Как стать автором
Поиск
Написать публикацию
Обновить

Крайне ужасная дыра в безопасности банковских карточек при оплате онлайн

HTML*Информационная безопасность*Платежные системы*Программирование*Разработка под e-commerce*
Ожидает приглашения

В общем захожу я как обычно оплачивать какой-то товар с алиэкспресса и только сейчас обратил внимание на очень серьёзную проблему со стороны платёжной системы. Для начала покажу пару скриншотов:

Aliexpress
Aliexpress
Stripe
Stripe
Steam
Steam
Фрикасса
Фрикасса

Заметили что-то общее на этих скриншотах? Если провести опрос среди людей, я думаю, что меньше 5% смогут сказать правильно.

Правильный ответ

Тут везде можно прочитать CVV код карточки

Среди последних моих 10 покупок онлайн, только у одной платёжной системы было всё адекватно!

На момент написания статьи я снова начинаю "кипеть" от злости, но я ещё справляюсь с этим. До этого же момента, за несколько дней ДО был в ярости от происходящего. На тот момент эта статья состояла бы только из *****.

Как вы уже поняли, тема этой статьи проблемный вывод на экран CVV кода карточки.

В самом начале я не знал в чём причина такой безответственности. Сам я правда не из сферы закона, юридического дела. Также я никогда не работал ни в банках, ни в конторах, которые эти самые платёжные системы создают. Поэтому, если в комментариях найдутся специалисты с этих сфер, будет очень интересно узнать ваше мнение/суждение по поводу этой темы.

Так вот, обсуждая эту тему со своим другом, он мне сообщил, что оказывается в мире нет просто стандарта, который бы условно говоря регулировал бы эти платёжки прятать, например CVV код.

И это ужасно! Да, нет стандарта, но неужели так сложно разработчику, которому платят овер 5к$ поставить в html:

<input type="text">

На ЭТО

<input type="password">

????

А почему вообще это важно? А если у меня сзади человек наблюдает? А если у меня стрим? А если у меня а-ля демонстрация экрана в Discord?

Возможно, мне стоит подождать и не совершать покупку сейчас. Однако... почему я должен себя ограничивать? Это не User-friendly! Я бы мог сделать покупку свободно, если бы у меня этот секретный код прятался бы.

И да, я знаю, что есть карты, где снимать деньги можно вообще без CVV кода. Достаточно знать номер карты и дату. Но это вообще сюда не относится, это отдельный разговор. На данный момент острая проблема в том, что не все банки будут присылать SMS на верификацию платежа, достаточно ввести данные карточки и платёж пройдет! Так что, ваш код могут элементарно так и украсть. Даже если вы доверяете тем, кто наблюдает за вашим экраном - это в любом случае неправильно!

Объясните, почему так сложно поменять тип инпута на пароль?

Почему это умеет делать Cardlink и прочие редкие товарищи, а гиганты типа алика и страйпа не умеют в это?

Почему я должен видеть что CVV не прячут, самостоятельно заходить в инспектор браузера и вручную менять тип input?

Я считаю это серьёзной проблемой, о которой нужно буквально кричать отовсюду и лично писать об этом в саппорт платёжных систем!

Теги:
Хабы:
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr