Форуми
Про юзабіліті (використовність, зручність), технічному, організаційні питання… » Небезпека сервісу
Сайт
Посилання
Оригинал статьи (переход по ссылке заблокирован сайтом dilova.com.ua)
- В начале февраля 2020 кража 7'000 грн.с банковской карты клиента кабанчика посредством сервиса Кабанчик (ссылка внизу публикации) украли деньги.
- Всего лишь спустя 5 месяцев (не прошло и пол-года) сервис кабанчик публикует информацию (от представителя сервиса Kabanchik.ua Владислава Шмелевского) на неком (регинальном/городском) ресурсе «Деловая Одесса» (работает с 2011) с громким названием
«Известный онлайн-проект провел расследование и «вычислил» мошенников»🎆✨💥В редакцию «Деловой Одессы» обратились представители проекта Kabanchik.ua и дали пояснение относительно истории, которая произошла с журналисткой Екатериной Богуславской.
Какие же расследования, заключения и технический апгрейд (безопасности) забрали у сервиса кабанчик пол-года?
анализ предпринятых мер (сервисом кабанчик)
мы разберем у комментариях ниже
Проанализировав ситуацию, девушка выяснила, что уязвимость скрывается в давно неиспользуемом электронном ящике.
Другого заключения детективов жанра «кабанчик» ожидать и не следовало бы.
Иными словами "Виноват сам клиент. Уязвимость (сервиса кабанчик ред.) скрывается в его электронном ящике". Вооно где сабака зарыта оказалась... на urk.netАдминистрация ресурса эту проблему не проигнорировала, а разработала и внедрила дополнительные меры безопасности.
«Да, действительно эта ситуация произошла в феврале, но после обращения Катерины (пострадавшей) в службу поддержки мы провели расследование и деактивировали профили мошенников.
После ситуации с Катериной мы разработали дополнительные меры безопасности, которые больше не позволяют проводить подобные схемы:
- внедрили двухфакторную аутентификацию для сайта и мобильного приложения,
- подключили функцию 3D Secure — протокол, предназначенный для безопасной оплаты картой товаров и услуг в Интернете. Теперь когда владелец карты пытается совершить онлайн-платеж на сайте, на его мобильный телефон приходит SMS от банка с кодом безопасности.
Также мы ограничили возможность пользователей самостоятельно менять номер телефона. Теперь чтобы изменить номер пользователю надо обращаться в службу поддержки Кабанчика.
Мы надеемся, что предпринятые нами меры помогут защитить наших клиентов от различных мошеннических схем».
- Увійдіть або зареєструйтесь щоб залишати коментарі
- 99 переглядів
Итого
Спустя 5 месяцев кабанчик публикует пояснение/отчет (типа опровержение) "относительно истории" о краже денежных средств с банковской карты посредством сервиса кабанчик.
Наверное, и "шоб було" и "не сильно"🙊 (не стоит громкой информационной волны о фактах краж через кабанчик и небезопасности сервиса от самого же🐷).
А возможно - никакой другой ресурс не согласился публиковать эту бравую фигню.
Оч хотелось бы услышать (в публикациях сервиса) результаты выявления, извинения, и бравых возмещениях убытков других потерпевших клиентах сервиса.
B.3 также мы ограничили возможность пользователей самостоятельно
Родные, вы в своем уме⁉️😮 Может доработаете?🤣
Давайте сделаем необходимым личное присутствие клиента (с документами, подтверждающим личность) в офисе сервиса в Киеве.
Или, еще лучше - нахрен закрыть аккаунты всех исполнителей. Тогда 💯 исключается возможность кражи средств (исполнением фэйковых заданий).
Остается, правда брешь при выводе своих же средств с баланса кабанчика заказчиком на измененную карту мошенника (взломавшего аккаунт заказчика).
Здесь есть варианты
B.2.2 подключили функцию 3D Secure
Ах какой продвинутый❕ былбы сервис с такой👏 фишкой (на дату начала этого десятилетия😂)
Не прошло и пол-года🐌 кабанчик отчитался результатами проделанной работы — дописал 3 строки в апи платежного сервиса. ну, может ще поставил галочку в настройках.
Кстати, вариант - кроме urk.net крайним назначить еще и wayforpay. Чёэт они не сделали эту опцию обязательной?
B.2.1 внедрили двухфакторную аутентификацию
Короче логин + код-смс
Он присутствует, с начала этого десятилетия, на любом более-менее серьезном ресурсе, и обязателен для любого сервиса (с банковскими транзакциями).
Объяснением тому, что сервис кабанчик не подключал её ранее есть одно — или дикое жлобство💲 или пофигизм (по защите пользователей) или глупость.
Сервису, подключившему данную услугу необходимо её оплачивать шлюзам операторов мобильной связи. А кабанчику было в .
Резюме: не "внедрили", а, после скандала - скрипя зубами🐸 подключили.
B.1 мы провели расследование и деактивировали профили мошенников
По словам потерпевшей
т.е. мошеннических аккаунтов 2(два). Если сервис "деактивировали профили мошенников", значит они забанили (или "удалили" в общем "деактивировали" ) более одного аккаунта (как минимум 2). варианты:
жестко
Судя по подобным жалобам в… (у відповідь до "B.1 мы провели расследование и деактивировали профили мошенников")
Судя по подобным жалобам в других источниках о "фантомных заказах" ("висить фантомне замовлення в кабінеті") которые заказчики обнаруживают в своих аккаунтах можно предположить
И, кстати, если служба поддержки действительно занималась этой жалобой и не смогла - то это делается на более низком (по программному) или высоком (по человеческому) уровне чем "служба поддержки" - на уровне программистов.
Даже если этот фантом у клиента есть результат сбой в базе сервиса, это говорит о
A. уязвимость скрывается в давно неиспользуемом электронном ящик
Если потерпевшая и сама выяснила в чем "скрывается уязвимость" сервиса кабанчик👧💪 — нафига устраивать "танцы с саблями" и "разрабатывать дополнительные меры безопасности".
Попросить её удалить этот ящик (ваще) с их сервиса (или сгенерировать сложный пароль 16 символов), и, вуаля