Слив платёжных данных из центра Логинова (Москва)
В городе-герое Москве есть такой МКНЦ им. А.С.Логинова. Данный центр проводит онлайн-консультации (сиречь "телемедицина"). Услуга, естественно, платная. Где-то с месяц назад жена воспользовалась этой услугой, для чего при заказе консультации в отдельном специальнооборудованном окне ввела данные карты, подтвердила платёж кодом из смски (официальным мобильным приложением она не пользуется), после чего деньги ушли, а статус оплаты консультации изменился на "Оплачено". И всё это было непосредственно перед самой консультацией. Консультация состоялась - всё ок.
На днях она снова забронировала время для консультации, но к оплате не переходила. Теперь следите за руками за временем.
Сегодня в 7 утра ей приходит смс о том, что в 23.56 центр Логинова списал с её счёта 450 рублёв. Деньги не великие, но стали разбираться.
Позвонили в вечнозелёный банк, который нам ответил, что транзакция совершена в час ночи на основании введённого кода из смс-сообщения. При этом в этот момент мы конечно же мирно спали, и естественно никаких смс с кодами на телефон не приходило.
Чуете, да? 23.56 - час ночи - 7 утра. Без смс и регистрации.
Ну конечно же карту заблокировали. Зашли на сайт центра - статус консультации "Не оплачено". Написали на сайт этого центра и, о чудо, с ней связались. Оператор упорно убеждала её в том, что это такая новая политика центра - заморозка денег, и если по каким-то причинам консультация не состоится - деньги вернутся на счёт.
Однако, нюансы:
1. данные о карте вводились в специальном окне эквайринг-сервиса (тогда откуда эти данные могли у них взяться вместе с CVC?),
2. для первой оплаты требовался код авторизации - банк подтвердил использование кода для второй оплаты, но она не переходила к оплате, никуда ничего повтороно не вводила, и, главное, смс с кодом на телефон не приходило,
3. транзакция совершена в период времени, когда нормальные люди спят,
4. отчёт о списании пришёл через 7 часов после транзакции,
5. на сайте центра никаких сообщений об изменении порядка оплаты, равно как и соглашений о том, что пользователи сайта доверяют центру хранить и обрабатывать свои данные по картам - нет.
Из всего этого мы сделали вывод, что произошёл слив данных с перехватом смс-оповещений, а центр прикрывает задницу рассказывая небылицы.
P.S. Если мы неправы, катим бочку на истинно благонадёжный сервис, и вообще обиженки - убедите меня в этом.