Пользователь Хабрахабра Алексей Томилов заметил что платежный сервис RBK Money позволяет просматривать данные о транзакциях других пользователей.
Представители RBK Money называют эту публикацию «информационной атакой».
Томилов написал в посте на Хабрахабре, что ему удалось получить доступ к записям чужих транзакций, переключив один из параметров в адресной строке после совершения платежа.
По его словам, тогда можно было просмотреть ряд данных по каждому переводу: адрес электронной почты плательщика, сумму транзакции и ее получателя, обратную ссылку на магазин.
В случае некоторых компаний обратная ссылка предоставляет не менее важную информацию, например, адрес доставки или данные оплаченного билета.
После обращения Томилова в службу поддержки система начала заменять некоторые символы в адресах электронной почты звездочками, однако представители системы отказались признавать обнаруженную Томиловым лазейку брешью в безопасности.
Через некоторое время, пишет автор, адреса электронной почты снова стали отображаться полностью.
Маскировка адреса вернулась после повторного контакта.
Официальный аккаунт RBK Money появился в комментариях к посту, который отклонен все обвинения в нарушении конфиденциальности пользовательских данных и назвал всю историю «черным пиаром».
RBK Money официально соответствует стандарту безопасности PCI DSS (стандарт безопасности данных индустрии платежных карт), проходит ежегодный аудит европейскими аудиторами и ежеквартальное сканирование точек доступа к системе.Ээксперимент Редакции ЦП показал возможность получения некоторых данных о пользователях RBK Money, а именно суммы и назначения платежа, а также части адреса электронной почты.PCI DSS строго регламентирует и утверждает, что согласно всем стандартам безопасности в индустрии платежных карт не должны разглашаться следующие данные о плательщике: имя держателя карты, номер кредитной карты, CVC. Считается ли замаскированное электронное письмо идентифицирующим личность? Нет. Как и никакие другие пользовательские данные, по которым можно было бы его идентифицировать, не были скомпрометированы.
Поэтому, если говорить о самом продукте RBK Money, безопасности пользователя ничего не угрожает. Мы не можем нести ответственность за продавцов, которые на основании наших параметров обратного звонка самостоятельно реализуют настройки.
Мы настоятельно рекомендуем клиентам использовать функцию повторной авторизации пользователя при настройке.
Мы не вступаем в дискуссию с непрозрачными фактами и черной пиар-рекламой наших «коллег» по рынку.
Извини.
Представители RBK Money заявили ЦПУ, что действительно считают запись Томилова информационной атакой, но не смогли назвать заказчика, сославшись на недостаточность доказательств.
По их словам, атака длится уже год, и все это время недоброжелатели «распространяют слухи о партнерах, звонят и отправляют письма клиентам, устраивают драки в социальных сетях».
-
Фосслер, Карл
19 Oct, 24 -
Видео Посадки Spacex Falcon В 360°
19 Oct, 24 -
О Рейтингах И Вообще Пару Слов
19 Oct, 24 -
Текущая Афера С Kindle Unlimited
19 Oct, 24 -
Redmineup — Платформа Для Продуктовых Команд
19 Oct, 24
