Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
12

Как яндекс.деньги сливают данные

Недавно обнаружил такую интересную штуку: сервис яндекса по принятию платежей на сайте какого-либо магазина, автоматически привязывает карту с которой идет оплата к аккаунту яндекса открытому в любом другом окне.


Как могут уйти данные:

У Вас личный аккаунт, подходит коллега/друг/знакомый, который плохо разбирается «в этих ваших интернетах» и просит оформить заказ на что-то в интернет магазине. Вы как добрый человек решаете ему помочь, открываете новое окно браузера, идете в интернет-магазинсайт сервиса и т. д., оформляете ему заказ, он вводит для оплаты данные своей карты и вуаля, карта коллеги/друга/знакомого привязана к Вашему аккаунту, и при этом Вы и тем более ваш коллега/друг/знакомый даже этого не заметили.


Есть более расширенный вариант:

Есть сотрудник Василий компании ООО Исполнитель, которая заключила договор с компаний ООО Заказчик (на продвижение сайта, на разработку сайта, на маркетинговые услуги, администрированию почты для доменов и т. д.), и для выполнения в рамках этого договора ООО Заказчик передал Василю данные своего аккаунта на яндексе или попросил завести для него аккаунт т. к. сам он этого не умеет (добавьте еще кучу легитимных вариантов когда это происходит). И вот у Василия N таких аккаунтов, т. к. ООО Исполнитель работает с несколькими заказчиками, причем открыто N окон браузера, в каждом из которых разные аккаунты. И вот Василю потребовалось оплатить личную покупку личной кредитной картой, он открывает еще одно окно браузера, идет на сайт магазина и оплачивает там заказ, сайт принимает оплату посредством сервисов яндекса. Как мы помним, у Василия несколько окно/вкладок с разными авторизированными яндекс аккаунтами, теперь вопрос к какому из аккаунтов будет привязана карта? Ведь вполне возможно что привяжется к аккаунту ООО Заказчик.


В общем яндекс никак не проверят что аккаунт и введенная карта в форме оплаты принадлежат одному и тому же лицу. И почему яндекс решает за пользователя что ему нужно привязать карту (т. к. галочка привязать стоит по умолчанию активной)?  Почему-то у пользовательских соглашений галочка всегда отжата, пользователь сам решает соглашаться ему или нет. А вот тут яндекс решил сразу за пользователя что он согласен на привязку карты. И вуаля данные уходят к аккаунту который принадлежит пользователю вообще никак с картой не связанному.

[моё] Яндекс Деньги Утечка данных Текст
19
Все комментарии Автора