Безопасность или booking?
Добрый день, Пикабутяне, Пикабушники, Пикабубцы Друзья!
Я работаю в области информационной безопасности (ИБ), поэтому в повседневной жизни в нерабочее время замечаю множество нарушений ИБ у различных компаний. Расскажу Вам про один очень известный сервис, название которого сможете увидеть на снимках данного поста или в заголовке.
Цель данного поста состоит в том, чтобы предостеречь Вас от компрометирования своих банковских карт.
Начнем.
Заходим на сайт, выбираем себе номер с приемлемым бюджетом.
Выбираем понравившийся нам вариант и начинаем заполнять данные для бронирования.
Разумеется, свои ФИО я вводить не буду. Только электронный адрес, который я скрыл.
Далее самое интересное, собственно ради чего я и пишу этот пост.
Заполняем данные карты.
Номер карты я генерировал в первом попавшемся онлайн сервисе, чтобы не светить свою.
Замечу, что CVV код и срок действия карты указан от балды.
Далее подтверждаем введенные данные.
Обратите внимание на сноску "Не беспокойтесь - вам не придется платить до заезда"! А зачем я тогда ввожу данные карты? Вас еще не посещают сомнения по поводу данного мероприятия? Я конечно понимаю что они так перестраховываются и производят оплату только при заселении, но так не делается.
Итак, при вводе заведомо неверных данных, в том числе CVV кода бронирование завершено успешно. Сервис схавал то что ему подсунули. По факту произошла отправка данных, а не оплата.
Интерпретирую все вышесказанное.
То что вы ввели в форму на этом сайте, а это действительные данные карты, отправляется на сервер и сохраняется. Следовательно сотрудники данного сервиса, а также отеля, номер которого Вы забронировали, могут просмотреть данные вашей карты, в том числе CVV код.
А нас на каждом шагу предупреждают, не передавайте данные карты даже банковским сотрудникам!
Как это должно быть.
Когда мы совершаем онлайн покупки на нормальных площадках, нас переправляют на приложение оплаты, такие как 3D-Secure.
Данные приложения сертифицированы по PCI DSS(стандарт безопасности данных индустрии платёжных карт). Соответственно данные карты зашифрованы и не отправляются "продавцу".
Жду предложений, как можно наказать Booking. Пока есть идеи обратиться в ЦБ или Роскомнадзор.
Спасибо за внимание. Прошу прощения за сумбурность, писал в условиях ограниченного времени.
