Дыра в безопасности «Сбербанка»: снять деньги с карты можно даже без CVC и SMS-кода

Цитата (ПечHuk @ 21.10.2020 - 09:02)

Я живу в тайге в землянке, вот реальная защита. Чтоб написать это нехитрую фразу, мне пришлось залезть на сосну высотой 30 метров и включить свой нокиа 3210

Э.... сосна в Лобне? )
Размещено через приложение ЯПлакалъ

У меня так амазон сеял 99 уе за подписку прайм. И вообще амазон легко снимает баблосик с карты без подтверждения кодом итд.с амазона вернул баблос так же легко как сняли.
Размещено через приложение ЯПлакалъ

Греф наводят ли свои бабки хранит в Сбере
Размещено через приложение ЯПлакалъ

Цитата (ПечHuk @ 21.10.2020 - 09:02)

Я живу в тайге в землянке, вот реальная защита. Чтоб написать это нехитрую фразу, мне пришлось залезть на сосну высотой 30 метров и включить свой нокиа 3210

За интернет шишками расплачиваешься?

Цитата (thefoxinbox @ 22.10.2020 - 09:27)

Цитата (ПечHuk @ 21.10.2020 - 09:02) Я живу в тайге в землянке, вот реальная защита. Чтоб написать это нехитрую фразу, мне пришлось залезть на сосну высотой 30 метров и включить свой нокиа 3210 Э.... сосна в Лобне? )

Причем здесь Лобня?

Цитата (Gar02 @ 21.10.2020 - 09:30)

Цитата (Айболит30 @ 21.10.2020 - 10:05) Недавно узнал, что у сбера можно переводить деньги с телефона просто через смс на 900. То есть любой, взяв мой телефон в руки, может спереть бабло. Никакого приложения у меня нет.  Кстати, у сбера вечные проблемы с безопасностью.Поэтому бабло держу в втб и налом, а на сбере только необходимая сумма для покупок в инете. Освоить блокировку телефона по паролю, отпечатку пальца или графическому знаку - задача для тебя непосильная? Тогда так тебе и надо. Держи и впредь свои деньги налом.

А зачем мне эти сложности? Блокировки по отпечатку пальцев, по морде лица, по ДНК? Бумажник во внутреннем кармане проще же .

на wildberries заказывал вчера мелочёвку, нажал оплатить и сумма списалась сразу, без всяких вводов данных карты, cvc и sms-подтверждений. Оказалось карта привязана, когда-то где-то забыл снять "галку" и она привязалась к учетке. Удивился я, удалил привязку карты, так оно спокойнее как-то

Постойте, алгоритм Луна (Алгоритм Лу́на (англ. Luhn algorithm) — алгоритм вычисления контрольной цифры номера пластиковой карты в соответствии со стандартом ISO/IEC 7812) скажем так всем известен. Соответственно сгенерировать номера карт начинающихся с 4276 хххх xxxx xxxx которые будут правильные труда не составляет. Соответственно реплика НЕ СВЕТИТЕ СВОЙ НОМЕР КАРТЫ как написано в оригинале статьи по ссылке via не уместна. Вот например сайт который генерит номер по заданной маске и типу карты.
Тыц

p/s/ пошел я за американскими шмотками, спасибо...

Цитата (kredetz @ 21.10.2020 - 08:53)

Только нал, фпезду карты

Ага, два дня с 5-ю тысячами проходила.
- Нет сдачи, мы в основном по картам

Цитата (Pit1973 @ 21.10.2020 - 08:57)

так это дыра не в безопасности сбера, а просто кликбейтный заголовок. до недавнего времени на сайте Петроэлектросбыта можно было оплатить электричество - без 3d secure - нужен был номер карты, срок действия и cvc, даже имени или инициалов владельца не требовалось, как и кода из СМС PS имя и фамилию с карты обычно вводить не надо, только инициалы, вместо  Ivan Petrov - IP

Это особенности Платежной Системы. Суть:
1) Сайт магазина работает напрямую с Платежной Системой:
Все платежи будут проходить по законам той страны где расположена Платежная Система.
В случае Мастера или Визы - это пендостан со всеми вытекающими.
По законам пендостана: для платежа - достаточно номера карты.
2) Сайт магазина работает не напрямую с Платежной Системой, а через софт от банка:
Все платежи будут проходить по законам той страны где расположен Банк.
По законам РФ: для платежа - необходима много факторная авторизация:
карта: номер, дата, cvv, пароль(код) из смс по номеру телефона владельца карты.

Так что, это не дыра Сбера, это прелести пофигизма законов пендостана.

Заголовок неверный, ИМХО, можно было бы так:
Опасная дыра в Платежных Системах: Мастера и Визы.

Цитата (НесЪедобный @ 22.10.2020 - 10:28)

на wildberries заказывал вчера мелочёвку, нажал оплатить и сумма списалась сразу, без всяких вводов данных карты, cvc и sms-подтверждений. Оказалось карта привязана, когда-то где-то забыл снять "галку" и она привязалась к учетке. Удивился я, удалил привязку карты, так оно спокойнее как-то

Наивный!
Это ты увидел - то что тебе показали.
Реально, номер карты и прочие твои ПД остались в БД с пометкой: "Клиент удалил", но данные все равно хранить!

Если хочешь реальной безопасности. Делай как тут уже сказали ранее:
Держи две (как минимум) карты:
1) Основная - никому не давать реквизиты. А учитывая дыры Платежных Систем: Мастера и Визы - лучше хранить на счете.
2) Платежная - светить можно, но средства переводить на нее только по необходимости оплаты.

Цитата (Твинк @ 21.10.2020 - 09:16)

обращение в Визу и Мастер-карт, непосредственно, по формату чарджбэк, с указанием причины "не оказана услуга"  - штраф от платежной системы банку, в размере 25 килоЕнотов

И с какого перепугу банк будет платить штраф Платежной Системе?!
Если транзакция прошла напрямую: "Магазин - Платежная Система".
Вот если бы так: "Магазин - Банк - Платежная Система" - тогда да,
виноват банк: провел транзакцию "на ура" (без подтверждения).

Может кому пригодится (параноикам например):
ДЕБЕТОВАЯ карта с 1000 на балансе для мелких покупок (и хрен больше снимешь а тыщу не жалко если что)
в этом же банке срочный вклад с остальными деньгами
Когда нужно купить что-то приличное - заходим в приложение банка и переводим со счета нужную сумму на карту - и с нее потом и расплачиваемся. Операция перевода занимает секунд 30-40
И не забываем при звонках "служб безопасности банка" сразу говорить "ветер в хату" (ну или посылать на йух - кому как нравится)

Не надо на карте держать все деньги,кинул 1000 сходить в магазин и хватит.А на Сбер вообще нет смысла что то класть,кэшбек нет,следят за клиентами,блокируют деньги,он сейчас самый худший из банков.Лучший это наличка зарытая поглубже

Цитата (ELEA @ 21.10.2020 - 09:02)

Зашел я на этот https://www.saybyeaccent.com/ - и не нашел там ни оплаты, ни товаров. Какая херня по обучению инглишу...

есть там возможность купить

Цитата (Айболит30 @ 21.10.2020 - 09:05)

Недавно узнал, что у сбера можно переводить деньги с телефона просто через смс на 900. То есть любой, взяв мой телефон в руки, может спереть бабло. Никакого приложения у меня нет. Кстати, у сбера вечные проблемы с безопасностью.Поэтому бабло держу в втб и налом, а на сбере только необходимая сумма для покупок в инете.

Для покупок в интернете лучше вообще реальные карты не использовать. Киви, Яндекс кошелёк самое то.
Размещено через приложение ЯПлакалъ

У меня как-то акк на Али ломанули и заказали пару Ойпхон 7s куда-то в район города-героя Парижа.
Но, т.к. на той сберовской карте было 30 "вечнодеревянных" рублёв и пополнялась она только в преддверии каких-то интернет-трат, мсье пришлось обломаться и вместо Ойпхонов, лососнуть тунца.

Ну х.з , мать попросила оформить рыболовную катушку на али экспрессе в подарок отцу.
Получателем забил себя на автомате, а карта её.
Так вот, хер дали деньги перевести, даже перезвонили и спросили - На кой ей старой рыболовная катушка понадобилась)

Цитата (Jus @ 21.10.2020 - 08:50)

После нелегкого общения со службой поддержки Сбербанка, которая утверждала, что "ничего сделать нельзя, это вы сами сделали покупки" пришлось ему попросить соединить его с руководством, которое подтвердило все же, что чарджбек оформить можно. Однако его предупредили, что ответ дадут по нему только через пару недель, а сама процедура возврата может занять до 120 дней и даже больше.

У мужа списались деньги с карты в 10 утра, увидел он это в 14ч. Позвонили в сбер, заблокировал карту, сообщил что не делал перевод, деньги сбер вернул в течении 2-ух минут, разблокировал карту.

При чём потом оказалось, что муж сам виноват, не убрал галочку в яндекс недвижимости, в ежемесячной оплате.

Если бы у нас действовали законы, что за каждое хищение денег с карты клиента банк возмещает в 10 кратном размере, никаких дыр в их системах не было бы! А то сегодня мельком смотрел телевизор, которого у меня конечно же нет, на первом анале эксперт дает советы, типа не отправляйте ваше фото с паспортом в руках ибо в микрофинансовых организациях этого достаточно что бы выдать кредит! БЛЯДЬ! А почему нельзя сделать, что бы микрофинансовая организация сосала хуй а не кредиты по фото выдавала? Государство вообще уже устранилось от защиты своих граждан, типа это частные дела между банком и клиентом!

Цитата (ЛешкинКот @ 22.10.2020 - 11:22)

в этом же банке срочный вклад с остальными деньгами

Почему срочный, по моему обычный депозитный с возможностью пополнения и снятия. Организуется из личного кабинета без посещения банка.

Я подумываю закрыть физическую визу и сделать электронную версию для интернет платежей.

Цитата (Pit1973 @ 21.10.2020 - 08:57)

так это дыра не в безопасности сбера, а просто кликбейтный заголовок. до недавнего времени на сайте Петроэлектросбыта можно было оплатить электричество - без 3d secure - нужен был номер карты, срок действия и cvc, даже имени или инициалов владельца не требовалось, как и кода из СМС PS имя и фамилию с карты обычно вводить не надо, только инициалы, вместо  Ivan Petrov - IP

Коммунальные платежи сбер с твоей карты списывает без подтверждения, проверено не раз.
Это сообщение отредактировал bender376 - 22 окт 2020 в 14:15

Цитата (pafnutik @ 22.10.2020 - 10:18)

Цитата (Gar02 @ 21.10.2020 - 09:30) Цитата (Айболит30 @ 21.10.2020 - 10:05) Недавно узнал, что у сбера можно переводить деньги с телефона просто через смс на 900. То есть любой, взяв мой телефон в руки, может спереть бабло. Никакого приложения у меня нет.  Кстати, у сбера вечные проблемы с безопасностью.Поэтому бабло держу в втб и налом, а на сбере только необходимая сумма для покупок в инете. Освоить блокировку телефона по паролю, отпечатку пальца или графическому знаку - задача для тебя непосильная? Тогда так тебе и надо. Держи и впредь свои деньги налом. А зачем мне эти сложности? Блокировки по отпечатку пальцев, по морде лица, по ДНК? Бумажник во внутреннем кармане проще же .

А билеты на самолёт-паровоз, отели как бронируешь? В интернет-магазинах чем платишь?

Цитата (Gar02 @ 21.10.2020 - 09:30)

Цитата (Айболит30 @ 21.10.2020 - 10:05) Недавно узнал, что у сбера можно переводить деньги с телефона просто через смс на 900. То есть любой, взяв мой телефон в руки, может спереть бабло. Никакого приложения у меня нет.  Кстати, у сбера вечные проблемы с безопасностью.Поэтому бабло держу в втб и налом, а на сбере только необходимая сумма для покупок в инете. Освоить блокировку телефона по паролю, отпечатку пальца или графическому знаку - задача для тебя непосильная? Тогда так тебе и надо. Держи и впредь свои деньги налом.

Андроид ломается на раз, ипхон в этом плане куда надежней.

Цитата (bender376 @ 22.10.2020 - 14:15)

Цитата (Pit1973 @ 21.10.2020 - 08:57) так это дыра не в безопасности сбера, а просто кликбейтный заголовок. до недавнего времени на сайте Петроэлектросбыта можно было оплатить электричество - без 3d secure - нужен был номер карты, срок действия и cvc, даже имени или инициалов владельца не требовалось, как и кода из СМС PS имя и фамилию с карты обычно вводить не надо, только инициалы, вместо  Ivan Petrov - IP Коммунальные платежи сбер с твоей карты списывает без подтверждения, проверено не раз.

Через приложение - да. Но это ты сам разрешаешь.