monobank
Дыра в безопасности
×
Введите ваш E-mail
для оформления подписки:
Подписаться
Подписка оформлена успешно
На указанную вами электронную почту отправлено
письмо с подтверждением подписки.
Мы рады, что вы с нами!
Уважаемый Андрей!
В дополнение к оформенной подписке
вы можете также получать:
Подписка оформлена успешно
На указанную вами электронную почту отправлено
письмо с подтверждением подписки.
Мы рады, что вы с нами!
Вернуться на сайт
×
Получайте по E-mail самые главные
финансовые новости Украины и мира:
Подписка оформлена успешно
На указанную вами электронную почту отправлено
письмо с подтверждением подписки.
Мы рады, что вы с нами!
Вернуться на сайт
Комментарии - 56
Самое печальное то, что на данный момент на счетах монобанка заблокировали более 500 тыс грн средств и до сих пор никто не связался с вразумительным ответом в данной истории.
Я даже счет мобильного пополнить, выходил сейчас искать терминалы.
Всё-таки наличка никогда не станет «cashless».
- +
- 0
-
- Qwerty1999
- 25 сентября 2021, 15:56
- #
S1neD
«Первая карта попала из упаковки прямо в кошелёк, который никогда и нигде не терялся, никогда и нигде не мог остаться без присмотра, и никогда и нигде не могло быть и речи о том, что кто-то мог вообще краем глаза увидеть данные карты.»
Ну и куда исчезла эта «первая карта», что понадобилось выпускать
вторую карту с тем же номером?
Можете дать простой ответ на этот непростой вопрос — возможно тогда и проясниться ситуация с попыткой снятия денег со второй карты с тем же номером, что был и у первой карты…
«Первая карта попала из упаковки прямо в кошелёк, который никогда и нигде не терялся, никогда и нигде не мог остаться без присмотра, и никогда и нигде не могло быть и речи о том, что кто-то мог вообще краем глаза увидеть данные карты.»
Ну и куда исчезла эта «первая карта», что понадобилось выпускать
вторую карту с тем же номером?
Можете дать простой ответ на этот непростой вопрос — возможно тогда и проясниться ситуация с попыткой снятия денег со второй карты с тем же номером, что был и у первой карты…
Ответ очень прост, она и дальше лежит в кошельке, вот только она расклеилась от того, что край карты соприкасается и трется при открытии/закрытии. Поэтому и понадобился физический пластик, который нужен был исключительно для снятия средств в «неподходящий момент» при наличии рядом любого банкомата. Таких случаев, за 2 года, было примерно до 5-ти -10-ти, не больше. И тот факт, что всё указывает на хищение данных в момент производства — меня очень огорчает. Так как монобанк считаю основным и, по-моему мнению, самым удобным из всех имеющихся. Для меня хороший банк — это тот банк, про который я не вспоминаю во время обычной жизни. Как стоматолог, один раз сходил и забыл на многие года.
- +
- 0
-
- Qwerty1999
- 25 сентября 2021, 16:12
- #
S1neD
«Таких случаев, за 2 года, было примерно до 5-ти -10-ти, не больше.»
Вот вам и ответ…
В одном из этих случаев номер вашей карты
был считан при помощи скиммингового оборудования,
установленного на картридер банкомата.
Ну, а потом использован в качестве попытки перевода
или снятия денег с вновь выпущенной карты с тем же номером…
Был бы другой номер у новой карты — ничего бы такого и не было…
«Таких случаев, за 2 года, было примерно до 5-ти -10-ти, не больше.»
Вот вам и ответ…
В одном из этих случаев номер вашей карты
был считан при помощи скиммингового оборудования,
установленного на картридер банкомата.
Ну, а потом использован в качестве попытки перевода
или снятия денег с вновь выпущенной карты с тем же номером…
Был бы другой номер у новой карты — ничего бы такого и не было…
Вы очень заблуждаетесь в моих способностях иследовать банкоматы и терминалы на такое оборудование и снаружи, и по бокам, и сверху и сзади.
К слову, я бывший сотрудник всем известного зелёного банка, именно поэтому и обслуживаюсь я в монобанке. И про все подобного рода устройства я вкурсе и всегда тщательно проверяю, ковыряю и иследую устройства, в которые вставляю карту.
Вы когда-нибудь видели возле банкомата человека в шапочке из фольги? Если увидите, знайте — это буду я.
Поэтому все версии про считывание, копирование, утерю или ещё что-либо — это не обо мне. Я знаю и понимаю, что такое информационная и финансовая гигиена. Поверьте, я видел много разных случаев на работе и знаю, какие именно методы и схемы используют мошенники для получения данных. Шанс считывания, подбора или подобного характера — примерно 0,01% в моём случае. Остальное я оставляю за безопасностью.
Не раз приходилось читать внутренние сводки о нарушении банковской тайны, которые никогда не поддаются огласке, как кто-то, в зелёном банке получил тюремный срок, за продажу личных данных клиентов. Схемы, как обманывали пенсионеров, как работали со средним звеном банка и т. д.
- +
- 0
-
- Qwerty1999
- 25 сентября 2021, 16:39
- #
В таком случае, самым вероятным остаётся человеческий фактор в цепочке заказа изготовления карты с уже существующим номером.
Ответ очень прост, она и дальше лежит в кошельке, вот только она расклеилась от того, что край карты соприкасается и трется при открытии/закрытии.
(картинка с Чарли с шоколадной фабрики)
(картинка с Чарли с шоколадной фабрики)
Ваш комментарий не совсем понятен в данной ситуации.
Https://meme-arsenal.com/create/meme/5406333
Ты достаешь карту два-три раза в год — и она расслаивается.
При этом ты сам пишешь что ты крутой перец в плане обращения с картами и тебя не провести со скимингом.
Ты достаешь карту два-три раза в год — и она расслаивается.
При этом ты сам пишешь что ты крутой перец в плане обращения с картами и тебя не провести со скимингом.
Мне мотив комментариев понятен. Спасибо за Ваше мнение!
Зайдите в комментарии к Олегу Гороховскому в фейсбук под любым постом и почитайте в подробностях, как расклеиваются и обдираются карты, особенно IRON, выпуск которых стоит 2000 грн. И которые банкомат может не впустить или того хуже — не выпустить. Ну, а в целом, если Вам есть что-то сказать серьёзного и по существу, что поможет безопасности банка, например — то пожалуйста, буду рад почитать.
Зайдите в комментарии к Олегу Гороховскому в фейсбук под любым постом и почитайте в подробностях, как расклеиваются и обдираются карты, особенно IRON, выпуск которых стоит 2000 грн
У меня есть карта Монобанка, она лежит в кошельке в кармашке с несколькими другими картами которыми я пользуюсь наиболее часто. И с ней, как и с другими картами, не произошло ничего. А Айрон вообще металлическая, а не пластиковая — там нечему расслаиваться. Человек которые рассказывает про расслоившийся айрон — из той же палаты что и человек рассказывающий про вышки 5Ж распространяющие коронавирус.
И которые банкомат может не впустить или того хуже — не выпустить.
Айрон — да. Но это никак не связано с расслаиванием, а как раз с толщиной и жесткостью материала. Люди имеющие айрон обычно не суют её в банкоматы. Разве что они купили карту понтов ради, типа как те кто берёт айфон СЕ в кредит.
У меня есть карта Монобанка, она лежит в кошельке в кармашке с несколькими другими картами которыми я пользуюсь наиболее часто. И с ней, как и с другими картами, не произошло ничего. А Айрон вообще металлическая, а не пластиковая — там нечему расслаиваться. Человек которые рассказывает про расслоившийся айрон — из той же палаты что и человек рассказывающий про вышки 5Ж распространяющие коронавирус.
И которые банкомат может не впустить или того хуже — не выпустить.
Айрон — да. Но это никак не связано с расслаиванием, а как раз с толщиной и жесткостью материала. Люди имеющие айрон обычно не суют её в банкоматы. Разве что они купили карту понтов ради, типа как те кто берёт айфон СЕ в кредит.
===А Айрон вообще металлическая, а не пластиковая — там нечему расслаиваться.===
Если Вы думаете, что она из сплошного куска металла, то Вы ошибаетесь. Она как минимум из двух слоев, причем задняя поверхность похоже пластиковая. Ну и там же еще и антенна NFC внутри между этими слоями.
Если Вы думаете, что она из сплошного куска металла, то Вы ошибаетесь. Она как минимум из двух слоев, причем задняя поверхность похоже пластиковая. Ну и там же еще и антенна NFC внутри между этими слоями.
- +
- 0
-
- Qwerty1999
- 25 сентября 2021, 16:45
- #
Я бы не рекомендовал ежедневно таскать кредитку в кошельке.
Для оплаты картой Монобанка можно её токенизировать,
а физическую карту хранить дома и не париться.
Как вариант, можно носить кредитку
вместе с паспортом, а не в кошельке.
Для оплаты картой Монобанка можно её токенизировать,
а физическую карту хранить дома и не париться.
Как вариант, можно носить кредитку
вместе с паспортом, а не в кошельке.
По-своей сути, это не имеет никакого значения, где, кто и как носит свою карту. И также не имеет значения, для каких целей была перевыпущена карта. Даже, если «просто так захотелось» поменять карту на более новую, тоже не имеет смысла.
В данной истории имеет смысл только одно — безопасность банка и отсутствие ответа по существу и происхождению транзакции. Эти напрямую и лично должны заниматься антифрод специалисты и их руководители. Если такие кейсы спокойно гуляют по интернету.
Эти напрямую и лично должны заниматься антифрод специалисты и их руководители
Как работник банка ты должен понимать что никто не докладывает клиенту о каждом шаге расследования. А само расследование проводится в рабочий день в рабочие часы.
Как работник банка ты должен понимать что никто не докладывает клиенту о каждом шаге расследования. А само расследование проводится в рабочий день в рабочие часы.
1. У антифродов 2 или 3-е линий нет фиксированного графика работы, они работают посменно.
2. Служба безопасности должна связываться напрямую с клиентом, для определения всех обстоятельств, независимо от внутреннего расследования и состояния жалобы.
3. У онлайн банкинга, по вопросам связанных с мошенничеством, в принципе не существует понятия суббота ночью или в понедельник в обед.
У онлайн банкинга, по вопросам связанных с мошенничеством
Онлайн-банкинг не занимается мошеничеством, это способ предоставления услуг банка. Люди пишушие онлайнг-банкинг работают пять дней в неделю с 9 до 18 с перерывом на обед и не занимаются расследованием мошеничества. Даже в случае когда в онлайнг-банкинге обнаруживается какая-то ошибка она сначала попадает в беклог, потом отдаётся команде и только потом исправляется. И это опять же не про мошеничество.
Онлайн-банкинг не занимается мошеничеством, это способ предоставления услуг банка. Люди пишушие онлайнг-банкинг работают пять дней в неделю с 9 до 18 с перерывом на обед и не занимаются расследованием мошеничества. Даже в случае когда в онлайнг-банкинге обнаруживается какая-то ошибка она сначала попадает в беклог, потом отдаётся команде и только потом исправляется. И это опять же не про мошеничество.
Служба безопасности должна связываться напрямую с клиентом, для определения всех обстоятельств, независимо от внутреннего расследования и состояния жалобы
Ты Гороховский? Не узнаю тебя в гриме. Только чего ты сам на свой банк жалуешься?
Если ты не Гороховский то почему ты пишешь свои хотелки так будто это утверждённая инструкция Монобанка или вообще статья какого-то украинского закона?
Служба безопасности работает так как считает нужным руководство банка. Но дело даже не в этом, а в том что в данном случае если утечка произошла в банке — службе безопасности нет совершенно никакой необходимости опрашивать владельца карты о чём либо — всё что ей надо она уже знает из обращения клиента.
Ты Гороховский? Не узнаю тебя в гриме. Только чего ты сам на свой банк жалуешься?
Если ты не Гороховский то почему ты пишешь свои хотелки так будто это утверждённая инструкция Монобанка или вообще статья какого-то украинского закона?
Служба безопасности работает так как считает нужным руководство банка. Но дело даже не в этом, а в том что в данном случае если утечка произошла в банке — службе безопасности нет совершенно никакой необходимости опрашивать владельца карты о чём либо — всё что ей надо она уже знает из обращения клиента.
Одно единственное сообщение с таким текстом на весь миллиард сайтов в инете
https://x0.at/Fnp3.png
https://x0.at/Fnp3.png
Ровно такой же текст находится в комментариях сейчас у Олега Гороховского, опубликованного мной. Поэтому, полагаю, что это особенности поиска, а точнее «не поиска» в гугле комментариев в фейсбук. Поэтому данную дискуссию с Вами считаю законченной, мне всё понятно с мотивами и «диванным» мнением.
--Не раз приходилось читать внутренние сводки о нарушении банковской тайны, которые никогда не поддаются огласке, как кто-то, в зелёном банке получил тюремный срок, за продажу личных данных клиентов.---
прелестно, а то тут до сиx пор толпы отрицающие, что такое может быть в принципе
- +
- +15
-
- Qwerty1999
- 25 сентября 2021, 17:36
- #
Тюремные сроки гражданам страны дают не банки,
а суды и решения судов доступны для ознакомления…
А что там пишут в каких-то секретных сводках — пусть
остаётся на совести писателей этих секретных сводок…
а суды и решения судов доступны для ознакомления…
А что там пишут в каких-то секретных сводках — пусть
остаётся на совести писателей этих секретных сводок…
Ну тюремные сроки понятно пугалки или микропроцент за слитие данныx очень випперсон, но сам факт, который нам интересен тут подтвержден изнутри приват сливает всё и всем внутренние сводки не успевают имена менять
Сводки — это подразумевает собой, ознакомление сотрудников с номерами уголовных дел, решениями суда и всей публичной информации. Поэтому Вы правы на счет открытых и доступных к ознакомлению. Просто это те вещи, которые не попадают в СМИ по нескольким причинам: недостаточно резонанса, слишком мелкий цифры штрафов и сроков, и самый печальный — это стабильность происходящего в каждом регионе страны.
Ну и понятно, зачем это делается — для «пугалок».
Куда далеко ходить, если соучредители монобанка сами открыто говорят о том, что базы данных свободно лежат в даркнете за 2−3 тыс $, но им они не нужны. И да, сказано это было в контексте сложности привлечения новых клиентов, и что им это не особо поможет, даже имея эти базы данных. И это говорит бывшая команда топ менджемента известного всем банка.
В данной ситуации появились новые обстоятельства. Коротко об этих обстоятельствах:
Некоторая организация «credit7» инициировала с помощью терминала организации «iPay» запрос на списание суммы по кредитному договору. Договору, который оформлен Не на моё имя, Не на мои данные и с полным отсутствием какой-либо информации обо мне у организации «credit7». При этом, обратившись в данную организацию, я получил ответ о том, что в договоре верифицирована моя карта, соответственно они считают, что и держатель карты тоже не я, а человек оформивший договор. Соответственно, если верификация прошла успешно и была попытка списания средств, меня только спасло наличие лимита по оплатам в интернете, активированном на минимальную сумму по карте. Следовательно, для меня всё и дальше указывает на то, что данные карты были утеряны при производстве и передачи карты держателю. А следовательно, ещё один пункт в карму службы безопасности монобанка. Которая, к слову, до сих пор проводит своё разбирательство, но оказывается немножко медленнее, чем клиент своими силами.
Вы гений, зарегистрировался исключительно ради того что бы прокомментировать Ваш отзыв.
Я никогда не сомневался в наших людях, но не ожидал что можно быть настолько наивным.
Прочитав ваше сообщение и комментарии, я делаю вывод, что Вы, получили кредит в организации credit7 и понимая что выплата проходит автосписанием, решили перевыпустить карту, но решили сделать это не так как все, а выпустить карту с тем же номером, не подумав, что фактически поменяется только пластик в Ваших руках, а платежные данные останутся такие же, следствием чего стали попытки списания платежей в счёт погашения кредита в МФО, которы
Который Вы не готовы платить.
Спасибо, Вы сделали мой день.
Ну и последнее «Ну и самое главное, заблокированные карты и их номера для меня важны!»
Я не буду удивлен, если после всего что произошло, Вы перевыпустите карту с тем же номером, а потом вернетесь сюда, с очередным постом что Вас обманули и обокрали.
Спасибо, Вы сделали мой день.
Ну и последнее «Ну и самое главное, заблокированные карты и их номера для меня важны!»
Я не буду удивлен, если после всего что произошло, Вы перевыпустите карту с тем же номером, а потом вернетесь сюда, с очередным постом что Вас обманули и обокрали.
Я очень рад, что смог развлечь Вашу фантизию. Именно так всё и было.
Как ни странно, но с имеющимися данными такой вариант кажется логичным, но в него плохо вписывается запрос сохранения номера карты. Не представляю, зачем нужно было бы такое делать, если собираешься обмануть систему. И так же плохо вписывается поднятие шума при попытке списания. Если взял кредит на левого человека, но на свою карту, то рано или поздно это может вскрыться, а шумиха вокруг этого может только ускорить процесс.
===При этом, обратившись в данную организацию, я получил ответ о том, что в договоре верифицирована моя карта===
А договор совсем свежий, примерно как и новая карта, или старый? Если старый, то как в нем могли оказаться данные карты?
Больше данных по договору пока нет. И точная дата пока неизвестна.
Здесь очень интересно всё закручивается, если договор окажется «достаточно не новый».
На самом деле что-то тут не сходится. Чтобы карта оказалась верифицирована, должно было быть успешное списание или блокировка. Если с Вашей карты успешных блокировок или списаний в пользу этой credit7 не было, то карта не могла оказаться верифицированной. Ну или в этой credit7 что-то мутят. Если же этот лукап код пришел только в ходе верификации карты, то номер карты могли и просто подобрать и совпадение с перевыпуском случайно.
Ответ от поддержки организации по данным моментам, пазл пока что я тоже не могу сложить:
«Денисе, договір підписано, але очевидно не Вами.
Можливо Ваша картка була вказана іншою людиною, але якщо картка відкрита на інше ім'я, то клієнт не зміг би пройти верифікацію» — что в свою очередь очень логично с одной стороны.
Далее такой же ответ:
«Кожен клієнт при реєстрації вводить дані платіжної картки. Якщо вона не на його ім'я, відповідно він не зможе її верифікувати і отримати кошти на карту третьої особи.
З приводу цієї ситуації в мене інформації немає, але такі правила діють для всіх клієнтів тому і повинно бути саме так»
И ещё один:
«Денисе, думаю Ви розумієте, що при вводі картки, при її верифікації випадково вписати одну чи дві цифри неправильно неможливо, тому що верифікація буде неуспішною.
І при верифікації клієнт повністю вводить всі дані картки.
В будь-якому разі, з приводу ситуації Вам зателефонують»
Ну и кульминация:
«Як я писав, при верифікації картки, а дана картка була верифікована, клієнт вказує понвістю всі її дані.
Компанія не може заблокувати картку користувача, лише банк по його особистому запиту. Якщо Ви маєте на увазі, чи компанія блокує транзакції з нашого боку на якусь картку, чи то переказ коштів на неї, чи блокування сплати з неї, то такого по картах клієнтів немає». «Тому що швидше за все картка належить клієнту, на ім'я якого і був оформлений кредит.»
Самое главное, что после 3вопроса, это важный ответ: «.а дана картка була верифікована»
Правильно ли я понял, что поддержка указывает на то, что кредитные средства были переданы их клиенту на эту карту?
Вообще в любом случае какая-то муть. Если карта была ранее верифицирована (а исходя из того, что это была попытка списания, напрашивается вывод, что верификация была проведена ранее), то уже должны были быть операции по этой карте (как минимум сама верификация, а то и верификация и зачисление кредитных средств). Кроме того, если сейчас была попытка списания, то тогда этот процесс как-то странно налажен со стороны credit7. Верификация карты, как правило, проводится с целью получения возможности последующего списания средств без дополнительного подтверждения, а тут еще и запрос подтверждения приходит. С таким же успехом они могли и не верифицировать карту. И, кстати, непонятно, какую роль мог играть банк в этой ситуации.
Нет, не правильно. Я не являюсь клиентом ни одной из подобных организаций. Благо, того не требуется и я в этом не нуждаюсь. Верификация произошла, по словам этой «Кредит 7» на имя держателя кредитного договора. Поэтому они утверждают, что раз у него были данные карты, значит он и есть держателем карты, пока обратного небыло доказано.
По предварительным данным, данные виды мошенничества и заключаются в том, что при имеющихся на руках «слитые данные реальных клиентов банков» мошенники оформляют кредитные договора на других лиц с заполнением сначала своих карт, а потом меняют карту в сервисе для дальнейшего погашения долга, будь-то сразу на всю сумму или частично.
Относительно комментариев выше, про получение каких-либо средств — возможно я уже повторюсь, но я не являюсь, к счастью, клиентом ни одной из организаций и средств никаких не получал на карту, даже случайных. Со своего банковского опыта могу с уверенностью сказать, что схемы, как-раз таки когда приходят небольшие суммы на карту, а люди оставляют их себе, являются более часто более опасными, чем полное списание средств. Потому что в данном случае, кредитные портфели переходят из рук в руки и потом это дело доходит до частных исполнителей с уже многократно большими суммами денег. Именно поэтому, ввиду, пусть и не столь большой, но своей обязанности я бы также сразу обратился в свой банк для выяснения происхождений таких операций.
Новые подробности от поддержки платежного провайдера по терминалу «iPay»: неуспешная сумма попытки списания была по 10 грн, за 24.09 и 25.09. Причем время попыток не совпадает с временем, которое описано в первичном отзыве.
Следовательно, это не один сервис, а следовательно есть сервисы, о которых мне также пока не известно, как и неизвестно точное количество попыток, по которым я не получал уведомлений от банка.
Отвечаю на вопрос о перевыпуске карты, причина по которой была перевыпущена карта описана выше. Сохранение номера карты было очень важно, ввиду нескольких обстоятельств: 1. номер карты был достаточно легким к запоминанию из череды другого количества карт; 2. номер карты связан с многими платёжными сервисами личного использования (самых банальных и привычных вещей, будь-то uber, bolt или netflix, youtube); 3. номер карты был очень хорошо и давно проиндексирован в google merchant center и различных сервисах гугл (не путать с верификацией, это всего лишь номер карты, без каких-либо других данных, которые категорически запрещено где-либо показывать). 3-ий пункт был наиболее важен в данных обстоятельствах, поэтому и было важно иметь тот же номер с возможностью снимать Иногда средства.
Вывод из этого следует на данный момент таков, что первичное мое обращение ещё больше призывает провести расследование сотрудниками монобанка на предмет утечки информации в момент производства и передачи банковских карт.
Следовательно, это не один сервис, а следовательно есть сервисы, о которых мне также пока не известно, как и неизвестно точное количество попыток, по которым я не получал уведомлений от банка.
Отвечаю на вопрос о перевыпуске карты, причина по которой была перевыпущена карта описана выше. Сохранение номера карты было очень важно, ввиду нескольких обстоятельств: 1. номер карты был достаточно легким к запоминанию из череды другого количества карт; 2. номер карты связан с многими платёжными сервисами личного использования (самых банальных и привычных вещей, будь-то uber, bolt или netflix, youtube); 3. номер карты был очень хорошо и давно проиндексирован в google merchant center и различных сервисах гугл (не путать с верификацией, это всего лишь номер карты, без каких-либо других данных, которые категорически запрещено где-либо показывать). 3-ий пункт был наиболее важен в данных обстоятельствах, поэтому и было важно иметь тот же номер с возможностью снимать Иногда средства.
Вывод из этого следует на данный момент таков, что первичное мое обращение ещё больше призывает провести расследование сотрудниками монобанка на предмет утечки информации в момент производства и передачи банковских карт.
===2. номер карты связан с многими платёжными сервисами личного использования (самых банальных и привычных вещей, будь-то uber, bolt или netflix, youtube)===
ИМХО, этот пункт не имеет отношения к номеру карты, поскольку привязка идет не по номеру.
===3. номер карты был очень хорошо и давно проиндексирован в google merchant center и различных сервисах гугл (не путать с верификацией, это всего лишь номер карты, без каких-либо других данных, которые категорически запрещено где-либо показывать).===
П. 3 не совсем понял, что Вы имеете в виду под «проиндексирован». Индексация в общем случае означает, что данные будут доступны для поиска в Интернете кому угодно. Но Вы же явно не это имеете в виду, если беспокоитесь об утечке данных. Может имеется в виду автозаполнение?
===провести расследование сотрудниками монобанка на предмет утечки информации в момент производства и передачи банковских карт.===
Пока так и не понял, что указывает на утечку данных.
ИМХО, этот пункт не имеет отношения к номеру карты, поскольку привязка идет не по номеру.
===3. номер карты был очень хорошо и давно проиндексирован в google merchant center и различных сервисах гугл (не путать с верификацией, это всего лишь номер карты, без каких-либо других данных, которые категорически запрещено где-либо показывать).===
П. 3 не совсем понял, что Вы имеете в виду под «проиндексирован». Индексация в общем случае означает, что данные будут доступны для поиска в Интернете кому угодно. Но Вы же явно не это имеете в виду, если беспокоитесь об утечке данных. Может имеется в виду автозаполнение?
===провести расследование сотрудниками монобанка на предмет утечки информации в момент производства и передачи банковских карт.===
Пока так и не понял, что указывает на утечку данных.
==П. 3 не совсем понял, что Вы имеете в виду под «проиндексирован». Индексация в общем случае означает, что данные будут доступны для поиска в Интернете кому угодно. Но Вы же явно не это имеете в виду, если беспокоитесь об утечке данных. Может имеется в виду автозаполнение?==
— значит Вы не совсем понимаете, что такое гугл мерчант и зачем индексация на сайте. Во второй части сообщения Вы написали ответ — «доступны для поиска в Интернете». Но я замечу, что номер карты не является чем-то секретным и тем, что нельзя публиковать или разглашать.
На утечку данных указывает то, что произошла верификация моей карты по утверждению организации «Кредит 7», а также приход LOOKUP_COD от монобанк на проведение, пока неизвестной мне операции. И это я еще не знаю, сколько было попыток, в которых я не получил уведомление. А самое главное, что произошло это именно после обращения о перезапуске карты с тем же номером, в банк. Следовательно, на сегодняшний день нет других поводов думать, почему попытки мошенничества проявились так активно, именно в момент получения мной карты. Как я писал в первичном отзыве — данные кто-то достаёт руками и печатается новая карта для выдачи. Следовательно, в этой цепочке видимо есть изъяны. Потому как при случайной генерации и производстве нет смысла собирать и передавать информацию, так как она еще не нашла владельца и не несёт ценности.
Ну, а активизация мошеннических операций сразу после выдачи, скорее всего связана с расчётом на то, что клиент еще не успел установить динамический cvv код.
===На утечку данных указывает то, что произошла верификация моей карты по утверждению организации «Кредит 7», а также приход LOOKUP_COD от монобанк на проведение, пока неизвестной мне операции.===
Я не понимаю, как она произошла, если Вы до этого никаких операций не видели. Верификация сопровождается операцией блокировки или списания, которую Вы бы заметили раньше. А если та МФО еще и указывает, что они переводили кредитные средства на ту карту, то вообще непонятно, как это могло пройти незамеченным.
Что касается LOOKUP_COD, то он сам по себе не является достаточно надежным признаком утечки, поскольку приходит до проверки срока действия карты и CVV. То есть, для того, чтобы Вам пришел LOOKUP_COD достаточно правильно ввести номер карты, который, как Вы заметили, «не является чем-то секретным и тем, что нельзя публиковать или разглашать». А уже после подтверждения выполняется проверка даты и CVV.
Сумма 10 грн, кстати, какая-то странная, как для МФО. Как для суммы кредита явно не годится, разве что какие-то льготные проценты. Для мошенников сумма и того менее характерная. Больше похоже на какое-то пополнение телефона и т. п.
Я не понимаю, как она произошла, если Вы до этого никаких операций не видели. Верификация сопровождается операцией блокировки или списания, которую Вы бы заметили раньше. А если та МФО еще и указывает, что они переводили кредитные средства на ту карту, то вообще непонятно, как это могло пройти незамеченным.
Что касается LOOKUP_COD, то он сам по себе не является достаточно надежным признаком утечки, поскольку приходит до проверки срока действия карты и CVV. То есть, для того, чтобы Вам пришел LOOKUP_COD достаточно правильно ввести номер карты, который, как Вы заметили, «не является чем-то секретным и тем, что нельзя публиковать или разглашать». А уже после подтверждения выполняется проверка даты и CVV.
Сумма 10 грн, кстати, какая-то странная, как для МФО. Как для суммы кредита явно не годится, разве что какие-то льготные проценты. Для мошенников сумма и того менее характерная. Больше похоже на какое-то пополнение телефона и т. п.
===значит Вы не совсем понимаете, что такое гугл мерчант и зачем индексация на сайте. ===
Что такое индексация сайта и для чего она нужна я понимаю. Я не понимаю, что значит индексация номера карты в данном контексте, если это не предусматривает доступность этого номера для поиска. В моем представлении, то ли Вы используете неправильный термин, то ли всё-таки номер карты указан на сайте и доступен для индексации поисковыми системами Google. Даже специально полез в Merchant Center, чтобы глянуть, может там индексация имеет какой-то другой смысл, но не увидел никакого другого смысла.
=всё-таки номер карты указан на сайте и доступен для индексации поисковыми системами Google=
Именно с этими целями. Гугл любит такие вещи в продвижении, особенно полный номер карты с идентификации в ней бин-номера платёжной системы, что, принципе, происходит автоматически и записывается в «группах на продвижение». Следовательно, при создании сложной иерархии в группах, разорвать связь, сменой номера карты, по цепочкам — является достаточно сложным к восстановлению именно дальнейшей индексации и вывода таких платформ в топ выдачи. Поэтому и важный элемент сохранения номера карты был описан в третьем пункте, но без существенных подробностей.
===Именно с этими целями. ===
Ну так тогда по сути любой откопавший этот номер карты мог инициировать этот LOOKUP.
Монобанк ответил, что это было инициировано с помощью сервиса master pass, а это в свою очередь предполагает ввод данных по карте в полном объёме
Есть различные сервисы, где ненужно вводить данные CVV. И торговые точки берут на себя риск списывать деньги без идентификации CVV (например одной из таких точек, до какого-то момента являлся Amazon, но это уже на сегодня частичная история), но ввод поля даты выпуска карты является обязательным, особенно в master pass.
===ввод поля даты выпуска карты является обязательным, особенно в master pass.===
Вводить-то срок действия (Вы же его имели в виду под «датой выпуска») нужно, но, как я уже писал, для того, чтобы инициировать отправку лукапа, вводить правильный срок и CVV не нужно. Можно ввести произвольные значения. Проверка даты и CVV идет после подтверждения 3D, соответственно, получение лукапа еще не говорит о том, что человек, который вводил данные, знал полную информацию о карте. Пришлите мне только номер Вашей карты и я пришлю Вам лукап с того же ipay.ua или откуда Вам там нужно :)
Возможно, вместе с запросом на 3DS банк сразу получает срок действия и CVV, тогда можно было бы попробовать узнать у банка, были ли они правильно введены. Но мне казалось, что запрос с полными данными карты приходит только в случае успешного подтверждения 3DS, и тогда у банка данных о правильности ввода срока и CVV не будет. Нужно читать документацию МПС по обработке транзакций с 3DS, но, тем не менее, можно и с банком связаться, может там что-то скажут на этот счет.
Вводить-то срок действия (Вы же его имели в виду под «датой выпуска») нужно, но, как я уже писал, для того, чтобы инициировать отправку лукапа, вводить правильный срок и CVV не нужно. Можно ввести произвольные значения. Проверка даты и CVV идет после подтверждения 3D, соответственно, получение лукапа еще не говорит о том, что человек, который вводил данные, знал полную информацию о карте. Пришлите мне только номер Вашей карты и я пришлю Вам лукап с того же ipay.ua или откуда Вам там нужно :)
Возможно, вместе с запросом на 3DS банк сразу получает срок действия и CVV, тогда можно было бы попробовать узнать у банка, были ли они правильно введены. Но мне казалось, что запрос с полными данными карты приходит только в случае успешного подтверждения 3DS, и тогда у банка данных о правильности ввода срока и CVV не будет. Нужно читать документацию МПС по обработке транзакций с 3DS, но, тем не менее, можно и с банком связаться, может там что-то скажут на этот счет.
Выяснилась новая информация с помощью нелёгких запросов в службу безопасности некоторых сервисов. Теперь это становится делом принципа.
Карта, которая на теперешний момент заблокирована и перевыпущена была обнаружена среди известных, в определённых кругах, сервисах по продаже персональных данных в т. ч. с полной информацией кредитных карт. Дата внесения данных, их публикация и появление в подобного рода сервисах совпадает с датами производства и перевыпуска карты, с тем же номером. Что в свою очередь косвенно подтверждает многие, очевидные догадки.
Собраны все доказательства и в скором времени готовятся быть переданы в контролирующие органы и сформированный кейс отправится в НБУ для дополнительных выяснений обстоятельств и проверки безопасности сбора и хранения персональных данных.
На момент написания данного отзыва, служба поддержки или кто-либо из представителей монобанка до сих пор не связался для предоставления какой-либо информации по созданному запросу от 24.09.2021, 19:23. Были запросы о статусе заявки, на что получен ответ — ожидайте, находится в работе. Каждый день от 24.09 операторы озвучивают: «С Вами свяжутся в течении 24 часов». Не сообщая о том, что им требуется больше времени с мотивированным объяснением.
Спустя практически одну неделю времени и очень многочисленных попыток получить хоть-сколько вразумительные ответы о монобанка относительно неуспешных транзакций, был предоставлен резюмирующий ответ от поддержки:
«Здравствуйте, Денис. Меня зовут *Имя (не будем привлекать конкретных людей и их имена), служба заботы monobank
Ранее вы к нам обращались по вопросу предоставления вам некорректной консультации нашим сотрудником. Прежде всего благодарю вас, что помогаете нам развиваться и улучшать наш сервис и помогаете обнаружить наши недочеты. Ваше мнение очень важно для нас! Мы проверили информацию, и к сожалению нашим оператором была допущена ошибка в предоставлении вам консультации, с сотрудником будет проведена работа и применены управленческие решения. Но информация которую вам предоставили есть верной, действительно нет возмоности сформирвоать подтверждение по операции, которая была неуспешной. Мы зафиксировали заявка для предоставления официального ответа, срок до 30 дней. В любой ситуации мы всегда рядом. Обращайтесь в любое время, если возникнут вопросы. Хорошего дня!»
За неделю многочисленного общения для себя сделал вывод — команда монобанк готова давать свои клиентам сервис, за исключением одного большого НО: это сервис исключительно шаблонный. Если что-то выходит «вправо-влево» достучаться практически нереально. Возможно, какие-то супер-Вип кейсы и дают преимущества, но точно не всем и везде.
На момент написания, официальных ответов так и нет.
Форма в НБУ заполнена!
===нет возмоности сформирвоать подтверждение по операции, которая была неуспешной===
А что спрашивали-то? То, что по неуспешной операции доступны не все те данные, которые доступны для успешной, вполне ожидаемо. Причем в этом случае отлуп был на этапе 3DS, и данных, возможно, еще меньше.
А что спрашивали-то? То, что по неуспешной операции доступны не все те данные, которые доступны для успешной, вполне ожидаемо. Причем в этом случае отлуп был на этапе 3DS, и данных, возможно, еще меньше.
Главный мой запрос остается неизменным, откуда попытки списаний.
Но в данном контексте важно то, что монобанк постоянно говорил об одном и том же — «невозможно определить точку», а в конечном итоге выдал мне информацию о банке и номере терминала. Опять таки, дальше тоже можно получить информацию, но опять началась стадия, нет данных и взять негде. Но очень интересно, что когда начинаешь писать в НБУ, то у них сразу находится вдруг информация. Хотя до этого — это было «невозможно».
Чтобы оставить комментарий, нужно
войти или
зарегистрироваться
Курс валют в monobank
| Валюта | Покупка | Продажа |
| USD | 41.96 | 42.3693 |
| EUR | 49.14 | 49.7389 |
| Все курсы банка | ||
Здравствуйте, уважаемый Олег Гороховский. Расскажу Вам историю о том, как возможно пропадают данные Ваших клиентов на этапе производства карты (пока что самая логичная версия). 17.09.2021 я обратился в «службу заботы монобанк» для перевыпуска карты с тем же номером (для меня это было очень важно), на что я долго получал отказы, пока не нашел комментарий о том, что: «все кто здесь напишет, получит карту с тем же номером». Через потраченный день мне удалось уговорить монобанк выпустить мне карту с тем же номером, за что я очень благодарен и готовил пост от себя об этой благодарности! Но дальше случилось, то что сейчас не могут решить Ваши специалисты и служба безопасности монобанка. Получив карту 22.09 я было обрадовался, что все хорошо и цель достигнута, но вскользь меня посетила мысль о том, что: «хмм. странно всё-таки, что информация хранится и её достаёт человек «руками». Но не придал этому сильного значения в тот день, так как был рад полученной карте с тем же номером. Ну, а далее кульминация — вчера, 24.09 в 19.22 мне приходит от монобанка смс с LOOKUP_CODE о подтверждении операции. Я в течении двух-трёх часов никаких операций подобного рода не совершал, меня это очень насторожило и я сразу же позвонил в поддержку для уточнения происхождения этой транзакции, на что сразу же услышал успокаивающий ответ оператора: «не видим попытки списания, возможно кто-то ошибочно ввёл номер при авторизации (ошибся цифрой) Вашего телефона и Вам пришел код подтверждения, не волнуйтесь, все хорошо, Ваши средства в безопасности». Ну я и успокоился, ненадолго. Написав контрольным «выстрелом» в чат поддержки я уже получил совсем другой ответ. — «по Вашей карте была попытка списания средств (далее вопрос или это был я, ответ — нет). Мы блокируем Ваши карты». На что я тут же возразил — у меня стоят все «галочки безопасности, которые только можно себе представить, от динамического CVV до запрета снятия наличных и оплаты в интернете».(тут риторический вопрос — и даже таким образом я не должен ощущать себя в безопасности и сохранности моих средств?). Далее история, с моего первого звонка в 19.23 затянулась аж до 22.45 с выяснением — кто, почему (тут очевидно все, мошенничество), откуда и зачем пытался списать средства?! Больше 3(!) Часов выяснений и общений со службой поддержки. (И да, кстати, один из операторов, поставил меня на удержание и так и не перезвонил, пример 3 раза, на 10 минут, 10 минут и на 30 минут, в это время мне отвечали его коллеги также в чате). Вчера все выяснения были закончены, подана жалоба на внутреннее расследование, где и при каких обстоятельствах могли утечь мои данные, и самый главный вопрос (спойлер — ответа так еще и не последовало) — кому принадлежит терминал, который давал запрос на валидацию по смс? Служба поддержки монобанк дала ожидаемый ответ, что: «закон, NDA, банковская тайна и все такое». Тут понятно, других ответов первично и не могло быть и я думаю, что и не будет до момента появления в деле прокуратуры (спойлер, с понедельника, если вопрос никаким образом не сдвинется с точки и служба безопасности не даст вразумительного ответа, который меня успокоит).
На момент написания этого комментария, обратной связи нет, мои карты заблокированы (возвращаюсь в начало — сохранение номера карты для меня просто архиважно (!)), ответа о проведении расследования тоже нет.
Заключительная часть такова: перевыпуск карты с тем же номером — означает автоматическую блокировку всех карт введу дыры в безопасности банка. Благо, при соблюдении информационной и финансовой гигиены, на данный момент получилось избежать Существенных (!) финансовых потерь. Но история эта, чувствую, только начинается. Ведь прочитав недавний пост «о преподавателе с КПИ» буквально, как и всегда задумался: «ну там наверное были включены не все «галочки безопасности» и произошла такая неприятная история, я то, вроде, все предусмотрел. Точно не со мной».
Пока не случается, казалось бы, банального смс с LOOKUP_COD из-за которого тебе не дают ответов и блокируют сразу все карты. Оно то и понятно, протокол действия по безопасности и правила такие. НО самый важный вопрос — кто, откуда получил информацию? Первая карта попала из упаковки прямо в кошелёк, который никогда и нигде не терялся, никогда и нигде не мог остаться без присмотра, и никогда и нигде не могло быть и речи о том, что кто-то мог вообще краем глаза увидеть данные карты. Ну, а вторая карта попала ко мне «из рук» в упаковку и туда же, в кошелёк. Что за торговая точка? Я очень надеюсь услышать обратную связь от руководства и влияния на ход разбирательств внутри (надеюсь наружу это не дойдёт, очень надеюсь и сильно не хочу сейчас этого, поэтому и пишу пока только здесь, чтобы меня услышали).
Ну и самое главное, заблокированные карты и их номера для меня важны!