Пентестер (тестировщик на проникновение) рассказывает, как ему удалось найти баг в загрузке файлов и проникнуть на сервер платежной системы PayPal.



Привет всем!

Надеюсь, у вас все хорошо. Уверен, что заголовок вас немало удивил, и вы ринулись сюда чтобы глянуть, реально ли я cмог получить удаленный доступ не куда-нибудь, а на сервер PayPal.

На самом деле это был довольно простенький взлом, направленный на проверку уязвимости (так называемый POC). Единственный момент, с которым мне повезло — поиск и успешное определение уязвимого домена.

Мобильное приложение Starbucks — один из самых известных кейсов в ecommerce. Автор материала — программист опытным путем доказывающий, почему стоит открыть API этого приложения.

Мотивация

Стоит отдать должное приложению Starbucks — оно просто отличное. Я использую его (как минимум) раз в день. В нем есть все, что мне нужно от отличного мобильного сервиса — кофе, плейлисты хитов 80-х в Spotify и возможность избежать живого общения с другими людьми. Я явно не одинок в своих предпочтениях, так как 20% операций Starbucks в США сейчас производится через мобильные телефоны.

Помимо интеграции Slack и кофейных кнопок существует множество других интеграций, которые можно было бы реализовать, если бы компания открыла свой API для сторонних разработчиков. Она явно движется в этом направлении, поскольку у нее есть и аккаунт в Twitter, и (защищенный паролем) веб-сайт для разработчиков.

Однако я не мог ждать и поэтому решил взять дело в свои руки.

Сегодня мы все знаем, что доллар США — это знаковая валюта, известная людям во всем мире. Как и почему он появился, и почему мы называем его «долларом» или «баксом»? Как ранняя история доллара помогла сформировать современный мир?

Еще никогда в истории современных технологий грань между физическим и виртуальным мирами не была такой тонкой.



Мы проводим целые часы на Facebook, Twitter и Snapchat в условиях полностью цифровой среды социального общения. На смартфонах мы играем в игры с дополненной реальностью, такие как Ingress, позволяющие нам взаимодействовать с компьютерными персонажами на фоне окружающей нас объективной реальности. А кроме того, в последнее время мы начали погружаться в полностью вымышленные миры с помощью VR-шлемов.

Интерес потребителей к дополненной или виртуальной реальности велик как никогда. По прогнозам Citi GPS, рынок дополненной и виртуальной реальности к 2025 году может вырасти до 692 млрд долларов. Согласно исследованию другого международного консалтингового авторитета IDC, количество проданных в 2021 году AR и VR шлемов достигнет 99 млн единиц.

По словам главного научного сотрудника компании Oculus Майкла Эбраша, VR станет самым глубоким и полноценным способом взаимодействия в виртуальном мире, коренным образом изменив наш подход к работе и играм.

Тема будущего AR и VR устройств вызывает немало споров, однако конечный успех этих технологий будет определен их востребованностью у потребителей.

Для понимания того, как основная масса покупателей относится к AR и VR, консалтинговая компания Worldpay провела опрос 16 тыс. потребителей из 8 стран и пришла на его основании к выводу о наличии видимых преград, стоящих на пути широкого распространения технологий.

Автор материала приводит данные опросов и исследований, демонстрирующие, что несмотря на шумиху вокруг запуска Apple Pay, успех дальнейшего развития платежной системы вызывает сомнения.



Запуск Apple Pay в сфере мобильных платежей наделал шума «по всему миру», и издание PYMNTS.com постаралось изучить, как реагируют потребители.

В рамках ежеквартальных исследований, проводимых с ноября 2014 года совместно с InfoScout, издание не просто опрашивало потребителей, что они могут делать, но и отмечало, что потребители с подходящими телефонами, совершающие покупки в правильных магазинах, делали в момент завершения транзакции. Организаторы опроса хотели знать, использовали ли пользователи Apple Pay для этой транзакции или нет. Каждый квартал представители издания опрашивали достаточное число потребителей, чтобы сделать достоверные выводы: около 4 000 потребителей каждый квартал, и чуть меньше 8 000 потребителей в марте 2017 года. Организаторы сообщали о результатах каждый раз, когда проводили данные исследования — а проводили их в общей сложности восемь раз. В промежутках представители издания написали множество комментариев, в которых подчеркиваются факторы, сдерживающие использование Apple Pay.

В этом материале мы в команде платежной системы для интернет-магазинов Fondy расскажем, с какими проблемами мы сталкивались при разработке нашего проекта и как их решали.



Инфраструктуру любой ИТ-компании можно условно и довольно грубо разделить на две составляющие: технологии (программное обеспечение, оборудование, сервисы) и бизнес-процессы. Сейчас инфраструктура нашей компании работает довольно стабильно, процессы позволяют нам быстро расти и хотя без сбоев не обходится, случаются они на порядки реже, чем в начале пути:

• 35 сотрудников обеспечивают работу офисов в России, Украине, Латвии, Чехии, Великобритании, Словакии и Казахстане, покрывая тем самым две больших юрисдикции: EC и СНГ.
• Более 30 серверов обеспечивают гарантированную работоспособность (Service Level) системы на уровне 99,95% (не более 20 минут запланированного, а также непредвиденного простоя в месяц) и готовы к многократному росту нагрузки.
• Разработка выполняется по методологии Continuous Integration с применением автоматизированного тестирования, что позволяет устанавливать обновления на production систему по несколько раз в день, не боясь получить большое количество ошибок.
• Бизнес-процессы построены так, что каждая новая функциональность проходит этап от идеи до реализации за 2-3 недели, а запуск нового проекта не более 3-4 месяцев.

Но так было не сразу.

Экономическая модель sharing economy, которая сделала компанию Uber одним из наиболее успешных стартапов планеты, стала возможной благодаря не только подрывным технологическим, но также и финансовым инновациям. Хотя, в отличии от технологий, про которые компании так любят рассказывать, о деталях финансовой стороны обычно все скромно умалчивают. Неужели финансовая модель Uber настолько уникальна, что она дала компании принципиальное преимущество по сравнению с конкурентами на рынке и поэтому компания не стремится о ней рассказывать? Давайте попытаемся разобраться в чем секрет.

Глобальная экспансия

Запустившись в 2010 году в Сан-Франциско, Uber подобно вирусной эпидемии начал завоевывать новые города и страны, и очень быстро столкнулся с проблемой, каким образом можно масштабировать свою финансовую модель взаиморасчета пассажиров с водителями во всех регионах присутствия сервиса. Основным преимуществом платежной инфраструктуры Uber является быстрая in-app оплата поездки, возможность оплаты в локальной валюте каждой страны и регулярные переводы заработка таксистов на личные карты.

Согласно исследованию консалтинговой компании Accenture, около 30% клиентов банка или страховых компаний перешли бы на обслуживание в Google, Amazon или Facebook, если бы эти компании предоставили такую возможность.

Удобство банка нового поколения заключается в интерфейсе, которым легко пользоваться на мобильных устройствах, службе поддержки, которая не требует физического посещения отделение банка на другом конце города, и понятных тарифах. Всё это – экономия времени.

В начале 1990-х годов, с появлением систем онлайн-банкинга, появились и так называемые онлайн-банки, многие под управлением традиционных банковских структур. Сначала ряд банков предлагали только сберегательный онлайн-счёт с более высокими процентными ставками, чем у обычных банков, поскольку отсутствие отделений позволяет им быть очень экономными. С середины 2000-х онлайн- и телефонный банкинг стали основой розничных банковских услуг, и большинство банков это учли, включив такие онлайн-счета в свои основные продукты, параллельно меняя или сокращая сети своих отделений.

Первые банки 2.0

Одним из первых полнофункциональных цифровых банков был First Direct, который запустил телефонный банкинг в Великобритании в 1989-м году. Банк первым применил концепцию работы без филиалов, круглосуточно обслуживая клиентов с помощью колл-центра. К маю 1991 года услугами банка пользовались 100 000 клиентов, а на сегодняшний день в банке обслуживается 1,3 миллиона клиентов. First Direct входит в HSBC Bank plc. С 1995-го года банк ежегодно получает прибыль и пользуется хорошей репутацией у клиентов.

Работая для клиентов из сферы электронной коммерции, мы, в команде платежного сервиса Fondy, не можем игнорировать глобальные тренды, которые задает мировой eCommerce-лидер Amazon. Автор материала рассказывает, как технологическое развитие компании Джеффа Безоса влияет на смежную с электронной коммерцией платежную индустрию.



Мы много говорим о влиянии «Эффекта Amazon» на неудачи традиционного ритейла: закрытие офлайновых магазинов. И упускаем из виду совсем другой «Эффект Amazon», который может оказаться еще более революционным. На недавно прошедшей конференции The Innovation Project вице-президент Amazon по платежам Патрик Готье рассказал, что компания думает над изменением интерфейса покупок, выходящим далеко за пределы кнопки «Купить». Потенциально это сделает компанию ключевым звеном в совершении покупок где бы то ни было. А использоваться будет наиболее привычный и естественный для человека интерфейс — голос.

Нет, речь не о цифровых методах оплаты, о которых вы все время думаете. Другая история, связанная с «Эффектом Amazon» — история о его влиянии на сферу платежей.

А теперь немного подробнее.

С учетом популярности и распространенности платежных технологий на основе NFC и имитации магнитного сигнала — MST, мы в команде платежного провайдера Fondy, публикуем пост, в котором описан механизм работы этих решений: от точки А (взаимодействия с платежным терминалом) до точки Б (исполнения транзакции).

По результатам выдачи Яндекса, главным вопросом пользователей на тему NFC остается «Что такое NFC и как научиться им пользоваться?». Это сильно контрастирует с тем же Google, где вопрос уже другой. Что такое NFC, там уже знают — NFC там есть в каждом домохозяйстве. Вопрос — как применить то, что дано? Что можно делать, используя NFC? Что делать обычному непродвинутому пользователю с технологией ближнего поля?

Для начала вот список нескольких смарт-устройств, совместимых с NFC: Nexus 6, Sony Xperia Z3, iPhone 6/7, Samsung Galaxy Note 4, LG G3, HTC One M9. Для любителей изучения и сравнения девайсов, вот полный список.

Прием платежей в валюте актуален для любого онлайн-бизнеса, работающего на международном рынке. Но как именно глобальной ecommerce-компании предоставить своим покупателям возможность приобретать товары и услуги в валюте разных стран мира, при этом не нарушая законов и не теряя доверия клиентов? Команда нашего платежного провайдера Fondy постоянно решает подобные задачи мерчантов и в этом материале мы делимся своим опытом.

В дальнейшем описании речь пойдет только о юридических лицах и физических лицах — предпринимателях (ИП в России и ФЛП в Украине). Для начала стоит определиться, какую проблему хочет решить интернет-предприниматель:

1. Предоставить иностранной целевой аудитории возможность платить в удобной валюте
2. Получать средства на свой банковский счет в «твердой» иностранной валюте
3. И то и другое одновременно: принимать от плательщиков разные валюты и получать средства в «твердой» иностранной валюте

Также вариант поиска решения зависит от того, какое юридическое или физическое лицо будет использовано: резидента своей страны или иностранное, например США или Европы. Забегая вперед, можно констатировать, что с приемом платежей на российскую компанию все немного сложнее, чем на иностранную, а для украинской компании так и вообще почти невозможно. Давайте разберемся, почему все так плохо, и как можно решить данные проблемы хотя бы частично.

В первой части истории, посвященной эволюции финансовой транзакции, мы показали отражение расчетов между продавцом и покупателем, начиная от чеков и заканчивая цифровыми новациями бесконтактных платежей. Энтропия возрастает, и схемы взаимодействия меняются. В цепочке появляется новое звено — платежный сервис, выполняющий функции обработки и маршрутизации транзакции от плательщика получателю. Эти задачи бизнеса выполняет и наша платежная платформа Fondy.



С появлением в онлайне нового участника — платежного шлюза или PSP Gateway (Payment Service Provider Gateway), схема эквайринга стала отличаться от традиционной.

Современные финансовые технологии развиваются не по спирали, они скорее ложатся пластами друг на друга. Сегодняшний пласт — это кроссплатформенные платежи, когда транзакция вынуждена даже не пройти, а пробежать длинный путь за короткий срок. Нынешний этап эволюции финансовой транзакции сформировал бизнес-нишу, в которой работает наш платежный провайдер Fondy, позволяющий принимать платежи по картам любых стран мира без ограничений.

Мы подошли к тому уровню развития финансовых технологий, когда традиционные представления о качестве платежных сервисов складываются из двух составляющих: скорости прохождения транзакции и одобрения платежа. И что же здесь нового, спросите вы? Так было всегда. Но в этом только часть правды.

Результат всегда один. А вот транзакционная цепочка менялась от десятилетия к десятилетию. Менялось количество участников в процессе инициации и одобрения платежа. Тут стоит упомянуть слово «процессинг» не просто как обработку данных, а как процесс между инициацией транзакции и ее финалом (одобрение/отказ).