Безпека або booking

Доброго дня, Пікабутяни, Пікабушники, Пікабубці Друзі!

Я працюю в галузі інформаційної безпеки (ІБ), тому в повсякденному житті в неробочий час помічаю безліч порушень ІБ у різних компаній. Розповім Вам про один дуже відомий сервіс, назву якого зможете побачити на знімках цього посту або в заголовку.

Мета цього посту полягає в тому, щоб застерегти Вас від компрометування своїх банківських карток.

Заходимо на сайт, вибираємо собі номер із прийнятним бюджетом.

booking

Вибираємо варіант, що нам сподобався, і починаємо заповнювати дані для бронювання.

безпека

Далі найцікавіше, що заради чого я і пишу цей пост.

Заповнюємо дані картки.

Номер карти я генерував у першому онлайн-сервісі, щоб не світити свою.

Зауважу, що CVV код та термін дії картки вказано від балди.

даних

Далі підтверджуємо введені дані.

Зверніть увагу на виноску "Не турбуйтеся – вам не доведеться платити до заїзду"! А навіщо я тоді вводжу карти? Вас ще не відвідують сумніви щодо цього заходу? Я звичайно розумію, що вони так перестраховуються і роблять оплату тільки при заселенні, але так не робиться.

Отже, при введенні свідомо невірних даних, у тому числі CVV коду, бронювання завершено успішно. Сервіс сховав те, що йому підсунули. За фактом відбулося відправлення даних, а не оплата.

картки

Інтерпретую все сказане вище.

А нас на кожному кроці попереджають, не передавайте ці картки навіть банківським співробітникам!

Як це має бути.

Коли ми робимо онлайн покупки на нормальних майданчиках, нас переправляють на додаток оплати, такі як 3D-Secure.

картки

Дані програми сертифіковані за PCI DSS (стандарт безпеки даних індустрії платіжних карток). Відповідно дані картки зашифровані і не відправляються "продавцю".

Чекаю на пропозиції, як можна покарати Booking. Поки що є ідеї звернутися до ЦБ або Роскомнагляду.

Дякую за увагу. Перепрошую за сумбурність, писав в умовах обмеженого часу.

  • Найкращі зверху
  • Перші зверху
  • Актуальні зверху

Нещодавно вже обговорювали про Букінг і передачу в максимально відкритому вигляді даних карток замовників, щоб не повторюватися - посиланням http://pikabu.ru/story/buking_razdaet_dannyie_kart_5027506#comment_86785494

Нічого ти їм не зробиш, з подібними сервісами дрібний шрифт користувальницької угоди кермує, а там все чітко - вирішив користуватися, користуєшся як є і на їх умовах, не подобається - вали, Інтернет великий. На жаль.

А сертифікацію PCI DSS проходити в їх масштабах – це жах, які гроші та терміни, воно їм жодного разу не треба.

Я відкрию таємницю. Зберігання даних картки - це відповідальність і для того, щоб віза відкрила шлюз на прийом даних безпосередньо - потрібно пройти сертифікацію.

Тільки пара адмінів матиме доступ до БД, і обидва будуть кримінально відповідальними за це.

Не мають рядових адмін там доступ до БД. Є тестові БД, які працюють на тестових серверах з кодом розробників, до того, як він засабмічний на прод. До них ще адміни можуть мати доступ. На проді ж крім програмного коду з базою ніхто не працює і можливість взагалі звернутися до продукту є у 1-2 осіб.

Адмін БД все ж таки має доступ як мінімум для технічних робіт і має паролі рутові на бд. Інша річ, що в тому ж ораклі логування доступу йде до всього і зрозуміло хто повзав.

Можливо. У нас просто з метою безпеки адмін БД не має повноцінного доступу. Окремими тулзами збирається статистика з бази. Якщо видно косяки, незаплановане навантаження, то з'ясовується причина і лише за необхідності адміну відкривається доступ.