Это моя личная проблема, не требующая, на мой взгляд, освещения. Но на Фейсбуке попросили написать пост на эту тему. И я думаю, что как предупреждение, это сойдет
( Read more... )
Сервис, работающий с деньгами, или надежен, или нет. Если сервис допускает возможность воровства денег клиента, значит сервис дырявый. Вины клиента тут нет никакой.
Представьте, что такой же случай произойдет в банке. Банк ответит. А, между тем, суть одна - сохранность денег клиента и ответственность за них.
Банк не ответит. Банк пошлёт за нарушение пункта договора, по которому клиент обязан не разглашать третьим лицам средства доступа к счёту. Равно как и ЯД тут никак ни при чём.
Операции были совершены с использование средств доступа к кошельку- логином и паролем. Или их сделал сам пользователь, или он их кому-то передал. Касаемо банков- такой пункт в ДКБО есть, в оферте ЯД, когда я там регился, подобное тоже было (регился хрен знает сколько времени назад, ещё до привязки к номеру, так что она давно изменилась).
Пользователю всю плешь проедают при входе, дабы пользователь таки переключился на использование более безопасного. Он не хочет. Кто ему доктор, что он его продолжает использовать? В банках такого нет, там жёстче, да. Зато я с удовольствием начитался (даже сейчас ещё попадаются) бесконечно продвинутых товарищей, на чём свет матерящих "этих билять дибилов, которые эту хрень придумали со своими одноразовыми паролями".
Какие-то оставались, какие-то нет. Если средства доступа ограничивались только логином и паролем (без систем строгой аутентификации)- тырили тока в путь. Собственно, тырят до сих пор и в системах ДБО с токенами- Carberp и SpyEye в помощь. Если клиент "дырявый"- никакая ЭЦП не спасёт.
Зависит от политики банка. Есть как минимум 1 банк в Топ-10 который откажет точно (за исключением редчайшего случая когда большие дядки в рукамиводстве решат что клиент важный). И отказывает. За остальные, как грица, зуб не дам, но вроде не горят желанием отдавать.
Ну даже в суды обращались опротестовать отказ банка. Итог- суд признавал правоту банка. Другое дело что таковых и немного было. В случае я ЯД куда обращаться? Можно в суд. Можно, в соответствии с Законом о национальной платёжной системы- в Банк России.
Я понял. Проблемы нет. Все, кто здесь пишет, что потерял деньги, потерял их не потому, что пользуется потенциально опасным решением, а потому, что сам виноват
Хм. Ну если так угодно... А что вы считаете безопасным решением, кстати? Одноразовые пароли перехватывают, редиректя клиента на фишинговый сайт. Если на машине Carberp какой-то-там щас уж не помню генерации или SpyEye- тупо коннектятся к компу жертвы и делая всё от его имени (а многие вообще токен из компа не вынимают). Тогда даже в логах апишник жертвы. Если на машине Carberp какой-то-там щас уж не помню генерации- при подписании одноразовым паролем или классической ЭЦП- заменают реквизиты платежа. Хотел перевести 3 рубля 17 копее Пупкину, а в банк пришла подписанная платёжка на перевод статыщмильярдов Иванову.
Да, банках есть всякие разные фродмониторинги, которые с хорошей вероятностью стопят подозрительные платежи, они существенно снижают мошенничества. Но всё же, кто виноват что у клиента пытались увести деньги? И какой вариант можете предложить вы? Ну, какой-нибудь отвечающий зравым реалиям жизни, выдаваемые ноуты-планшеты неизменяемой конфигурации не предлагать.
Мой вариант - не давать клиентам хранить деньги там, где воруют столько и в таких размерах, что компания за это даже не хочет отвечать. Но это идет вразрез с бизнес-логикой, так как, следуя ей, все деньги одинаковы, а клиенты - они же анонимы, сами виноваты
Если сервис допускает возможность воровства денег клиента, значит сервис дырявый.
Вины клиента тут нет никакой.
Представьте, что такой же случай произойдет в банке. Банк ответит. А, между тем, суть одна - сохранность денег клиента и ответственность за них.
Reply
Равно как и ЯД тут никак ни при чём.
Reply
Какие данные были разглашены?
Reply
Касаемо банков- такой пункт в ДКБО есть, в оферте ЯД, когда я там регился, подобное тоже было (регился хрен знает сколько времени назад, ещё до привязки к номеру, так что она давно изменилась).
Reply
В банках такого нет
Reply
В банках такого нет, там жёстче, да. Зато я с удовольствием начитался (даже сейчас ещё попадаются) бесконечно продвинутых товарищей, на чём свет матерящих "этих билять дибилов, которые эту хрень придумали со своими одноразовыми паролями".
Reply
Reply
Собственно, тырят до сих пор и в системах ДБО с токенами- Carberp и SpyEye в помощь. Если клиент "дырявый"- никакая ЭЦП не спасёт.
Reply
Тем более, что для ЯД, как я понял, это, вообще, в порядке вещей.
Reply
Есть как минимум 1 банк в Топ-10 который откажет точно (за исключением редчайшего случая когда большие дядки в рукамиводстве решат что клиент важный). И отказывает. За остальные, как грица, зуб не дам, но вроде не горят желанием отдавать.
Reply
Куда обращаться в случае с ЯД?
Reply
В случае я ЯД куда обращаться? Можно в суд. Можно, в соответствии с Законом о национальной платёжной системы- в Банк России.
Reply
Проблемы нет. Все, кто здесь пишет, что потерял деньги, потерял их не потому, что пользуется потенциально опасным решением, а потому, что сам виноват
Reply
А что вы считаете безопасным решением, кстати?
Одноразовые пароли перехватывают, редиректя клиента на фишинговый сайт.
Если на машине Carberp какой-то-там щас уж не помню генерации или SpyEye- тупо коннектятся к компу жертвы и делая всё от его имени (а многие вообще токен из компа не вынимают). Тогда даже в логах апишник жертвы.
Если на машине Carberp какой-то-там щас уж не помню генерации- при подписании одноразовым паролем или классической ЭЦП- заменают реквизиты платежа. Хотел перевести 3 рубля 17 копее Пупкину, а в банк пришла подписанная платёжка на перевод статыщмильярдов Иванову.
Да, банках есть всякие разные фродмониторинги, которые с хорошей вероятностью стопят подозрительные платежи, они существенно снижают мошенничества. Но всё же, кто виноват что у клиента пытались увести деньги?
И какой вариант можете предложить вы? Ну, какой-нибудь отвечающий зравым реалиям жизни, выдаваемые ноуты-планшеты неизменяемой конфигурации не предлагать.
Reply
Но это идет вразрез с бизнес-логикой, так как, следуя ей, все деньги одинаковы, а клиенты - они же анонимы, сами виноваты
Reply
Reply
Leave a comment