Адрес для входа в РФ: exler.wiki
Негодяйский Booking.com
Утро оказалось урожайным на душераздирающие истории. Теперь Нияз разводит панику.
Все началось с моей поездки в Куала-Лумпур ( Малайзия ) 21го Июля 2018.
Как обычно, по приезду, я начал искать место где можно остановиться.
Для этого, я воспользовался небезызвестным сервисом Booking.com. Я довольно часто им пользуюсь, и обычно у меня не возникало никаких проблем.
Стандартная процедура, выбрал отель, заполнил даты пребывания, подтвердил бронирование и отправился туда.
Но как же Я был удивлен и возмущен, когда на респешене отеля, у администратора в руках, оказалась распечатанная бумажка с данными моей карты, включая :
Тип карты,
Имя и Фамилия на карте,
Срок действия карты и
CVV код!
Данные все совпадают и их я вводил только на сайте Booking.com!
Обратите внимание, под Reservation ID, мелким шрифтом написано: "You can view your guests credit card details 3 times" - " Вы можете просмотреть детали кредитной карты вашего гостя 3 раза ".
Вероятно Booking.com дает возможность только три раза просмотреть эти данные, но как видите - этого хватило!
Самое прикольное, что используя эти данные, администратор отеля списал деньги с карты для оплаты бронирования! Я даже не вводил пинкод!
Получается букинг сливает секретные данные карт всем кому ни попадя и с помощью этих данных можно проводить операции без спроса владельца карты!
Очень разочарован в Booking.com, карту был вынужден заблокировать.
У меня есть только один маленький вопрос Ниязу. А когда ты сам платишь картой на ресепшн, сотрудник отеля не видит твои имя-фамилию, срок действия и CV2 код? Еще как видит. А когда ты бронируешь отель через Booking, отель-то как у тебя деньги снимет? Ясный пень, Booking им передает данные для оплаты. И - да, отель может снять деньги без твоего подтверждения. И прокат машин, когда ты бронируешь через Интернет, может снять деньги без твоего подтверждения. И еще чертова куча сервисов может снять деньги без твоего подтверждения - именно так это и работает. И странно, что ты этого не знаешь. У меня в Штатах несколько раз просто делали ксерокопию двух сторон карточки, когда не могли снять деньги немедленно - и снимали потом. В Испании когда приходит работяга, я ему хочу заплатить карточкой, а у него нет с собой терминала, он берет карту, звонит в офис и диктует все данные карты - они потом снимают. Так что это в порядке вещей.
И что значит "Booking передает данные карты третьим лицам"? Ясный пень, передает, эти третьи лица оказали тебе услугу и должны получить за это деньги.
Upd: Don Simon говорит, что по умолчанию Booking данные карты передает отельеру без CV2, но отельер может запросить и данные CV2, который может потребоваться для определенных видов терминалов.
Если данные уплывут - не велика беда.
Поясняю:
Есть стандарт от консорциума платежных систем (Visa, MC, AE, JCB и т.д.) PCI DSS - Payment Card Industry Data Security Standard
Банки обязаны его соблюдать.
Ежегодно банки проходят аудит на соответствие. Непрошедшим - штраф. Неоднократно непрошедшим - вплоть до отключения от платежной системы.
Стандарт очень жесткий. Он писец какой жесткий. Внутри (!) банка строго ограничивается доступ к данным карт. Данные карт нельзя внутри банка хранить в открытом виде. Они должны шифроваться и маскироваться. На защиту данных карт внутри банка тратятся огромные средства.
А тут все в открытом виде. Это прекрасно. Осенью аудитору расскажу и спрошу - нафига это все и какой смысл дрючить банки?
А кассирше в ресторане карты в руки даете вы сами лично. И в букинге данные по карте вводите своими собственными руками.
У нас вот уже и не вспомню когда карту из рук выпускал. С момента перехода на Chip+Pin кассир максимум помогает правильно карту в терминал вставить. В ресторанах просто приносят терминал на стол. Про скан вообще странно слушать. Одно время да, были так называемые Slip`ы, когда карта прокатывалась для оформления платежа - собственно для этого и цифры выпуклые на ней. Но даже там прокатывалась только одна сторона, лицевая.
А сейчас, с повсеместным PayPass карту можно вообще из бумажника не вынимать.
Совсем распустился.
На то и страховка банкам. Простота оплаты оправдывает риск банкам. Мы тратим денег намного больше из-за простоты.
media.ccc.de
В том же отеле вай дай был тоже не закодирован. Снифили с моего лаптопа, пакеты ловились в прямом тексте, куски емайлов постояльцев из соседниx номеров.
Т.е., есс-сно, должно быть, но на деле бывают недосмотры/проколы.
На то и хакеры валнерабилити искать. Конференция:
www.ccc.de
в списке видео найдется, с демонстрациями. Делалось это покупкой такого же терминала на ебае, по-моему.
Год этот был или 2015 или 2016.
Из-за этого не всегда и на Амазоне можно заплатить, но как правило такие большие магазины вносят в список исключений. А отели конечно никто не вносит в исключения, потому мне 1 раз пришлось самому отправить в отель свой CV2, в тот момент почему-то поля этого в Букинге не было.
Сейчас вроде есть.
НО! Вся система пластиковых карт основана на доверии. И это работает. Да, регулярно бывают кражи, но банки так-же регулярно эти деньги возвращают (я пользуюсь картами лет 15, наверное, один раз у меня украли 200 баксов, вернули. Еще у приятели украли несколько десятков тысяч рублей - вернули). В любом случае безопаснее чем с наличкой, а уж насколько удобнее!
Так что истерика топик-стартера не к месту. Боишься - не пользуйся картами. На букинге есть отели, которые карты не требуют.
Комиссия за SMS берется у большинства российских банков. Исключения я по пальцам могу пересчитать - Билайн, Кукуруза ну и всякие особые тарифы.
Например, в ЮВА практически во всех отелях принимают и карты и нал, но при оплате картой часто есть комиссия со стороны их банка. Вследствии чего карты менее популярны.
На букинге при этом номер карты просят ввести, но без CVV/CV2 и средства не блокируют.
Как то мы в Греции жили, для получения визы нужна была предоплата 30% (требование консульства). А у хозяина даже банковского счета нет! Переводили почтовым переводом 😄
В частности у меня в качестве Billing`а стоит домашний адрес, а в качестве адреса доставки, почти всегда рабочий.
"Но самое задалбывающее -- это постоянные блокировки карточек на пустом месте в попытке защитить нас от воров. Я как-то привыкла, что, путешествуя, могу вообще не брать с собой наличку и обходиться одной кредитной картой. С Bank of America так не получается. Нужно иметь, как минимум, 2 карточки, т.к. любая из них может быть заблокирована без предварительного уведомления в любой момент. Уведомления приходят уже по факту блокировки, а процесс разблокирования карты может быть проблематичен в условиях отсутствия интернета. Однажды это случилось в аэропорту Нью-Йорка. Да, я не уведомила банк, что лечу в Нью-Йорк, но это же, чёрт возьми, та же страна! По несчастному стечению обстоятельств, именно в этот день в аэропорту были проблемы с вай-фаем и мобильной связью. Разблокировать карту я не смогла, и в результате осталась без обеда. Хорошо хоть багаж успела оплатить до блокировки. Ещё смешнее было, когда карту нам заблокировали за то, что в течение 3 часов мы попробовали расплатиться ей в 3 разных населённых пунктах в самом Техасе. С утра в родном городе купили воды на дорожку, потом поехали в сторону Далласа, заправившись в каком-то городишке по пути. В Уэйко, не доезжая полутора часов до Далласа, решили поужинать. Карту заблокировали при попытке провести её в ресторане" (с)
С Сша я стоял и тыкал картой в колонку АЗС, чего-то у меня не получалось. А оказывается наделал 15 холдов по 1 баксу.... Карту блокирнули сразу!
Но к чести Сбера - я позвонил им в Россию по Wifi + Skype, всё пояснил и сразу разблокировали.
Очень разумны именно такие блокировки.
А Авангард, кстати, лежал в запасе 😄
Но это как раз относится к предоплате. Когда отель списывает с вас средства до момента вселения. В Европе любят этим баловаться.
Я тоже для бронирования использую карту с почти нулевым балансом, так мне несколько раз приходило письмо от букинга с просьбой подтвердить данные карты, в тех случаях, когда отель не мог взять предоплату за ночь проживания за пару дней до заезда.
Забавно всё это читать, особенно если твоя дочь работает начальником отдела бронирования в крупном сетевом отеле 😄
Реально, я ни разу не помню случая, когда отельеру было бы интересна именно та карта, которую я ввел на букинге.
Вариант, когда при предоплате букинг передает карточные реквизиты, чтобы сотрудник отеля сам потом ввел их куда-то для оплаты - это какой-то бессмысленный сюр, противоречащий всем заповедям платежных систем.
Букинг не снимает деньги сам ни в каком случае, он всегда передаёт данные отели (кроме случаев, когда отель не требует карту для гарантии)
Если полная предоплата, то средства снимаются букингом (и пересылаются отелю), в этом случае платежные реквизиты должны оставаться в букинге (собственно, отелю они совершенно неинтересны).
Если же гость только бронирует, то реквизиты карты на букинге нужны всего лишь для подтверждения платежеспособности клиента. И в этом случае - отелю совершенно пофиг, какую карту ты ввел на букинге, оплатить ты можешь и этой картой, и другой, и просто кешем.
Разумеется, случаи бывают разные, но в принципе - сотруднику отеля совершенно не нужно видеть CVV карты с букинга.
В случае же оплаты на месте тоже не очень понятно зачем пересылать данные карты? Клиент приедет и оплатит, хоть налом, хоть чеками Американ-Экспресс.
А CVV я запомнил (ну и далеко-глубоко записал), а на карте соскреб. Немножко паранойи не повредит. 😄