«Просто вводишь номер телефона и подгружаются карты, привязанные к этому номеру», — утечка при оплате ЖКХ

Читатель Roem.ru рассказал об утечке персональных данных при попытке оплатить коммунальные услуги через интерфейсы Paymо.ru. Самые разные управляющие компании устанавливают эту систему на свои сайты для приёма платежей за ЖКХ. Для безопасности читатель порекомендовал отвязать пластиковую карту от платёжного средства. Номера карт могут оказаться скомпрометированы.

У платежного агрегатора Paymo дырочка-дырище.

Дислекймер: я, естественно, сначала написал об этом на почту саппорта в пэймо (на данный момент прошло 3 часа — реакции нет), написал пост в ФБ и затегировал их страницу — реакции нет.

Вкратце: вы можете видеть 12 из 16 цифр карты и попытаться оплатить покупку через paymo, зная лишь номер телефона другого человека. Если у вас него нет смс-подтверждений — платеж, судя по всему, пройдет. Я не доходил до этой стадии — не нажимал кнопку «Оплатить», но видел чужие сохраненные карты.

А теперь по шагам:

1) Отец попросил оплатить коммуналку за его квартиру. Начал платить, попал на платежный шлюз Пэймо. Автоподставился (подтянулся, видимо, по АПИ из кабинета УК) его телефон. И я вижу его привязанную карту и кнопку «Оплатить».

2) Думаю, ну ладно, может там супер-проверки, которые реально видят и проверяют, чтоя из его личного кабинет (в УК) на оплату перешел. Проверяю. Ввожу свой номер телефона — вижу привязанные карты свои, которыми я плачу за другую квартиру, в другом городе, в другую компанию, и кнопку «оплатить».

3) Становится интересно, ввожу номер нового соседа (он молодой и наверняка платит за коммуналку через инет), вуаля — подгружается его (ну, по крайне мере, не моя) карта и кнопка «оплатить».

Дальше — не пробовал. Но думаю, суть ясна — нет ниакой проверки. Просто вводишь номер телефона и подгружаются карты, привязанные к этому номеру. Ситуация усуглбляется тем, что я, например, свои карты специально не привязывал. Они автоматически (нет галочки отказаться) сохраняются при любой оплате. Ещё усугубляется тем, что Пэймо массово работает с ЖКХ и других вариантов оплачивать коммуналку у жителей конекретных домов нет, то есть тысячи людей вынуждены автосохранять свои карты в этом сервисе из говна и палок.

Спуся два часа молчания поддержки (уже после того, как отвязал свои и папины карты, кстати, СТРОГО РЕКОМЕНДУЮ сделать это тут, но есть нюанс, так просто отвязать карту не получится — надо регаться или восстанавливать пароль к их ЛК, это на контрасте с тем, что сохраняются они автоматом) решил проверить и записал видос-пруф:

https://youtu.be/pNLDOkR_GdE

Андрей Арсентьев, аналитик группы компаний InfoWatch объяснил редакции:

К сожалению, подобные инциденты утечки информации нередки в платёжных системах. Основные причины, по которым безопасность данных обеспечивается ненадлежащим образом — дефекты разработки и внутренние сбои. Например, в компании JP Morgan одно время клиенты при входе в свои аккаунты могли видеть данные других пользователей. Впрочем, причиной может служить и внедрение хакерами вредоносного скрипта. Но в случае с Paymo, скорее всего, произошел системный сбой.


Ответ paymо.ru в комментариях ниже.

Лучшие комментарии

  • Контекст комментария

    Альтер Эго

    Ответ Paymo:

    При проведении первого платежа незарегистрированным пользователем, транзакция проходит с авторизацией плательщика на стороне банка-эмитента с использованием технологии 3DSecure.

    При успешной оплате с использованием технологии 3DSecure, карта привязывается к номеру телефона автоматически (оферта, с которой необходимо ознакомиться перед проведением платежа), по согласию плательщика (чекбокс «Привязать карту») или по дополнительному вводу кода CVV\CVC на форме оплаты, в зависимости от конкретных требований и настроек ТСП, где происходит оплата.

    При последующих оплатах у плательщика есть возможность совершить операцию по привязанной карте, без использования технологии 3DSecure (non3DS), в данном случае авторизация плательщика происходит на стороне платежного шлюза PAYMO, где плательщику отправляется СМС с кодом по ранее привязанному телефону к карте.

    У подтянувшейся карты отображается 10 цифр из 16, а не 12, как пишет автор поста, остальные замаскированы. В формате 444444**1111. Это соответствует правилам международных платежных систем.

    Платежный сервис PAYMO на рынке с 2014 года, имеем сертификат соответствия PCI DSS 3.2 Level 1 (Payment Card Industry Data Security Standard). Аудит соответствия в компании осуществляется каждые полгода. Так же имеем собственные антифрод решения.

    Совершить платеж по чужой карте не представляется возможным, т.к. как мы уже сказали, авторизация пользователя происходит на стороне платежного шлюза PAYMO.

    Например, в системе Сбербанка, зная номер телефона другого человека, можно также увидеть его привязанную карту, в замаскированном виде.

    Утечек данных карт не было за всё время работы платежного шлюза PAYMO.

    Системных и технических сбоев не было, всё работает в штатном режиме.

    Главный приоритет компании PAYMO — это удобство, и безопасность использования нашего сервиса.

Добавить 5 комментариев

  • Ответить

    Плачу через них каждый месяц, карта не запомнена и не запоминается.
    Насколько я помню, давно у них была галка с вариантом сохранять/не сохранять платёжные данные, сейчас даже галки нет.

    Не изучал документацию, возможно, зависит от настроек платёжного виджета?

  • Ответить

    Сбербанк теперь не пускает теперь в личный кабинет на сайте без наличия принудительно привязанного номера телефона. А потом вот такое. И в чём тут моя безопасность тогда? Моих монеток?

  • Ответить
    Альтер Эго

    Ответ Paymo:

    При проведении первого платежа незарегистрированным пользователем, транзакция проходит с авторизацией плательщика на стороне банка-эмитента с использованием технологии 3DSecure.

    При успешной оплате с использованием технологии 3DSecure, карта привязывается к номеру телефона автоматически (оферта, с которой необходимо ознакомиться перед проведением платежа), по согласию плательщика (чекбокс «Привязать карту») или по дополнительному вводу кода CVV\CVC на форме оплаты, в зависимости от конкретных требований и настроек ТСП, где происходит оплата.

    При последующих оплатах у плательщика есть возможность совершить операцию по привязанной карте, без использования технологии 3DSecure (non3DS), в данном случае авторизация плательщика происходит на стороне платежного шлюза PAYMO, где плательщику отправляется СМС с кодом по ранее привязанному телефону к карте.

    У подтянувшейся карты отображается 10 цифр из 16, а не 12, как пишет автор поста, остальные замаскированы. В формате 444444**1111. Это соответствует правилам международных платежных систем.

    Платежный сервис PAYMO на рынке с 2014 года, имеем сертификат соответствия PCI DSS 3.2 Level 1 (Payment Card Industry Data Security Standard). Аудит соответствия в компании осуществляется каждые полгода. Так же имеем собственные антифрод решения.

    Совершить платеж по чужой карте не представляется возможным, т.к. как мы уже сказали, авторизация пользователя происходит на стороне платежного шлюза PAYMO.

    Например, в системе Сбербанка, зная номер телефона другого человека, можно также увидеть его привязанную карту, в замаскированном виде.

    Утечек данных карт не было за всё время работы платежного шлюза PAYMO.

    Системных и технических сбоев не было, всё работает в штатном режиме.

    Главный приоритет компании PAYMO — это удобство, и безопасность использования нашего сервиса.

  • Ответить
    Андрей Меньшиков ООО Центр платежей

    Наша компания ООО «Центр платежей», г. Ярославль, сотрудничает с сервисом «PAYMO» с начала 2018 г.

    До этого работал в компании «Стек», в которой с 2015 г. успешно интегрировали совместно с PAYMO десятки предприятий ЖКХ.

    Наше мнение по вопросу: платежный виджет защищён протоколом https (ssl/tls), безопасность платежа подтверждена наличием у компании сертификата pci dss. Это значит, что сервис также безопасен, как любой другой банковский платежный шлюз.

    Сам пользуюсь сервисом и оплачиваю услуги ЖКХ на сайте «ТГК-2». Данные моих карт никто не украл и деньги не списал.

  • Ответить

    > Наше мнение по вопросу: платежный виджет защищён протоколом https (ssl/tls), безопасность платежа подтверждена наличием у компании сертификата pci dss. Это значит, что сервис также безопасен

    Ваше мнение некомпетентно. Виджет защищен SSL — и что? здесь это вообще не при чем.
    Уж о том, как сертификаты подтверждают остуствие уязвимостей это вообще огонь, не ожидал такое здесь прочитать.

    Специально ведь регистировались, да?