Неприятности после покупок в square1.com

[karavan 745]

С весны текущего года активно работаю со square1.

В сентябре решил попросить дилерство, в ответ: "ОК. Заполняй анкету"

В анкете меня смутила необходимость предоставления реквизитов пластиковой карты (номер, CVC, срок действия),

но решил довериться достаточно крупному производителю и одновременно дилеру парашютного снаряжения, т.е. реквизиты я предоставил.

Все мое общение шло с менеджером N.S.

Первый "звоночек" случился 23 ноября, на мобилу упала смс о невозможности покупки на сумму 367.01$ у продавца ABERCROMBIE & FITC.

Недолгое гугление намекнуло на производителя парфюмерии.

Т.к. на карте денег не было финт не прошел, но заставил задуматься, реквизиты этой карты на сторону уходили только в square1 (в анкете на дилерство).

Об этом успел забыть как о разовой неприятности, пока мне не поступили деньги на карту в объеме превышающем покупку парфюмерии.

26 ноября произошло списание 493$ в рублевом эквиваленте (карта рублевая) в пользу опять ABERCROMBIE & FITC.

Сразу в банк была подана претензия, и ее рассмотрение ожидалось в течении 30 банковских дней (сегодня деньги вернули).

Я решил помалкивать об инциденте до ответа по претензии в банк.

Пока ожидал ответ от банка, случайно узнал об еще одном случае списания средств с карты, реквизиты которой ранее были сообщены в square1.

На текущий момент по второму случаю мне известны только следующие факты:

1. Покупатель гражданин США.

2. Приобретался шлем KISS.

3. Заказ совершался через сайт square1.com

3. После покупки шлема с карты произошла несанкционированная оплата одного или двух авиабилетов.

Все даты и время по второму случаю уточняю.

К сожалению, нет прямого контакта с пострадавшим, только через третье лицо.

Кто в теме организации безопасных транзанкций с пластиковых карт может самостоятельно сделать эксперимент с покупкой чего-либо на сайте square1.com и обнаружить следующее:

В момент оформления заказа и передачи реквизитов карты сайт square1.com переключается в режим https с подписанным сертификатом доверенным центром.

Но, реквизиты тупо передаются в сам square1, а не как положено через модуль процессингового банка.

Т.е. автоматического списания не происходит.

Все списания в дальнейшем делает менеджер обрабатывающий заказ, соответственно реквизиты клиентских карт хранятся на ПК менеджера.

Планирую письмо в сторону square1 с требованием объяснить неловкую ситуацию.

Буду благодарен за предоставление контактов кого-нибудь из руководства square1. Необхомые адреса найдены.

Вполне возможно, что кто-то ворует информацию с ПК менеджера(ов) - способы есть.

[no namme 2]

Наверное меня тоже надо записать в пострадавшие. Покупал в сквеере 2 шлем. ТОгда был на территории штатов. CVS нигде кроме них не светил.

В ноябре и декабре попытки совершения транзакций. Благо карта уже перевыпущена и старая заблокирована.

OTKAZ LOUDMOUTH GOLF, US 120.23 USD, 20.12.14 16:10 OTKAZ V AUTORIZACII END

OTKAZ LOUDMOUTH GOLF, US 87.23 USD, 12.12.14 18:56 OTKAZ V AUTORIZACII END

OTKAZ LOUDMOUTH GOLF, US 113.73 USD, 06.12.14 20:39 OTKAZ V AUTORIZACII END

Банк Говорит, попытка транзакции на территории CША.

[back_to_future 66]

В момент оформления заказа и передачи реквизитов карты сайт square1.com переключается в режим https с подписанным сертификатом доверенным центром.

Но, реквизиты тупо передаются в сам square1, а не как положено через модуль процессингового банка.

Т.е. автоматического списания не происходит.

Все списания в дальнейшем делает менеджер обрабатывающий заказ, соответственно реквизиты клиентских карт хранятся на ПК менеджера.

Такое, когда данные карты вбиваются прямо на сайте продавца, может быть, если они PCI compliant т.е. их сервера прошли специальную сертификацию для хранения данных банковских карт клиентов. При таком подходе, если все сделано правильно, менеджер никогда не видит полных данных карты и хранятся они в отдельном зашифрованном поле в базе, так что даже из базы их нельзя вынуть. Если они нарушили PCI - у них будут огромные проблемы.

Попробовал вбить случайные данные кредитной карты у них на сайте. Прокатило. Никакой валидации явно нет. В качестве опции есть отправка данных карты факсом(!).Это может означать, что карты процессятся вручную и данные утекают на этом этапе. Вообщем не оставляйте номера кредиток на square1 и в других местах, где данные карт хранятся не у процессора, а у продавца. А еще лучше - имейте отдельную долларовую карту для таких покупок.

[karavan 745]

Такое, когда данные карты вбиваются прямо на сайте продавца, может быть, если они PCI compliant т.е. их сервера прошли специальную сертификацию для хранения данных банковских карт клиентов.

Это мне известно, но в этом случае должно быть автоматическое списание.

Правильно замечено:

Это может означать, что карты процессятся вручную и данные утекают на этом этапе.

Пострадавший во втором случае не имеет отношения к скайдайву (шлем приобретался для нашей общей знакомой парашютистки).

Отправил ему ссылку на эту тему и список вопросов для уточнения.

Самый важный вопрос к нему - необходимо выяснить имя или имена на кого было оформление авиабилетов.

Это сразу даст понимание степени вины square1 - безалаберное отношение к безопасности клиентской информации или все-же в мошенничестве участвует кто-то из сотрудников.

[back_to_future 66]

Это мне известно, но в этом случае должно быть автоматическое списание.

Не обязательно. Списание может быть после того, как манагер проверит заказ и нажмет approve.

[a.k. 1365]

А еще лучше - имейте отдельную долларовую карту для таких покупок.

еще лучше пользоваться для этих целей пейпалом, а если конкретный магазин с ппалкой не работает, то и хуй на него - нет людей магазинов незаменимых.

[Vlak 1618]

А в полицию пострадавший гражданин США, о попытке несанкционированного списания средств с карты, не заявлял? Думаю они бы быстрее выяснили, кто крысятничает.