В платёжной системе Paymо, которую используют многие управляющие компании и различные организации, предоставляющие гражданам коммунальные услуги, была обнаружена серьёзнейшая уязвимость безопасности.
Paymо хранит номера банковских карт, с которых осуществлялись платежи, и связывает их с номерами телефонов. Это сделано для удобства, однако на деле такое упрощения доступа к данным, которые необходимо надёжно защищать, может привести к краже платёжной информации.
В чём заключается уязвимость?
В процессе оплаты злоумышленник может указать чужой номер телефона, и если этот номер связан в Paymо с какой-либо картой, будет показан её номер (полностью или частично — зависит от того, сколько цифр в номере — 12 или 16). Далее он может провести платёж с чужой карты и, если на ней не предусмотрено подтверждения транзакции по SMS, деньги спишутся со счёта. Кроме того, зная номер карты, он может подобрать секретный код (который указан на обратной стороне) и совершать покупки в интернет-магазинах или вывести средства на свой счёт. К счастью, снять деньги наличными таким образом не получится, поскольку для этого, как правило, требуется физический доступ к карте и PIN-код.
Что же делать?
Прежде всего, выясните, платили ли вы через Paymо. Для этого зайдите на сайты, с которых вы совершали платежи за услуги ЖКХ, дойдите до этапа платежа и посмотрите, какой сервис обрабатывает транзакции. Если это не Paymо, вам нечего бояться, а если именно он, стоит защитить свои деньги. Пока сервис Paymо не устранил эту уязвимость, рекомендуется отвязать от него все карты, с которых вы платили. Это можно сделать тут — paymo.ru/v2/fl/cards. Имейте в виду, что просто так отвязать карту у вас не получится, потребуется регистрироваться в этом сервисе или восстанавливать пароль к личному кабинету.
Вот что рассказал человек, который обнаружил эту проблему:
Отец попросил оплатить коммуналку за его квартиру. Начал платить, попал на платежный шлюз Пэймо. Автоподставился (подтянулся, видимо, по АПИ из кабинета УК) его телефон. И я вижу его привязанную карту и кнопку «Оплатить».
Думаю, ну ладно, может там супер-проверки, которые реально видят и проверяют, что я из его личного кабинет (в УК) на оплату перешел. Проверяю. Ввожу свой номер телефона — вижу привязанные карты свои, которыми я плачу за другую квартиру, в другом городе, в другую компанию, и кнопку «оплатить».
Становится интересно, ввожу номер нового соседа (он молодой и наверняка платит за коммуналку через инет), вуаля — подгружается его (ну, по крайне мере, не моя) карта и кнопка «оплатить».
К сожалению, интернет-сервисы очень часто сталкиваются с проблемами безопасности, чем подставляют обычных людей, которые рискуют сохранностью своих средств. Конечно, можно обезопасить себя от этого, держать все деньги под подушкой и оплачивать услуги ЖКХ наличными на почте или в банке.
Но можно поступить иначе — по-прежнему платить через интернет, но не на сайтах обслуживающих организаций, а в банковском кабинете напрямую по реквизитам компаний, которые оказывают вам услуги. Это очень просто, доступно и даже не придётся платить огромные комиссии, которые взимают банки и почтовые отделения. О том, как это делать, читайте в одной из наших последующих статьях.
---
Понравилась статья — поставьте лайк! Если вы считаете её полезной — поделитесь с друзьями в соцсетях. Подписывайтесь на наш канал, чтобы не пропустить другие интересные публикации.
