Адрес для входа в РФ: exler.wiki
Негодяйский Booking.com
Утро оказалось урожайным на душераздирающие истории. Теперь Нияз разводит панику.
Все началось с моей поездки в Куала-Лумпур ( Малайзия ) 21го Июля 2018.
Как обычно, по приезду, я начал искать место где можно остановиться.
Для этого, я воспользовался небезызвестным сервисом Booking.com. Я довольно часто им пользуюсь, и обычно у меня не возникало никаких проблем.
Стандартная процедура, выбрал отель, заполнил даты пребывания, подтвердил бронирование и отправился туда.
Но как же Я был удивлен и возмущен, когда на респешене отеля, у администратора в руках, оказалась распечатанная бумажка с данными моей карты, включая :
Тип карты,
Имя и Фамилия на карте,
Срок действия карты и
CVV код!
Данные все совпадают и их я вводил только на сайте Booking.com!
Обратите внимание, под Reservation ID, мелким шрифтом написано: "You can view your guests credit card details 3 times" - " Вы можете просмотреть детали кредитной карты вашего гостя 3 раза ".
Вероятно Booking.com дает возможность только три раза просмотреть эти данные, но как видите - этого хватило!
Самое прикольное, что используя эти данные, администратор отеля списал деньги с карты для оплаты бронирования! Я даже не вводил пинкод!
Получается букинг сливает секретные данные карт всем кому ни попадя и с помощью этих данных можно проводить операции без спроса владельца карты!
Очень разочарован в Booking.com, карту был вынужден заблокировать.
У меня есть только один маленький вопрос Ниязу. А когда ты сам платишь картой на ресепшн, сотрудник отеля не видит твои имя-фамилию, срок действия и CV2 код? Еще как видит. А когда ты бронируешь отель через Booking, отель-то как у тебя деньги снимет? Ясный пень, Booking им передает данные для оплаты. И - да, отель может снять деньги без твоего подтверждения. И прокат машин, когда ты бронируешь через Интернет, может снять деньги без твоего подтверждения. И еще чертова куча сервисов может снять деньги без твоего подтверждения - именно так это и работает. И странно, что ты этого не знаешь. У меня в Штатах несколько раз просто делали ксерокопию двух сторон карточки, когда не могли снять деньги немедленно - и снимали потом. В Испании когда приходит работяга, я ему хочу заплатить карточкой, а у него нет с собой терминала, он берет карту, звонит в офис и диктует все данные карты - они потом снимают. Так что это в порядке вещей.
И что значит "Booking передает данные карты третьим лицам"? Ясный пень, передает, эти третьи лица оказали тебе услугу и должны получить за это деньги.
Upd: Don Simon говорит, что по умолчанию Booking данные карты передает отельеру без CV2, но отельер может запросить и данные CV2, который может потребоваться для определенных видов терминалов.
Если данные уплывут - не велика беда.
Поясняю:
Есть стандарт от консорциума платежных систем (Visa, MC, AE, JCB и т.д.) PCI DSS - Payment Card Industry Data Security Standard
Банки обязаны его соблюдать.
Ежегодно банки проходят аудит на соответствие. Непрошедшим - штраф. Неоднократно непрошедшим - вплоть до отключения от платежной системы.
Стандарт очень жесткий. Он писец какой жесткий. Внутри (!) банка строго ограничивается доступ к данным карт. Данные карт нельзя внутри банка хранить в открытом виде. Они должны шифроваться и маскироваться. На защиту данных карт внутри банка тратятся огромные средства.
А тут все в открытом виде. Это прекрасно. Осенью аудитору расскажу и спрошу - нафига это все и какой смысл дрючить банки?
У нас вот уже и не вспомню когда карту из рук выпускал. С момента перехода на Chip+Pin кассир максимум помогает правильно карту в терминал вставить. В ресторанах просто приносят терминал на стол. Про скан вообще странно слушать. Одно время да, были так называемые Slip`ы, когда карта прокатывалась для оформления платежа - собственно для этого и цифры выпуклые на ней. Но даже там прокатывалась только одна сторона, лицевая.
А сейчас, с повсеместным PayPass карту можно вообще из бумажника не вынимать.
А кассирше в ресторане карты в руки даете вы сами лично. И в букинге данные по карте вводите своими собственными руками.
Совсем распустился.
На то и страховка банкам. Простота оплаты оправдывает риск банкам. Мы тратим денег намного больше из-за простоты.
Т.е., есс-сно, должно быть, но на деле бывают недосмотры/проколы.
На то и хакеры валнерабилити искать. Конференция:
www.ccc.de
в списке видео найдется, с демонстрациями. Делалось это покупкой такого же терминала на ебае, по-моему.
Год этот был или 2015 или 2016.
media.ccc.de
В том же отеле вай дай был тоже не закодирован. Снифили с моего лаптопа, пакеты ловились в прямом тексте, куски емайлов постояльцев из соседниx номеров.
Из-за этого не всегда и на Амазоне можно заплатить, но как правило такие большие магазины вносят в список исключений. А отели конечно никто не вносит в исключения, потому мне 1 раз пришлось самому отправить в отель свой CV2, в тот момент почему-то поля этого в Букинге не было.
Сейчас вроде есть.
НО! Вся система пластиковых карт основана на доверии. И это работает. Да, регулярно бывают кражи, но банки так-же регулярно эти деньги возвращают (я пользуюсь картами лет 15, наверное, один раз у меня украли 200 баксов, вернули. Еще у приятели украли несколько десятков тысяч рублей - вернули). В любом случае безопаснее чем с наличкой, а уж насколько удобнее!
Так что истерика топик-стартера не к месту. Боишься - не пользуйся картами. На букинге есть отели, которые карты не требуют.
Как то мы в Греции жили, для получения визы нужна была предоплата 30% (требование консульства). А у хозяина даже банковского счета нет! Переводили почтовым переводом 😄
Например, в ЮВА практически во всех отелях принимают и карты и нал, но при оплате картой часто есть комиссия со стороны их банка. Вследствии чего карты менее популярны.
На букинге при этом номер карты просят ввести, но без CVV/CV2 и средства не блокируют.
Комиссия за SMS берется у большинства российских банков. Исключения я по пальцам могу пересчитать - Билайн, Кукуруза ну и всякие особые тарифы.
В частности у меня в качестве Billing`а стоит домашний адрес, а в качестве адреса доставки, почти всегда рабочий.
"Но самое задалбывающее -- это постоянные блокировки карточек на пустом месте в попытке защитить нас от воров. Я как-то привыкла, что, путешествуя, могу вообще не брать с собой наличку и обходиться одной кредитной картой. С Bank of America так не получается. Нужно иметь, как минимум, 2 карточки, т.к. любая из них может быть заблокирована без предварительного уведомления в любой момент. Уведомления приходят уже по факту блокировки, а процесс разблокирования карты может быть проблематичен в условиях отсутствия интернета. Однажды это случилось в аэропорту Нью-Йорка. Да, я не уведомила банк, что лечу в Нью-Йорк, но это же, чёрт возьми, та же страна! По несчастному стечению обстоятельств, именно в этот день в аэропорту были проблемы с вай-фаем и мобильной связью. Разблокировать карту я не смогла, и в результате осталась без обеда. Хорошо хоть багаж успела оплатить до блокировки. Ещё смешнее было, когда карту нам заблокировали за то, что в течение 3 часов мы попробовали расплатиться ей в 3 разных населённых пунктах в самом Техасе. С утра в родном городе купили воды на дорожку, потом поехали в сторону Далласа, заправившись в каком-то городишке по пути. В Уэйко, не доезжая полутора часов до Далласа, решили поужинать. Карту заблокировали при попытке провести её в ресторане" (с)
А Авангард, кстати, лежал в запасе 😄
С Сша я стоял и тыкал картой в колонку АЗС, чего-то у меня не получалось. А оказывается наделал 15 холдов по 1 баксу.... Карту блокирнули сразу!
Но к чести Сбера - я позвонил им в Россию по Wifi + Skype, всё пояснил и сразу разблокировали.
Очень разумны именно такие блокировки.
В случае же оплаты на месте тоже не очень понятно зачем пересылать данные карты? Клиент приедет и оплатит, хоть налом, хоть чеками Американ-Экспресс.
Если полная предоплата, то средства снимаются букингом (и пересылаются отелю), в этом случае платежные реквизиты должны оставаться в букинге (собственно, отелю они совершенно неинтересны).
Если же гость только бронирует, то реквизиты карты на букинге нужны всего лишь для подтверждения платежеспособности клиента. И в этом случае - отелю совершенно пофиг, какую карту ты ввел на букинге, оплатить ты можешь и этой картой, и другой, и просто кешем.
Разумеется, случаи бывают разные, но в принципе - сотруднику отеля совершенно не нужно видеть CVV карты с букинга.
Букинг не снимает деньги сам ни в каком случае, он всегда передаёт данные отели (кроме случаев, когда отель не требует карту для гарантии)
Вариант, когда при предоплате букинг передает карточные реквизиты, чтобы сотрудник отеля сам потом ввел их куда-то для оплаты - это какой-то бессмысленный сюр, противоречащий всем заповедям платежных систем.
Реально, я ни разу не помню случая, когда отельеру было бы интересна именно та карта, которую я ввел на букинге.
Забавно всё это читать, особенно если твоя дочь работает начальником отдела бронирования в крупном сетевом отеле 😄
Я тоже для бронирования использую карту с почти нулевым балансом, так мне несколько раз приходило письмо от букинга с просьбой подтвердить данные карты, в тех случаях, когда отель не мог взять предоплату за ночь проживания за пару дней до заезда.
Но это как раз относится к предоплате. Когда отель списывает с вас средства до момента вселения. В Европе любят этим баловаться.
А CVV я запомнил (ну и далеко-глубоко записал), а на карте соскреб. Немножко паранойи не повредит. 😄