарантия запутать.
                                                                                  +1
                                                                                  –1
                                                                                  С технической точки зрения всё понятно:
                                                                                  Открываем приложение Яндекс.Такси, входим в это приложение только по номеру телефона (без участия аккаунта Яндекса)

                                                                                  Номер телефона, очень похоже, может выступать способом в аккаунт Яндекса (о чём, например, написано при входе в "Паспорт", хотя я лично и не смог там войти по номеру телефона, там ясно написано «Введите логин, почту или телефон»). У Google, впрочем, всё точно так же.

                                                                                  Дальше вступают в действие правила Яндекса, которые никто не читает:
                                                                                  Внимание. Карта привязывается не к определенному сервису или приложению Яндекса, а к аккаунту на Яндексе, и используется на всех сервисах, на которых вы авторизованы с этим аккаунтом.

                                                                                  Таким образом, вход в приложение «Такси» с номером телефона равносилен входу с аккаунтом, а привязка карты к сервису «Такси» в полном соответствии с правилами привязывает ее к аккаунту.

                                                                                  Единственный неочевидный для пользователя момент — что вход по номеру телефона, привязанному к аккаунту Яндекса, равносилен входу через логин/почту. Но сделать там так же, как в «Паспорте» (т.е. вход исключительно через аккаунт по номеру, почте, логину) невозможно, потому что если в аккаунт логинятся лишь те, у кого этот аккаунт есть, то в «Такси» по номеру телефона логинятся и те, у кого аккаунта нет.

                                                                                  Можно сделать где-нибудь сноску, расшифровывающую этот момент, но опять же, если правила не читают, то кто будет какие-то там сноски читать?
                                                                                    0

                                                                                    Сам заметил эту подставу где-то полгода назад. В итоге, пользуюсь в Такси связкой Google Pay + виртуальная карта с лимитом. Потому как Pay не привязывают в Яндекс.Паспорт

                                                                                      0

                                                                                      Мне одному стало интересно, где то, что изображено на КДПВ?

                                                                                        0

                                                                                        Вот у меня косяк с картами произошел в феврале. В мой аккаунт попали чужие карты, и я даже мог совершать с них оплату. Поддержка решила вопрос со второго раза. И теперь как-то стрёмно пользоваться их почтой (мало ли кому ещё не пересылают) и тем более привязывать карты

                                                                                          0
                                                                                          Что-то такое странное произошло с картой жены. После нескольких поездок на яндекс такси с карты начали списыватся суммы за поездки другого человека!

                                                                                          Самое удивительное тут, конечно, поведение тех поддержки yandex — я был разочарован. С таким вопиющим инцедентом они не собирались делать ровным счетом ничего. Пришлось долго переписыватся, давить, чтобы… получить ничего — только описание в каком районе заказывал такси тот человек, ни о каком возрате средств, отвязки ее карты от чужого аккаунта речи не шло. У меня было такое ощущение, что я зарепортил баг с поехавшей версткой, а не финансовые вопросы.
                                                                                            –2
                                                                                            Здравствуйте! Я из команды Яндекс.Такси. Простите, что не разобрались сразу. Давайте найдём ваше обращение и ещё раз всё проверим. Пожалуйста, напишите об этом нам на blogs@taxi.yandex.ru.
                                                                                              0
                                                                                              Какой — же стрем представляться.
                                                                                            0

                                                                                            Я карту не привязываю к их сервисам никогда, только оплата через Apple Pay.

                                                                                              +1
                                                                                              Что-то как-то всё плохо получается.
                                                                                              Вот примеры с пикабу и мысли вслух и в кучу.
                                                                                              1. Товарищ прошелся по салонам связи с паспортом и обнаружил, что на него оформлено несколько номеров к которым он не имеет отношения. Да — так делают продавцы в салонах для выполнения плана по подключениям.
                                                                                              2. Человек купил на вокзале симкарту (без регистрации), через какое-то время он обнаружил, что эта сим-карта привязана к его имени. Видимо отслеживался IMEI и какие еще сим-карту устанавливались в этот телефон.
                                                                                              3. Давний принцип — не пользуешься услугой — за неё не платишь — можно нарушать неявно заключая такие договоры. Ну типа: "Услуга бесплатна!" (На 1001 странице договора — "первый месяц, а дальше 1001$ в секунду до конца ваших дней"). И как с этим бороться? Случайно так подписался на какую-то фигню, хорошо заметил вовремя.
                                                                                              4. Отношение к ПД нынче пофигистичное — данных-то много. Впрочем если будут реальные сроки/штрафы за разглашение и передачу — включая непреднамеренное — то ситуация изменится. -А что это? Персональные данные? А-а-а! Уберите немедленно!
                                                                                              5. По поводу кредитов — я так понимаю, у нас не все так плохо как в США. Там было популярное мошенничество, когда человеку присылали чек и он его обналичивал незаметно для себя залезая в кредит. (Чеками уже никто не пользуется, но мошенники всё еще пытаются).
                                                                                              6. От продавца с Авто узнал хороший способ повысить уровень безопасности — на Авито писать не свое имя, а специальное для Авито. Суть — когда позвонит мошенник (узнав, что вы продали что-то ценное и у вас много денег) — сразу знать, что инфа/телефон у него именно с Авито. Увы — с банками такой способ не прокатывает.
                                                                                              Всем цифрового добра!

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                              Самое читаемое