Крайне ужасная дыра в безопасности банковских карточек при оплате онлайн
В общем захожу я как обычно оплачивать какой-то товар с алиэкспресса и только сейчас обратил внимание на очень серьёзную проблему со стороны платёжной системы. Для начала покажу пару скриншотов:
Заметили что-то общее на этих скриншотах? Если провести опрос среди людей, я думаю, что меньше 5% смогут сказать правильно.
Правильный ответ
Тут везде можно прочитать CVV код карточки
Среди последних моих 10 покупок онлайн, только у одной платёжной системы было всё адекватно!
На момент написания статьи я снова начинаю "кипеть" от злости, но я ещё справляюсь с этим. До этого же момента, за несколько дней ДО был в ярости от происходящего. На тот момент эта статья состояла бы только из *****.
Как вы уже поняли, тема этой статьи проблемный вывод на экран CVV кода карточки.
В самом начале я не знал в чём причина такой безответственности. Сам я правда не из сферы закона, юридического дела. Также я никогда не работал ни в банках, ни в конторах, которые эти самые платёжные системы создают. Поэтому, если в комментариях найдутся специалисты с этих сфер, будет очень интересно узнать ваше мнение/суждение по поводу этой темы.
Так вот, обсуждая эту тему со своим другом, он мне сообщил, что оказывается в мире нет просто стандарта, который бы условно говоря регулировал бы эти платёжки прятать, например CVV код.
И это ужасно! Да, нет стандарта, но неужели так сложно разработчику, которому платят овер 5к$ поставить в html:
<input type="text">
На ЭТО
<input type="password">
????
А почему вообще это важно? А если у меня сзади человек наблюдает? А если у меня стрим? А если у меня а-ля демонстрация экрана в Discord?
Возможно, мне стоит подождать и не совершать покупку сейчас. Однако... почему я должен себя ограничивать? Это не User-friendly! Я бы мог сделать покупку свободно, если бы у меня этот секретный код прятался бы.
И да, я знаю, что есть карты, где снимать деньги можно вообще без CVV кода. Достаточно знать номер карты и дату. Но это вообще сюда не относится, это отдельный разговор. На данный момент острая проблема в том, что не все банки будут присылать SMS на верификацию платежа, достаточно ввести данные карточки и платёж пройдет! Так что, ваш код могут элементарно так и украсть. Даже если вы доверяете тем, кто наблюдает за вашим экраном - это в любом случае неправильно!
Объясните, почему так сложно поменять тип инпута на пароль?
Почему это умеет делать Cardlink и прочие редкие товарищи, а гиганты типа алика и страйпа не умеют в это?
Почему я должен видеть что CVV не прячут, самостоятельно заходить в инспектор браузера и вручную менять тип input?
Я считаю это серьёзной проблемой, о которой нужно буквально кричать отовсюду и лично писать об этом в саппорт платёжных систем!