Публичный саппорт: Интернет-банк «Связного» — баг или хак?

Полторы недели назад отправлял деньги на кошелек в Яндекс.Деньгах с карточки данного банка через интернет-банк. Деньги списали, но не дошли. Из переписки с Яндексом выяснил, что куда отправили, туда и зачислено, а именно — на другой кошелек, который и был указан в квитанции.

Как он туда попал? Очень просто. На фрагменте скриншота видно, что в одном и том-же поле, под номером кошелька бледным шрифтом указан некий лицевой счет. Этот счет и был подставлен в квитанцию при нажатии на «оплатить». При оформлении это подозрений не вызвало. Списал на «банку видней», тем более, что не первый платеж через него и прежний прошел успешно.

Позиция банка (точнее сотрудника саппорта) — подписал платеж, значит согласился со всеми реквизитами (логично). Мой вопрос, почему поле с номером кошелька имеет два разных значения и почему в платеж подставляется второе (хотя главным, судя по выделению жирным шрифтом, является первое, правильное), ушел в техническую службу и уже третий рабочий день, как не может оттуда вернуться.

PS. Что это, ошибка, возникшая при доработке системы или чьи-то недобросовестные действия? Боюсь, мы об этом не узнаем.
PPS. Яндекс нашел данный «лицевой счет» — это кошелек для пожертвований сайта Old-Games.ru. Саппорт сайта подтвердил поступление денег. Они приняли их за помощь и потратили на хостинг.

Добавить 21 комментарий

  • Ответить
    small_matter Андрей Винокуров

    Постойте, этот «некий лицевой счет» (*******248) — он как вообще попал в интерфейс вашего интернет-банка? Вы его когда-нибудь куда-нибудь вбивали? И еще мне интересно, если ли у вас верифицированный скриншот этой прелести (например, заверенный у нотариуса)? Я бы сделал… Еще любопытно, как генерируются номера кошельков ЯД — случайным образом, подряд или по специальному алгоритму.

  • Ответить

    Откуда появился «лицевой счет» — неизвестно. Банк молчит, а я узнал что это за счет только когда стал разбираться с ситуацией. При первом платеже через эту систему я ввел только номер Яндекс-кошелька. При повторном платеже он уже присутствовал в системе. Я только проверил его номер. Что за лицевой счет бледно написан под ним — не придал значения, поскольку это напоминает банковский термин. Т.е. воспринял его как техническую информацию, имеющую отношение к технологии прохождения платежа. Определяющим был выделенный жирным мой номер кошелька. Скриншот можно и сейчас сделать — все на месте. Есть даже видеоролик с экрана, как пошагово проходит платеж в данном случае. Я надеялся на более квалифицированный и продуктивный диалог с банком — не получилось. Воз и ныне там. Фича-баг по прежнему действует. Так что если кто-то пользуется услугами данного банка — будьте внимательней. Сервис у него достаточно удобный, но, как оказалось, с подводными камнями.

  • Ответить

    слово юзабилити разработчикам интернет-банка неизвестно. и все ошибки клиентов у них объясгяются просто — «сам дурак». А предпринимать какие либо действия чтобы впредь клиент не ошибался — не собираются. А зачем? ведь клиент «сам дурак»

  • Ответить

    Вопрос не в юзабилити. Подозрение на ошибку при проектировании базы данных. Поле, которое должно иметь единственное значение, имеет поля-клоны, скорее всего в связанных таблицах, которые и используются при формировании платежного документа и значение которых можно изменить. В итоге пользователь в первую очередь видит значение главного поля, а дальше используется отличное по значению поле-клон. Кроме того отображение информации в интерфейсе вводит пользователя в заблуждение.

  • Ответить

    Насколько я знаю, банк «Связной» использует в качестве своего интернет-банка приложения ресурса faktura.ru, — и не только он один, другие банки тоже используют этот ресурс. Например, т-Банк (он же 2T-Банк, он же WifiBank), клиентом которого я имею счастье быть. Сервис faktura.ru вообще феерически кривой, жалобы на него постоянные. К тому же он регулярно падает (там это называют «внеплановыми сервисными работами»). Мне, например, они умудрились дважды провести одну и ту же операцию (то есть в результате перевели двойную сумму денег). После обращения в саппорт всё быстро поправили, но тем не менее. Судя по тому, как всё это работает, транзакции происходят в ручном режиме и только в рабочее время. Какое отношение всё это имеет к реальному, настоящему интернет-банкингу — хз. По сути данного топика могу предположить, что поскольку там всё происходит по алгоритму заката солнца вручную, то кривой номер кошелька вполне мог быть подставлен каким-нибудь хитровыетым хуманом по дороге, а вовсе не вызван некими программными сбоями.

  • Ответить

    Провел еще один перевод на Яндекс-кошелек. В сформированной платежной форме заменил подставленный туда левый лицевой счет на номер своего кошелька (это поле редактируемое!) — деньги дошли, но как и прежде, этот левый номер бледным шрифтом маячит под номером моего кошелька и подставляется в платежки. Т.е. в базе он не изменился и по прежнему пытается увести на себя мои деньги. Только я уже ученый, а вот другие пользователи, не наступившие еще на эти грабли, по прежнему рискуют на них наступить. А судя по поведению банка, ни исправлять ошибку, ни возвращать деньги он пока не собирается. PS Весь процесс перевода снял на видео Jing’ом и сохранил.

  • Ответить
    Альтер Эго

    Может это не баг и не хак, а злобный вирус, который сидит у вас локально на компе и дописывает в формы (в броузере) или шаблоны (на диске) заданный номер счета? Ходили страшилки о подобных заразах. Попробуйте выполнить те же действия с другого, заведомо чистого компа. (Насколько я понимаю — переводить деньги не обязательно, достаточно взглянуть на форму и потом отменить перевод)

  • Ответить

    Я видел тот-же левый счет под своим в отделении Связной Банка на их нетбуке в клиентском зале. Демонстрировал это сотрудникам. У них тоже кругом вирус? Кстати, при попытке разместить ссылку на данный пост на Facebook-стене банка она была удалена в считанные секунды. Оперативно работают, когда хотят. UPDT. Переводить деньги — обязательно. Ибо где гарантии, что показав правильный документ при переводе не произойдет аналогичной подстановки? Так что тестировать нужно всю цепочку.

  • Ответить

    М-да, Связной жжёт. Опишите проблему здесь, пожалуйста: http://svyaznoybank.copiny.com/ Укажите свои ФИО. 8 последних цифр карты с лицевой стороны, контактные данные. Не забудьте скрыть сообщение в той части, где предоставите свои данные (надо будет поставить галочку в чек боксе «Скрыть сообщение». Если после проверки, проблема подтвердится — будем разбираться. По поводу удаления сообщений — если сообщение написаны корректно, без оскорблений и аргументировано, оно никогда не удаляется. http://www.facebook.com/svyaznoybank/posts/287790007947119

  • Ответить

    Связной вообще какой-то недобанк. Хотя у меня в нем открыта дебетовая карта. Думал открыть вторую с отдельным счетом (ну, для безопасности) — нельзя. Говорят, что бы открыть вторую — Вам надо закрыть первую)

  • Ответить

    Psycho, по результатам этой переписки одно желание — рвать из банка. Вот только куда? Про этот уже хоть что-то выяснил и есть шанс, что с нашей подачи там что-то может улучшиться. А остальные? Такие-же черные ящики, полные сюрпризов.

  • Ответить

    то что выделено жирным — это название шаблона серым цветом — лицевой счет яд варианты: 1) топикстартер сам ошибся при введении лс 2) кто-то на стороне иб (фактуровцы или связнисты) подменил лс на мошеннический. >>Альфа банк, вывод на яд — 2% и давно? с самого начала открытия услуги, было без всякий комиссий.

  • Ответить

    nitroz, 1) Тогда почему я могу изменить это «название шаблона» и не могу изменить номер лицевого счета? 2) Когда я первый раз платил в ЯД, то ввел только номер кошелька. Платеж прошел нормально. Откуда взялся этот номер л/с, который, как выяснилось, я не могу даже изменить? Т.е. я могу его изменить в сформированном после платежном документе, а вот в исходных данных — нет. Как-то это шиворот-навыворот, не находите?

  • Ответить

    UPDT. Да. Жирным — это имя шаблона. Бледным — лицевой счет. Сделал еще один шаблон платежа на ЯД (из списка услуг в интернет-банке). Введенный счет ЯД сохранился как л/с, а имя шаблона, которое я ввел, стало тем именем, которое и выделено жирным шрифтом. Скриншот. НО! До этого, криво ушедшего платежа у меня был из этой системы всего один платеж в ЯД, который я и сохранил, как шаблон. И он прошел ПРАВИЛЬНО! Следовательно и л/с должен был сохраниться правильно. Почему с тех пор правильный л/с перекочевал в имя шаблона, а его место занял какой-то другой? Мой вывод — кто-то на стороне банка поправил значения этих полей. Ну, а я купился на имя шаблона, совпавшее с моим кошельком. Ведь если бы имя не изменили (уверен, что как и сейчас, я ввел текстовое название шаблона), я сразу бы обратил внимание на неверный л/с. Ну и по хорошему имя шаблона и л/с в интерфейсе должны отображаться разными полями. Тогда и понятно будет, что есть что, и таких ошибок не будет.