Через израильский сервис уводились номера российских банковских карт

Артур Малосиев avatar | 13 1
FavoriteLoading В закладки
Через израильский сервис уводились номера российских банковских карт

Разработчик Дмитрий Ковалев опубликовал в Фейсбуке любопытную историю. В iOS-приложении (!!!) одного из заказчиков обнаружен код для угона банковских карт. Программа записывала видео всего, что происходило на экране платежной формы, и высылала ролики на удаленный сервер.

У нас оказалась гора видеозаписей на которых видно как люди вводят свои данные. Если бы я не был добрым, я бы был богаче.

Как узнать о встроенной статистике AppSee в любимом приложении?

Обыкновенному пользователю – никак. Сервис довольно популярен среди разработчиков, потому что первым предложил сбор данных о пользователе через запись происходящего на экране. Изначально стояла благая идея помощи разрабам по увеличению конверсии в софте, где предполагались денежные транзакции: онлайн-магазины, провайдеры, биржевые клиенты. Так, например, в одном Форекс-клиенте конверсию удалось поднять на 30% после анализа, куда тапали и что просматривали пользователи.

После привлечения AppSee осенью 2014 двух миллионов долларов в качестве инвестиций о необычной израильской статистике узнали многие и подписались на платные тарифы. По словам основателя Цахи Боусиба, база AppSee насчитывает несколько миллиардов видеозаписей экранов. Такую возможность слежки не могли упустить любители поживиться за счет других. Вот как это происходит.

Почему Apple молчит?

С точки зрения Apple нарушений нет. Если вы стукнули соседа по голове макбуком, виновата ли Apple? Если вы отослали вору через iMessage пароль, должна ли Apple отвечать за ваши действия? Думаю, нет.

Согласно правилам Apple:

  1. для виртуальных покупок и услуг в приложениях задействуется ТОЛЬКО in-App purchase;
  2. для покупки реальных товаров с помощью банковскиз карт – сторонние сервисы / API (Paypal, Qiwi и прочие).

Разработчик не раскрывает имя клиента и тематику приложения, но можно предположить, что через софт оплачивались некие реальные товары, поэтому Apple без вопросов пропустила софт со сторонним шлюзом в App Store.

Издатель приложения виноват?

Он сам не знал о том, что программист-фрилансер подсунул свинью. Часто заказчик не способен проконтролировать код и вынужден доверять исполнителю. Но незнание не освобождает от вины.

Владелец приложения виноват, что начал работать нечестным фрилансером без договора и прочего. Таким славятся индийские конторы, которые предлагают цены на разработку в несколько раз меньше западных компаний. Издатель, скорее всего, обратился в такую.

В крупных компаниях с продукт-менеджером и профессиональными программистами встраивание кода маловероятно, но и цены выше. Поэтому многих манит вывеска «дешево и сердито, made in India», но потом на вылавливание косяков и устранение багов тратится драгоценное время. И репутация.

Что теперь делать?

Пострадавшим сочувствую, а остальным советую избегать ввода банковских карт в каких бы то ни было приложениях. У каждого магазина есть сайт, у каждой биржи есть домен, вот там и вводите реквизиты. Но как только приложение предлагает поделиться номером кредитки, мол, это быстро и удобно, решайте сами:

  1. Удалить приложение;
  2. Оставить приложение, но оплату товара произвести через сайт. Например, через клиенты Amazon, eBay, Литреса я только ищу товар, а оплачиваю на сайте.

Других вариантов нет. А если есть, расскажите в комментариях.

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
undefined
iPhones.ru
С точки зрения App Store все легально, не придерешься. Как избежать таки угона денег?
Прокомментировать

🙈 Комментарии 13

  1. FiLunder_7 avatar
    FiLunder_710 февраля 2017
    3

    Ну там все равно подтверждение с кодом для оплаты приходит. Так что в принципе ничего сильно страшного. Без вашего телефона ничего не украсть.

    Артур Малосиев avatar
    Артур Малосиев10 февраля 2017
    1

    @FiLunder_7, несведущий человек действует смелей по жизни: знакомиться с женщинами, принимает решения, вбивает номера кредиток. Однако можно вспомнить и другую цитату Кафки: Все, что возможно, происходит.

    Вы меня удивили, не скрою.

    FiLunder_7 avatar
    FiLunder_710 февраля 2017
    1

    @Артур Малосиев, У меня просто уводили данные, но ничего сделать не смогли, банк отклонил транзакцию и заблокировал карту.

    FiLunder_7 avatar
    FiLunder_710 февраля 2017
    0

    @Артур Малосиев, А, я не уловил что тут cvc2/cvv2 тоже утекали. Тогда все хуже конечно.

    AntiDot avatar
    AntiDot11 февраля 2017
    0

    @Артур Малосиев, действует – знакомится, мягкий знак у вас лишний.

    HeKpoMaHcep avatar
    HeKpoMaHcep10 февраля 2017
    2

    @FiLunder_7, я тебя удивлю: не везде так. Некоторые системы используют другие шлюзы, которые для банка выглядят НЕ интернетом. Попробуй Амазон. Там просто вводишь данные Карты и всё. Проверял на двух разных банках. Никакой двухэтапной проверки на Амазоне не срабатывает.

    FiLunder_7 avatar
    FiLunder_710 февраля 2017
    0

    @HeKpoMaHcep, Вроде как в банке можно поставить запрет на операции без 3-D secure.

    Silmaril avatar
    Silmaril10 февраля 2017
    0

    @FiLunder_7, это если есть 3-D secure

    inojj avatar
    inojj10 февраля 2017
    0

    @HeKpoMaHcep, все вот эти коды из смсок были сделаны не для покупателя, а для продавца. Фрод уж очень мучал продавцов. Крупные магазы, по типу амазона, алиэкспресса отключают со своей стороны такую штуку. Видимо могут себе позволить.

  2. HeKpoMaHcep avatar
    HeKpoMaHcep10 февраля 2017
    0

    ИМХО аналогичных способов много. Думаю решений два:
    1)проверять раз в Х времени все транзакции(это тупо т.к. Многие POSтерминалы имеют непонятную расшифровку)
    2)Соломоново решение о двух картах. Современный банкинг позволяет гонять деньги между двух счетов бесплатно и почти в любое время. Кредитку, которую светишь в интернете просто прикрепляешь ко второму счёту, куда деньги переводишь с основного по необходимости а на основном счету у тебя простая дебет карта для расчетов ежедневно.

  3. Aleksandr10rus avatar
    Aleksandr10rus10 февраля 2017
    0

    В приложении YOTA необходимо вводить банковскую карту, что теперь ?

    vozz avatar
    vozz11 февраля 2017
    0

    @Aleksandr10rus,
    Создайте инет-карту

  4. ComPas-V avatar
    ComPas-V11 февраля 2017
    0

    Прекрасный заголовок…. из серии “…сидит Гоголь на берёзе…”.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь