Открыть список
Как стать автором
Обновить

Комментарии 522

Даже если там нет CVV кода и каждая операция подтверждается СМСкой, то с помощью этой базы можно таких дел наворотись. Если с мест не столь отдаленных с гораздо меньшим количеством данных уговаривают людей перевести деньги злоумышленникам, то имея данные карты и прочую инфу таких разводов будет в разы больше.

Ещё можно лично встретиться и уговорить так

Если там есть данные об остатках на счетах, то к особо состоятельным клиентам могут действительно заглянуть в квартиру. Возможно, они не все деньги в банке хранят.

Странно, что заминусовали. Такая утечка -это кладезь для злоумышленников. Можно составить список потенциальных жертв.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Отдельный вопрос в том, что при наличии желания и мотивации злоумышленники могут из толпы айтишников с зарплатами в 300кк в наносекунду выбирать людей с сомнительными операциями (начиная от относительно табуированных случаев оплаты услуг психиатров, наркологов и дерматологов, заканчивая гораздо более спорными покупками в гей-барах, гей-сайтах, борделях (сам удивился, когда узнал, что есть бордели, принимающие карты, плюс прямые переводы проституткам), сервисах «для взрослых» и других вещах, о которых большая часть людей не хотела бы рассказывать всем). Довольно много людей готовы сами принести деньги, чтобы об их «грехах» никто не узнал (особенно, если это может повлиять на работу/семейную жизнь). А тут такой «подарок» для анализа и эксплуатации.
Стоп. История транзакций тоже утекла?
Если я правильно понимаю эту строчку из новости
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях.
то операции — это история транзакций (хотя не особо удивлюсь, если под операциями подразумевались блокировки/разблокировки/выдача карты, но это было бы немного странно).

"Здравствуйте, вы переводили 1000 рублей Ивану один месяц назад?" — когда это окажется верным, часть клиентов охотно согласится сообщить все, что потребуется

Нет, война бы началась. Только балансы.
более спорными покупками

Я как-то натыкался на фотку объявления в секс-шопе — "в истории транзакций мы — книжный магазин" :)
Что же касается борделей… ну, я знаю человека, который таковой посетил (у нас легально). И таки да, в истории транзакций там что-то невинное совсем, мы спецом потом проверили, любопытно же.

Это вполне ожидаемо, вряд ли бордель будет идти в истории операций как "*BLOWJOB ANNA'S CLUB, BEST DEEPTHROAT MOSCOW*", более того, на такие операции я бы не обращал внимание, скорее всего, «жертва» мошенников в ответ на предложение отправить денег, чтобы не узнали коллеги, скажет, что они сходили вместе с коллегами и получили корпоративную скидку. Будь я злоумышленником, я бы специально искал по «нормальным» названиям транзакций, даже бы подумал о том, чтобы сходить самому или попросить «коллег» в клуб, бордель или заказать что-то, чтобы найти эти названия и по ним искать.
А я вот слышал историю как один прораб обычной фирмы купил себе крузак в кредит, живя при этом на съемной квартире с женой и детьми, на вопросы от друзуй «а на… я?» он сказал, чтобы быть представительным на объекте. Так что машина премиум-класса — вовсе не показатель
Внедорожник на стройке не самая плохая идея так-то.
Ну да, крузак мог быть восьмидесятым. Для стройки отличный говнолаз!
Так кредитные ж карты, там обычно сальдо не больше лимита. А лимит больше у тех, кто активнее пользуется кредитными средствами (по слухам — и чаще вылетает за грейс-период).

Хотя, конечно, кто-то может их как дебетовые использовать, зачисляя туда свои средства и не пользуясь заемными. Но это менее удобно, чем дебетовки — сложнее отслеживать, сколько осталось своих (надо вычитать кредитный лимит), не снимешь наличку без комиссии и т.п, так что такое использование должно быть не очень распространенным.

Ну и еще возможен вариант, что дебетовки тоже посчитали, как разновидность кредиток.
не снимешь наличку без комиссии и т.п, так что такое использование должно быть не очень распространенным.

свои деньги с кредитки без комиссии снимать можно (во всяком случае ниразу не видел обратного)

а вообще в РФ это распространено (использование кредиток с нулевым лимитом как дебетовок), чтобы народ не грузить различиями типов карт когда за границу люди уезжают и попадают в тупик когда нельзя расплатиться например на заправке дебетовой картой тупо потому что там только кредитки работают… или в гостиницах не получается забронировать номер по этой причине.
Этож у нас придумали в свое время фокус, чтобы в интернете платить картами класса электрон — показывая её в систему как классик, а по факту выпуская неэмбоссированный электрон
свои деньги с кредитки без комиссии снимать можно

Деньги банка тоже можно (в Альфе, например).

когда за границу люди уезжают и попадают в тупик когда нельзя расплатиться например на заправке дебетовой картой тупо потому что там только кредитки работают

Так можно же спокойно расплатиться российской «дебетовкой».
При этом, что интересно, на старых кредитных продуктах у Альфы, где не было беспроцентного снятия налички с кредитки, снятие своих собственных средств с кредитной карты (т.е. если при погашении положил больше, чем задолженность) всё равно происходило с комиссией.
Так можно же спокойно расплатиться российской «дебетовкой».

потому что она зачастую кредитка с точки зрения МПС, не дебетовка.
Я же говорю, у нас специально так делают чтобы проблем поменьше от клиентов прилетало которые не понимают различия между карт… например мало кто скажет вменяемо чем электрон от классика отличается (мне тут оператор в сбере выдал что электроном за границей нельзя платить… ага, конечно)
Деньги банка тоже можно (в Альфе, например).

с кредитки? да ладно? вы не путаете дебетовку на которую перевели «кредит наличными» с именно «кредитной» картой?

Ну, уровень финансовой грамотности у народа низкий, тут соглашусь.


И я ничего не путаю.


действительно так, и кстати там в условиях есть ловушка
снятие без комиссии применимо для карт кроме unembossed, а учитывая что 'карту доставим на следующий день' — то судя по всему именно такую и доставят, а там 7%
а учитывая что 'карту доставим на следующий день' — то судя по всему именно такую и доставят, а там 7%

Это с чего вы такое взяли? Альфа обычные карты за день делает.

Альфа, Одинцово. Года полтора назад… Для родителей друзья приехали, сдали документы, в понедельник, получили уверение что все нормально, к концу недели приезжайте за картой. В пятницу друзья позвонили с вопросом — что? Ответ — готово, приезжайте. Через два часа беготни девушек по внутренним кабинетам ответ — не можем выдать… ??????? А в понедельник не могли сказать? А три часа назад не могли сказать, дабы к вам не ехать? Извините, однако… Альфа, такая альфа…

Делать далеко идущие выводы по 1 случаю неудачного опыта. Комментаторы такие комментаторы...

Естественно по одному… Больше с таким сервисом связываться нет охоты… И вот эта позиция — «подумаешь, ну раз подставили, тоже мне проблемы» — не совсем правильная, на мой взгляд…

У меня нет такой позиции. Я клиент банка почти 15 лет и ни разу ни с чем подобным не сталкивался. А вы просто вляпались в проблему локального офиса и сделали вывод обо всем банке.


Плохо, что в вашем офисе это случилось, но выводы вы неправильные сделали.

Была история у меня с Альфой. На карте имя не верно написали. Я, когда пришел карту получать, это дело просек. Девушка сказала — не вопрос, сейчас перевыпустим. Перевыпуск пластика занял минут 15 примерно. С правильным именем на нем. Так что для альфы это давно не проблема.

Погодите, я правильно вас понял — вам дали пластик с неверным именем, вы указали им на ошибку и вам через 15 минут вынесли карту с именем верным? Я просто не в курсе, как это работает, но всегда думал, что у них какой-то центр печати карт есть, откуда готовые карты расползаются по банкам.

Да. Именно так и было. Печатают карты, как я понял, прямо в офисе банка. Возможно не во всех, но в крупных точно.
но всегда думал, что у них какой-то центр печати карт есть, откуда готовые карты расползаются по банкам.

Именно так и есть. Вероятно, Eagle_NN повезло обслуживаться в отделении, в здании которого как раз банк и разместил оборудование для персонализации, только и всего. Обычно таких центров даже у крупных банков несколько штук на всю страну. А мелкие вообще своих не имеют, заказывают персонализацию «на стороне». Ну или как вариант (не знаю насчет Альфы), карты они инициализируют в таких центрах, рассылают на отделения, а там уже на термопринтере впечатывают ФИО (фамилия же была неэмбоссированная, верно?) и привязывают к счету.
Карта вполне себе эмбоссированная.
Вообще, судя по площади отделения там не то чтобы много места.
Думаю соответствующие аппараты уже дошли до размеров влезающих в обычную небольшую комнату.
P.S. Поискал информацию в Google. Эмбоссеры по размерам как обычный принтер, и ценники от 70 до 700 тыс. Не вижу причин не держать такое оборудование в крупных отделениях банков. Логистика доставки карт из другого отделения может встать дороже.
проблема не в физических размерах, а в уровне защиты помещения и особенностей организации каналов связи с эмбоссерной, которая не должна иметь прямых подключений к интернету
p.s. видно придумали какойто обходной путь
потому что она зачастую кредитка с точки зрения МПС, не дебетовка.

Но какая для МПС разница, кредитка она, или дебетовка с нулевым кредитным лимитом? Авторизацию карты же не МПС производит, а банк-эмитент. Это ведь он решает, разрешать проводить операцию или нет, а не условная заправка. Единственное, на что посмотрит МПС — это на сервискод карты. Если там, например, указано, что карта domestic, тогда действительно пошлёт лесом. Ну и просто могут быть ограничения, например, по BIN'у карты.
Но какая для МПС разница, кредитка она, или дебетовка с нулевым кредитным лимитом?

Большая, это ведь МПС придумало кучу типов карт Visa Electron/Classic/Debit(в РФ таких нет) которые какраз различаются такими штуками

Это ведь он решает, разрешать проводить операцию или нет, а не условная заправка.

некотрые типы карт (кредитки) разрешают холд, превышающий сумму на счете, а некоторые (настоящие дебетовки) нет.
например вы положили на карту 10000р и сразу расплатились в магазине, по факту у вас технический овердрафт. потому что деньги могут попасть на счет в течении 30 дней после прохождения операции в банкомате хотя вы видите положительный остаток на карте, тоесть за вас платит банк, фактически выдавая вам кредит… сбер кстати часто раньше грешил штрафами по 10-15 рублей за перелимит на картах где никогда не бывало минусов (и возвращал их если пожаловаться)
тоесть получается так
вы делаете так:
1) пополнение 10к
2) оплата 10к
а получается
1) пополнение 10к (на счете по факту 0)
2) оплачиваете 10к в магазине (на счете по факту -10к)
3) через 2-3 дня приходят деньги из банкомата (на счете 0)
в промежутке 1-3 у вас технический овердрафт, который позволяют только кредитки
p.s. так или иначе эта проблема решается с дебетовками (сбер например вручную отключает штрафы) но проблем с ними больше

карты сильно сложнее чем кажется на первый взгляд, просто в РФ их слишком мало видов исторически эксплуатировалось
Не совсем так. В момент, когда мы расплачиваемся в магазине, магазин делает авторизацию, и если банк отвечает положительно, сумма на счёте блокируется. А если отрицательно, то магазин скажет «платёж не проходит» и не выдаст товар.

Настоящее списание происходит только через пару дней, и банки (как минимум не очень плохие) начинают считать кредит/овердрафт именно с этого момента. А в конкретном примере — только если фактическое зачисление из банкомата не произойдёт до этого момента, и это маловероятно на практике, поскольку внутри банка (между банкоматом и счетами) информация и деньги передаются быстрее, чем между банком и магазином (точнее, банком, обслуживающим платежи по картам для этого магазина).
А в конкретном примере — только если фактическое зачисление из банкомата не произойдёт до этого момента, и это маловероятно на практике,

30 дней регламентный срок на транзакцию
А если взять не банкомат, а перевод через c2c где сроки могут быть сильно больше.

и если банк отвечает положительно, сумма на счёте блокируется.

так в том и дело, что чтобы заблокировать деньги на счету дебетовой карты — они там должны быть фактически, на кредитной карте — не обязательно.

и ещё раз, решает не только банк, но и платежная система. почитайте всётаки как разные карты устроены. например amex позволяет проводить операции без проверки лимита вообще
30 дней регламентный срок на транзакцию

Может быть это и так, но я не говорю «невозможно». я говорю «маловероятно». Обычно деньги и информация между банком и банкоматом передаются быстро, и этот 30-дневный срок используется (очень далеко) не до конца.

так в том и дело, что чтобы заблокировать деньги на счету дебетовой карты — они там должны быть фактически

Это не всегда правда, в том числе с «настоящими» дебетовыми картами (visa debit/maestro) в Европе и Америке, проверял лично. Как только деньги попали на дебетовую карту через банкомат или через кассира, их уже можно блокировать, даже до фактического зачисления.
их уже можно блокировать, даже до фактического зачисления.

банки так или иначе придумывают всякие фокусы чтобы упростить жизнь клиентам. (повторюсь, также как российские банки показывали в электроны как классики чтобы ими можно было в интернете платить, хотя МПС на тот момент такого не позволяла)

ну вы что хотите мне доказать? мы же имеем реальный факт что карты различаются и способы их приема тоже различаются я примерно описал причины почему так происходит.
ну вы что хотите мне доказать?
Только то, что уже сказал выше: что деньги, внесённые на дебетовую карту через банкомат самого банка, (как правило) доступны для блокировки сразу же, и овердрафт в этот момент ещё не возникает.
и овердрафт в этот момент ещё не возникает.

1) доступны сразу — это банк делает костыли чтобы такое позволить (например показать в платежную систему что деньги реально дошли, хотя это не так)
2) овердрафт возникает если операция списания пройдёт быстрее чем операция пополнения, но вы всеравно в выписке не увидите минус

чтобы поймать это состояние надо например через клиентбанк смотреть на статусы транзакций

Некоторые банкоматы совершают транзакцию только после инкассации, которая может реально до недели осуществлятся. (я например попадал на то что положенные деньги через сберовский терминал в пятницу вечером, по факту попадали на карту только в понедельник утром, причём не только фактически но и вообще как доступные на карте… помнится очень пригорело)

можно было бы более предметно поспорить если бы тут ещё бы ктото был более осведомленный в процессинге. я по долгу работы немного (но не напрямую) сталкивался с этим но мои знания уже несколько устарели… говорят визовский электрон поменялся… не знаю каким образом
доступны сразу — это банк делает костыли чтобы такое позволить

Костыли или нет, но стандартом де-факто (кроме, возможно, очень плохих банков) стало то, что все pending transactions: и пополнения через банкомат, и платежи картой, считаются вместе, а все posted transactions — тоже вместе и отдельно от pending.

показать в платежную систему что деньги реально дошли

Пополнение через собственный банкомат — это операция внутри банка, какое платёжной системе до неё дело? Когда платёжная система при покупке спросит, можно заблокировать или нет, банк (как правило) ответит «можно».

овердрафт возникает если операция списания пройдёт быстрее чем операция пополнения

С этим я не спорю, просто говорю, что это маловероятно в хороших банках, как и описанный ниже случай со сбером.
но стандартом де-факто

в РФ, это важно в данном контексте

Когда платёжная система при покупке спросит, можно заблокировать или нет, банк (как правило) ответит «можно».

вы всёравно не хотите признать что существуют разные виды карт с разными функциями?
например по картам классик и выше можно производить дополнительные списания средств в рамках одной авторизации (чем активно пользуются отели и азс)
А вот у карт класса электрон, так делать нельзя. Хотя казалось бы, банк тут разрешает-а здесь не разрешает. но разница лишь в типе карты. тоесть банк следует правилам платежной системы, а не «сам решил»
в РФ, это важно в данном контексте
И в РФ, и в Европе, и в Северной Америке.

вы всёравно не хотите признать что существуют разные виды карт с разными функциями?
Я где-то утверждал обратное?
И в РФ, и в Европе, и в Северной Америке.

Это на реальных знаниях или только предположения?

Например только тот факт что банкомат с приемом наличных «изобрели» в РФ и крайне консервативный рынок МПС в США, подсказывает что вы лишь предполагаете основываясь на собственном опыте с Российскими картами

Я где-то утверждал обратное?

ну не совсем обратное, просто мне кажется у вас возникает несколько превратное ощущение что во всем мире банковские карты работают также как в РФ, однако это не совсем так, учитывая что наш процессинг гораздо более развитой и технологически продвинутый, чем во всех остальных странах, включая европу и США. что и вызывает такие странные вещи как пункты в банкоматах других стран — «дебетовая операция», 'кредитная операция' смысл которых в наших реалиях не понятен
Это на реальных знаниях или только предположения?

Это основано на реальном опыте проживания. Банкоматы с пополнением я не знаю где изобрели, но и в Европе, и в Северной Америке я их видел.

вызывает такие странные вещи как пункты в банкоматах других стран — «дебетовая операция», 'кредитная операция' смысл которых в наших реалиях не понятен

Именно таких пунктов не видел, но видел пункты «с какого аккаунта списать деньги» с вариантами «savings», «chequing», и. т. д. Да, я понимаю, что они значат — что с помощью одной карты можно получить доступ к нескольким аккаунтам.
свои деньги с кредитки без комиссии снимать можно

У ВТБ нельзя, например.
У ВТБ нельзя, например.

Специально посмотрел тариф кредитной мультикарты, снятие собственных средств в банкоматах ВТБ — без комиссии
Они также съели Банк Москвы, по кредиткам Банка Москвы условия жёстче.
Видимо для своих карт они это исправили.
Недавно снимал через кассу — комиссий не было.
нельзя расплатиться например на заправке дебетовой картой тупо потому что там только кредитки работают… или в гостиницах не получается забронировать номер по этой причине.

Серьёзно существует такая фигня? И как это распознать?
Это не надо распознавать. За границей все наши карты кредитные.
Я к тому, что если всё таки умотаю, то такая неожиданность будет неприятной. Не кредитку же брать, оно мне не нужно.

Вы читать умеете? Все наши карты, даже те, что называются дебетовыми, на самом деле кредитные. Просто на "дебетовых" установлен кредитный лимит 0р.

Ещё раз. Если я перееду за границу, то у меня будет их дебетовая карта. Что не понятно то?

Если вы переедете за границу, у вас и кредитная карта будет, т.к. вам нужно будет свой кредитный рейтинг поднимать. И оплата дебетовкой почти всегда возможна, просто наша карта не пройдет, если при оплате выбрать дебетовую.

у вас и кредитная карта будет, т.к. вам нужно будет свой кредитный рейтинг поднимать

А что, на западе никак без кредитов жить нельзя? Просто я человек старой закалки, привык жить на свои.

Жить на свои != не пользоваться кредитными продуктами. Это ортогональные понятия.

Я так не считаю. Для меня все эти грейс-периоды и прочие кешбеки ненужная фигня.
Кредитная история на западе это некий рейтинг добропорядочности человека, и им во многих сферах пользуются.
Смотря где. Про США рассказывают что кредитный рейтинг — чуть ли не самая важная цифра. В Европе и конкретно в Финляндии где я сейчас живу я о нем даже не слышал чтобы кто-то упоминал. При этом у меня есть знакомые которые брали здесь в ипотеку дом при этом не беря перед этим кредитов чтобы набрать рейтинг — то есть жить без кредитов можно совершенно нормально.
Если вы переедете, то вам все равно нужно будет долго и муторно прояснять все условия их договоров. Они почти наверняка будут заметно отличаться и дебетовая или кредитная у вас будет карта будет не самой большой вашей проблемой в первое время. Но вообще, по опыту — в Финляндии видимо тоже дебетовые карты на самом деле кредитные с нулевым лимитом. Либо озвученной проблемы на самом деле нет, потому что у меня не было случая чтобы я не смог своей дебетовой картой где-то расплатиться, что в физически, что онлайн.
НЛО прилетело и опубликовало эту надпись здесь
debit — это предоплаченная карта.
Все наши карты — это credit
Просто надо всегда и везде говорить «credit» и не будет никаких проблем.
Главное нормальные карты там не засвечивать — их фродят только в путь. Пользуйтесь всякой одноразовой ерундой типа «Банк в кармане» от РСБ. А по приезду — блокируйте нафиг. Иначе месяца через три Вам начнут приходить СМСки о покупках в BestBuy
по опыту поездки по США:
На самой колонке карта не прокатывает в большинстве случаев, но у кассира никогда проблем не было. Только одна заправка попалась, где карту приняли на колонке. Какая то фирменная толи мобил, толи шеврон. Я первый раз в жизни видел заправку, на которой порядка 30!!! колонок.
На самой колонке для кредитки ещё иногда спрашивают ZIP и вбить можно только US код.

В магазинах просто говоришь «кредитка».

Основная проблема выезда зарубеж это не маленькая вероятность, что фин.мониторинг банка по каким то внутренним алгоритмам признает транзакцию подозрительной и заблокирует карту, а потом вероятно позвонят на телефон и спросят «а Вы ли это покупку совершили?». Хорошо если есть телефон с приложением банка и симка активка, чтобы принять СМС с кодом проверки.
НЛО прилетело и опубликовало эту надпись здесь
авторизация на рандомную сумму в пределах доллара — довольно частая проверка валидности карты, ни разу не видел, чтобы банк блокировал такое, скорее всего, ему место транзакции не понравилось
НЛО прилетело и опубликовало эту надпись здесь
С нашими картами оно аналогичным образом не прокатывало (и будучи засранцем, можно писать щедрые чаевые в чеке и сваливать, с карты их снять скорее всего не смогут).

упоминайте тип карты, такое не прокатывает с картами maestro/electron/electronic и 'настоящими" дебетовыми картами, Российский банк тут не причем, это ограничение платежной системы

p.s. о чем я выше в комментах и говорил, именно по этому банки стараются впаривать классики(и выше) и кредитки вместо дебетовых, меньше проблем от клиентов
НЛО прилетело и опубликовало эту надпись здесь
ниразу не видел обратного)

Ну вот из тарифов для кредитных карт сбера:
— и никакого уточнения, заемных или своих. Снятие с карточки и всё тут.

А конкретно про снятие собственных — есть вот такие свидетельства: раз, два.

Да, для ПС и дебетовки банк может представлять кредитками, но сам-то банк их различает. Это все-таки разные продукты с разными условиями обслуживания.

У ПСБ вроде так и было — любое снятие кэша с кредитки в банкомате за деньги.

Добавьте сюда
В таблице содержатся, в частности, детальные персональные данные
Значит есть не иллюзорный шанс того, что в базе присутствуют данные о прописке. А в купе с кредитной историей, очень удобно составлять план по «посещению» этих владельцев. Интересно, дебетовые карты там тоже засвечены?
> Значит есть не иллюзорный шанс того, что в базе присутствуют данные о прописке.

Данные о прописке для некоторых городов уже слиты задолго до сегодня (сбербанк полагаю тут не при делах).
ufa1.ru/text/gorod/54346731

Данные о прописке и данные о прописке с финансами — две большие разницы.

Справедливости ради, базу EGTS по москве сливают стабильно раз в 3-4 года. Точно рабочую базу видел за 2012 год (ну и за 2005, 8, 10), а также видел ссылку на 2014, но не проверял.
Если речь о коллекторах — им данные о прописке не особо нужны — в бки все есть.
Насколько я помню, дебетовые карты у сбера идут как кредитные карты. Не так давно была буча по этому поводу — во всех мобильных приложениях карты отображались как кредитные (у меня во всяком случае так). Так что вполне возможно, что слили всё. Нужен магнет для проверки)
вряд ли в ближайшее время будет магнет, барыжат же

Данные явно устарели для многих, поскольку прописка упразднена в 1992м. Да, некоторые граждане смеются над путающие монитор с процессором (который ещё и системный блок), а сами городят такую же ерунду в других областях, да ещё и оправдываясь "это одно и то же".


freeExec


Биометрию же

Биометрия у других уже утекала, Сбер назовёт это "внедрением передового мирового опыта".


CycaHuH


Зачем разработчику доступ на продакшен базу и кто ему этот доступ даст?

Даст заказчик, а зачем? Потому как так проще, не надо описывать масштаб системы для создания тестовых наборов и можно "что-то быстро поправить" (когда данные унаследованы и загружены не идеально, то повторить такое сложно и при выборе "попытаться сделать тестовй набор с повтором поведения" и "послать всё/дать доступ" зачастую выбирают второе, причём, с нулевым контролем). Хотя на бумаге всё строго и даже телефон проносить запрещено. Речь о разных крупных госкорпорациях с самыми разными направлениями деятельности. "Ну хоть что-то у нас в безопасности".


Areso


Тут момент какой. Разработчики работают на маленьких базах, из которых выкинули, скажем, 99% клиентов

Хорошо, если в Сбере так (мы тоже так готовили данные для подрядчиков и демонстраций, заполняя произвольными данными некоторый срез базы, дабы там не осталось ничего — благо словари Ф, И, О доступны, даты генерятся рандомом, как и другие данные), но сами частенько получали вполне живые данные и это настораживало. И бонусом системы от разработчкив, где для разработки ориентировались на объём данных 1% от реального, зачастую тормозят (поскольку частенько алгоритмы O(N^2) дают неплохое время на малых выборках, но катастрофу на рельных). Не знаю от чего так получается, возможно, они уже привыкли что им дают реальные полномасштабные данные и получив тестовый стенд с небольшим муляжом, делают там не только функциональность, но и смотрят скорость работы, удовлетворяясь малым без заглядывания в требования в ТЗ.

НЛО прилетело и опубликовало эту надпись здесь
На некоторых «Не Наших» сервисах при оплате картой cvv не спрашивают, и 3d secure подтверждений тоже нет.
Например, Amazon. Был крайне неприятно удивлён.
Запрашивая CVV и смс, банк прикрывает свою задницу, а не о вас забоится) Амазон просто может себе позволить риск оплаты с чужой кредитки.

При первой оплате новой картой или при первой доставке на новый адрес он вполне CVV просит.

Подобные транзакции на холде 3 дня минимум висят.
НЛО прилетело и опубликовало эту надпись здесь
только после авторизации и согласия привязать карту, как минимум cvv запросят
галка «запомнить карту» может стоять по умолчанию, это не снимает с вас ответственности

Когда у нас внедрялась American Express под ЧМ по футболу, то там вообще чипа нет. Всё по магнитной полосе проводилось, причём даже иногда без ввода пина :)

Если там есть «кодовое слово», то можно не просто дел наворотить, а сделать абсолютно всё. И банк с этим физически не справится.
давно уже «кодовое слово» даже спрашивать перестали, спрашивают рандомные сведения — месяц рождения, предпоследние 2 цифры телефонного номера, что-нибудь про последние транзакции
Где, в сбере? Это вам кто-то рассказал, или вы сами придумали? Вот прямо сейчас позвонил в сбер с другого номера, и как и последние лет 8 после ФИО, адреса и даты рождения оператор спросил «контрольную информацию по карте», что и является кодовым словом. Месяц рождения и предпоследние цифры номера — это практически открытая информация и не защищает никаким образом. Последние транзакции тоже — мошенник отправляет два перевода по 100 рублей жертве, сразу же звонит в банк и называет их оператору — проверка пройдена.

Наибольший риск — по этой базе можно деанонимизировать всех сотрудников силовых структур, судов и т.п. членов их семей и т.п. примерные должности.
из плюсов можно будет узнать разницу в зарплате у директоров школ и больниц с их сотрудниками.
Если Базу вывалят на торренты то можно будет любителям биг-даты проанализировать с реальные расходы/доходы на большой выборке. сейчас такими возможностями пользуется только сбербанк.

у них у всех зарплатные карты сберовые, нафиг им кредитки брать, если можно кредит прям на имеющуюся карту получить?
да и расхождения какие-то — заявлено 60млн кредиток, а сбер говорит, что у них всего 40 было выпущено
Ну сами облажались, пусть теперь сами и перевыпускают мою кредитную карту и мой новый паспорт за свой счет!

С учётом наличия там данных о прописке, должны ещё и квартиру новую за свой счёт купить, или как минимум охрану старой оплатить?..

или лицензию оплатить на гладкоствольное…
Еще один такой слив (по дебетовым картам да еще и с историей операций), и нужно будет всем разрешить ношение огнестрельного оружия.
Губу закатайте обратно.
НЛО прилетело и опубликовало эту надпись здесь

Смело дели на 10, т.к.сказано же, все выпущенные карты, а не действующие на текущий момент

база данных с подробной информацией о владельцах 60 млн кредитных карт, как действующих, так и закрытых Сбербанка оказалась на черном рынке


Всмысле?
Всмысле, что данные не на 60кк человек, а карточек. А с учётом «бывших» на одного приходится по несколько штук.
сбер говорит, что они 40млн кредиток вообще выпускали, активных на данный момент — 18
Есть подозрение, что они даже это нормально посчитать не способны. Т.к. в этой выгрузке будут и виртуальные карты и моментумы.
Даже вместе с ними — все равно как-то мало получается, 40 млн за все время (ок, возьмем даже последние 10 лет активного развития и использования безнала в России) — никак не возможно. Все бюджетники и пенсы, все менты и вояки, миллионы работников всяких ФГУП, ГБУ и прочих НЕХ, обычные юзеры (у которых может быть несколько карт), плюс срок действия карты обычно 3 года, потом перевыпуск. У какого-нибудь Урюпинсксельхозбанка еще может быть 40 млн, у сбера скорее 400 млн.
В выборке только карты с кредитным лимитом
Т.е. бюджетники и пенсионеры в большинстве сюда не относятся, зарплатники тоже частично.
Что у одного человека за несколько лет могло быть несколько карт.
60 млн действующих и закрытых карт <> 60 млн клиентов.
Свыше 150 млн клиентов пользуются услугами Сбербанка во всем мире. При этом число активных розничных клиентов в России составляет около 92 млн человек, а корпоративных — свыше 2,4 млн.
Сайт Сбербанка
При этом число активных розничных клиентов в России составляет около 92 млн человек

… при населении 144 млн, ага. Почти всё трудоспособное население плюс почти все пенсионеры. Ну вы же понимаете, что Сбербанк под «активный розничный клиент» подразумевает «любая незаблокированная и непросроченная карточка». Как, впрочем, и многие другие банки.
плюс почти все пенсионеры

Оно так и есть. Сюда же бюджетники, и вполне может выйти круглая цифра.
Ещё можно посмотреть на количество установок Сбербанк Онлайн в Google Play.
Оно более 50 миллионов.
Подозреваю, что находятся такие, кто устанавливает приложение не на одно свое устройство.
Но есть и такие кто не вообще не устанавливает приложения банков, операторов и прочую хрень. Кого из них больше можно только гадать.
Я потому и написал, что эти более 50 млн. установок != реальное количество пользователей. Даже если брать это число как приблизительную оценку — расхождение с реальным числом может быть существенным.
а есть и те, кто снёс его со своего андройд устройства, т.к. этот «антивирус» в составе вешает устройство полностью.
а на х86 оно вообще не работает
Сбер покупает у вендров установку своих приложений, так что циферка тех кто скачал его по своей воле, а не увидел на своем huawei (и тп) после покупки так же может отличаться
У меня 2 действующие карты сбера и еще 2 не действующие, не вижу никакого противоречия.
И разумеется они опять отделаются «приносим извинения».
We're sorry
image

Учитывая цифру я думаю что утекла ВСЯ база сбера.
P.S. И эти люди еще силой внедряют свой идиотский Мир

Биометрию же

А почему "Мир" идиотский? Не флейма ради вопрос, а любопытства.

ИМХО из за того что не плодите сущности

Справедливости ради, конкретно "Мир" мне кажется какой-то очень нужной штукой.
PS: Детали реализации мне не ведомы, такой картой не обладаю ))

ищь ты скока тут приверженцов МИРа :-)

Кому он нужен без поддержки apple/google pay?

Мне
А зачем, если не секрет?
Visa/MC:
— принимается глобально
— привязывается к Google Pay/Apple Pay

Мир:
— Принимается преимущественно в России
— Невозможно использовать с Apple Pay
— Для оплаты с андроида нужно отдельное приложение
не секрет
Google Pay/Apple Pay и прочие pay не использую вообще.
За границей не был года 2.
За границей наличка.

За границей тоже разные регионы бывают. И, например, во всей Скандинавии регулярно не принимают наличные и карту Мир, само собой, так что путешествие может пойти сильно не по плану

мне не актуально, моя заграница наличные принимает
Если для вас заграница ограничивается Крымом — ну что ж тут скажешь?
Интересный факт, за все время когда мне минусовали карму минусы я получал в технических спорах лишь несколько раз. Все остальные минусы ставили исключительно разные фанаты путина\рогозина\русского мира когда я негативно отзывался о всем происходящем.

Мне блин медицина и образование нужны, а не пустые амбиции и карточки которые нигде кроме России не принимают и надеюсь не будут принимать.
что то вообще не в тему, причем тут карта мир и образование с медициной?

Вы не получили образования?

ali принимает
Да и не всё ли равно это просто ещё одна процессинговая система, как visa/master/america express/какие-то местячковые европейские.
Сбер к ней имеет практически никакое отношение, эти карты у тинькова, альфы, втб, да по-моему у всех крупных банков есть.
А что лично вы выигрываете материально/психологически, если карту «Мир» нигде кроме России принимать не будут? Почему на это надеетесь?
НЛО прилетело и опубликовало эту надпись здесь
А её где-то ещё принимают?
В Беларуси скажем — нет.
В турецкой Анталии видел наклейку о том что они принимают MIR. Но сам не пользуюсь, карты нет, проверить в деле поэтому возможности не было.
НЛО прилетело и опубликовало эту надпись здесь
ну тут вопрос ещё в том сколько лет существует платежная система, unionpay в 2002 году появилась, причем китай предпринимает очень большие усилия по её популяризации. ходили слухи (внутри рынка процессинга) что даже в РФ хотели её продвинуть так чтобы у неё пользователей было больше чем у визы/mc… однако видимо чтото не срослось
Есть же ещё и JCB про которую мало кто знает, хотя она по популярности в тройке крупнейших МПС

В отличие от медицины и образования процессинговая система приносит деньги в бюджет (из налогов), которые потом могут быть потрачены на медицину и образование.
Это коммерческая лавочка (пусть и продвигаемая госудаоством), а не бюджетные расходы.

Честно говоря в Скандинавии «Cards only» не видел ни разу. Может быть где-то оно и есть, но так чтобы вообще нельзя было оплатить кэшем — не встречал. А вот только наличка — да, сколько угодно. Всякие продукты от фремеров, продавцы на выездных ярмарках, просто мелкий бизнес в глуши.

P.S. Справедливости ради видел фото кафе из Берлина с объявлением «Cards only», но это единственный известный мне случай.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Автоматические заправки кэш не принимают, насколько я помню.
Кстати очень даже может быть, в силу отстутствия машины я просто не сталкивался с ними. Но представить такое не сложно.
У Газпромнефти автоматические заправки принимают и карты и наличку.

И много у Газпромнефти заправок в Скандинавии?

Ну если вы не бюджетник, никто её получать и не заставляет.
Если бюджетник, тогда да, причём никто не запрещает иметь карты даже того же банка но другой платёжной системы.
Ну и я если честно не так уж много людей видел пользующихся Google Pay/Apple Pay
Вот если б всех принудительно заставили пользоваться этой картой и других не иметь, то да, проблемы, а то как оно сделано сейчас большинству ни горячо ни холодно.
У меня например МИР, никаких особых проблем нет, тем более при поездке заграницу заранее карту валютную выпускаю, после закрывая, так выходит дешевле и безопаснее. Покупки в интернете по виртуальным, их любой системы выпустить можно (хотя тот же ali уже принимает мир). Таким образом в целом всё равно какая карта и какой системы.
Потенциальное неудобство только с Google Pay/Apple Pay и то может рано или поздно допилят интеграцию, особенно если эта тема популярной будет.
Ну и я если честно не так уж много людей видел пользующихся Google Pay/Apple Pay

Вы либо живете в небольшом городе, либо работаете в коллективе, где средний возраст за полтос.
Так-то вон даже проезд на ОТ можно телефоном оплатить при помощи означенных pay-ев. То есть оплату ОТ и общепита, когда вместо карточки или нала прикладывают телефон, я вижу регулярно.
при поездке заграницу заранее карту валютную выпускаю, после закрывая

Сложно. Рублевой оплачиваю. Опять же с телефона.
Потенциальное неудобство только с Google Pay/Apple Pay и то может рано или поздно допилят интеграцию

Google сказал «мы подумаем, но нам пока лениво».
Apple сразу послал, аргументировав тем, что не для тех роза цвела. На фоне экспансии Apple Card звучит логично, да.
Да нет в Москве, да и молодых хватает.
Вижу то регулярно, но это не массово, даже не четверть.

Ну незнаю насколько сложно, мне так удобнее, да ещё и с прыгающим курсом предсказуемее

Может если система будет более популярно её включат в Google, так что чем более популярна тем это событие вероятнее
Да нет в Москве, да и молодых хватает.
Вижу то регулярно, но это не массово, даже не четверть.

В Питере — в какой кабак не зайди — чаще всего айфончиком расплачиваются.

Ну незнаю насколько сложно, мне так удобнее, да ещё и с прыгающим курсом предсказуемее

Фломастеры, да. Но лично мне, когда нужно делать дополнительные телодвижения — уже попадает в категорию «неудобно». Я приверженец минимализма вплоть до большой кнопки «СДЕЛАТЬ [ХОРОШО]».

Может если система будет более популярно её включат в Google

Возможно. Но «популярно» для Гугла наверняка отличается от «популярно» для оператора системы. Опять же некоторая натянутость в российско-штатовских отношениях, наличие санкций — всё это делает рискованным такое расширение бизнеса.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Я вроде:
никого не оскорблял,

За что петушки минусуют?

судя по всему у людей отлично работает предсказание вашей реакции

а по факту, у вас явно своеобразная выборка да ещё упоминание Великого
НЛО прилетело и опубликовало эту надпись здесь
что пошло не так?

Не пошло, а пришло.
Вы пришло.
НЛО прилетело и опубликовало эту надпись здесь
такова жизнь, всё течет всё меняется.

а то что вас так сильно волнуют заукраиндствующие, эмобои и трансгендеры… лишь подчеркивает то что вы не сильно от них отличаетесь (в смысле воинственности)
надо спокойнее относится к подобным изменениям в жизни, они не неизбежны и бороться с ними бесполезно

меня вот за какието комменты тоже минуснули… я позлился и успокоился, теперь подумаю предже чем писать ;) раз не кому тут такое слушать
НЛО прилетело и опубликовало эту надпись здесь
Я вроде:
никого не оскорблял
ведь эти пассивные заукрадинцы
в закрытом гей-комьюнити на хабре изменение.
За что петушки минусуют?
Не пытайтесь переложить с больной головы на здоровую


У вас осеннее обострение?
У меня в жизни гниль не командует исподтишка,

а уже просто лезет наружу бурным потоком?

У меня в жизни гниль не командует исподтишка

у вас может и нет, а у человечества всегда так было

изменение, а в закрытом гей-комьюнити на хабре изменение.

неважно как это называть, факт что социум вокруг меняется и лишь ваше решение бороться с ним, уйти из него или смирится. вопрос лишь насколько важно вам то что он вам даёт. а побубнить в стиле 'а вот в советские времена ууу!!! а сейчас все тридварасы'… это толка не будет.
времена фидо не вернутся уже, и даже IRC и форумов из начала 2000х не будет… хотя там и тогда чертовщины было много (но вы помните только хорошее же?)

Я вот не мог на хабре находится в 2007-10 годах из-за зашкаливающего юношеского максимализма большинства тех кто тут писал, сейчас народ подрос и статьи стало можно читать и даже комментарии
Возможно, скоро придётся. По крайней мере, тем, кто хочет официально получать выплаты по больничным. Если не ошибаюсь, со следующего или с 2021 года ФСС переводит все регионы на прямые выплаты вместо возмещения расходов работодателю; до этого ряд регионов долго был в пилотном проекте по этой схеме. А перевод идёт… на карту Мир, да.
А перевод идёт… на карту Мир, да.

С зарплатой была возможность переводить на счёт, вполне рабочая, хотя в госдуре естественно были очень недовольны моим желанием получать куда-то не туда.
По зарплате этого и сейчас не отменяют. А оплата больничных финансируется государственным фондом; теперь ещё и оплачивать будут напрямую из фонда, работодатель только информацию даёт.
Впрочем как я в последний раз болел, так и понял, что больничный больше никогда не возьму.

Людям с зарплатой выше ~60к (точную сумму не помню, она постоянно меняется) на больничный ходить невыгодно, т.к. это максимальная сумма, которую возместит любимое социально-ориентированное государство.

У меня работодатель две недели в году доплачивает до среднего заработка.
Там много параметров. Типа время работы в этой компании, общий трудовой стаж (или непрерывный), еще какие-то параметры.
Короче, у нас пару дней можно взять «так», если больше, но работать можешь — забираешь домой ноут и всего делов.
Ну или идти на больничный и плакать в момент подсчета месячного дохода.

Я не про компании, которые дают доп плюшки, а про государство пишу. Даже если вам положена 100% компенсация больничного, от государства вы получите не более ~2к в день. И вот это больше всего напрягает. Те, кто больше всего платит в соцстах, не может этим соцстрахом нормально пользоваться.
Еще раз, я не про варианты, которые позволяют это обойти, а про принцип.


Мне, например, решительно не понятно, почему ограничивается суточная компенсация, а не годовая и какого лешего вообще эти лимиты существуют.

Я тоже не про компании, я про это:
Страховой стаж Размер больничного
менее 5 лет 60% среднего заработка
от 5 до 8 лет 80% среднего заработка
8 лет и более 100% среднего заработка
и
4. Для расчета среднего заработка работника нужно взять все выплаты, на которые начислялись страховые взносы в двух предшествующих календарных годах.

6. Средний дневной заработок для исчисления пособия по временной нетрудоспособности определяется путем деления суммы начисленного заработка в расчетном периоде на 730.

То есть, если вы год назад работали в Беларуси/Польше/еще где-то, а потом устроились на работу в текущую фирму — у вас проблемы.

Если вы молоды, и у вас меньше 8 лет российского стажа — у вас проблемы.

Вы читать умеете? Я априори полагаю, что вам положено 100% компенсации и ваш стаж больше 8 лет.


И вот в этом случае больше 2к в сутки вы не получите от государства, даже если ваша средняя зп 10к в сутки. Вот такие вот 100%. Читайте закон дальше, там ограничение сверху есть.

И до этого ограничения еще добраться надо, я пытался обратить ваше внимание именно на этот факт.

И нет, 8 лет общего российского стажа и 2 года непрерывного российского стажа я бы не считал за данные по умолчанию в сфере айти.

Впрочем, я надеюсь, что из нашего небольшого обсуждения, людям будет гораздо проще осознать, что если у них в трудовых контрактах и офферах не прописаны какие-то дополнительные гарантии, то у них очень грустные перспективы в случае больничного: начиная от пунктов, которые упомянул я, и заканчивая пунктом, про который написали вы.
6. Средний дневной заработок для исчисления пособия по временной нетрудоспособности определяется путем деления суммы начисленного заработка в расчетном периоде на 730.

730 — это что-же получается?!.. Работаю я пять дней в неделю, как и большинство, а это около 260 дней в году умножаем на два года и получаем 520 дней. И предположим, что зарабатывая в среднем 2к рублей в день (~40тыс. з.п. в месяц) за два года набежит 1 040 000 рублей, но делим мы это почему-то на 730 и получаем уже 1 424 рублей в день, за день нахождения на больничном! Вообщем не мытьем так катаньем мы вас…
Если вы молоды, и у вас меньше 8 лет российского стажа — у вас проблемы.

Похоже у всех проблемы, в не зависимости не от чего!..
В общем случае, оклад вам платится за месяц (если у вас не было больничных, переработок и прочего).
Давайте рассмотрим простой пример.
Инженер 3 категории имеет оклад 20 тысяч рублей в месяц. Он работает два года на этом предприятии без изменения зарплаты (для простоты уберем обязательную ежегодную индексацию, и оставим за кадром НДФЛ). Имеет 8 лет стажа.
Считаем начисленный доход:
24*20=480 тысяч рублей.
Предположим, он серьезно заболел и взял больничный на 30 дней.
480/730=657 рублей в день. За 30 дней больничного, компенсация составит 19 740 рублей.
В общем случае, оклад вам платится за месяц

УПС, а из какого такого расчета вы взяли, что оклад за месяц? Например у меня оплата из расчета смены!
Предположим, он серьезно заболел и взял больничный на 30 дней.

Предположим я не серьёзно заболел, а пошел удалять зуб и пробыл с флюсом три дня, тогда как мы посчитаем? 3 х 657 = 1951,00 или 3 х 1000 = 3000 (для простоты будем считать 20 смен в месяц)
480/730=657 рублей в день. За 30 дней больничного, компенсация составит 19 740 рублей.

И однако, для простоты, 19 740 это всё одно меньше 20 000, пусть на 260 рублей…
МИР заставляют получать ВСЕХ! Сейчас многие пособия (напр. декретные), только на карту мир делают.

Хорошо, скажем так, если вы хотите получить что нибудь от государства, нужна мир, если нет — пользуйтесь чем хотите, никто не неволит

Последнее время в Госдуме говорят о необходимости прекратить «зарплатное рабство», когда работодатель принуждает сотрудника получать зарплату исключительно на карту одного навязанного им банка. А когда работодатель — государство, зарплатное рабство с одной платежной системой — это ОК? Лицемерно выходит.
Почему лицемерие? Зарплатой рабство это привязка к банку, который может быть насквозь аффелирован работодателя, не иметь банкомат и пр. Ничего про пс там нет да и не должно быть. При этом зарплатой рабство распространяется на всех работодателя.
По платёжной же системе, если государство вам как-то платит то и хочет это делать через контролируемую пс, банк же вы вправе выбрать сами.
Тут же вроде писали про правила ведения бизнеса в России, одно из которых гласила не работать с государством. Если его выполнять то и вопроса не возникает никакого, выбирайте.
Кстати то что до мира основных систем то было всего две никого не смущало.
По платёжной же системе, если государство вам как-то платит то и хочет это делать через контролируемую пс

А если контролируемая ПС не устраивает своими потребительскими характеристиками? Не, не рабство?
Нет. Точнее не совсем. В первом случае у вас выбора нет вообще никакого чётко выбранный банк и выбранная им же платёжная система, неважно есть ли банкоматы у банка, какие комиссии и пр.
Тут же, выбираете любой банк какой вам нравится, а если не нравится, можете в том же банке выбрать любую другую ПС, внутри банка переводы по счетам без комиссии.
Я не хочу выбирать банк, я хочу чтоб был нормальный выбор — Visa, MC, Мир, UCP, черт лысый…
Не работаете на государство-пожалуйста.
Ну так о том и речь, что государство себя ведет этом плане абсолютно отвратительно.
Почему? Не очень понял? Государство свои деньги хочет пускать через национальную систему. При этом пользоваться ей не заставляет по сути.
Ну так уже сказано ж выше, что если ты бюджетник — выбора нет.
Моя мама работает в бюджетной организации, и после получения ЗП она снимает наличку с МИРа и несет в кэшин Альфы.
Потому что МИР непредсказуемо факапился на оплате в магазинах, а вот Visa — нет.
Вот именно, работаешь на государство, поэтому которое, что вполне логично, хочет пускать деньги через национальную платёжную систему.
она снимает наличку с МИРа и несет в кэшин Альфы.

А зачем так сложно? У альфабанка есть карты и мира и других платёжных систем, при поступлении денег, при необходимости через интернет банк нужные деньги перекидываешь между картами.
Потому что МИР непредсказуемо факапился на оплате в магазинах, а вот Visa — нет.

А вот это странно, у меня мир основная карта уже как года два, ни разу с ней проблем нигде не было.
Ну, пару раз негативного опыта человеку хватило, чтобы забить. Очень неприятно, когда потратил полчаса в магазине, и на кассе надо все скидывать, потому что «с вашей карточкой что-то не так. Не проходит.»
Сейчас вроде card2card преводы освоила.

работаешь на государство, поэтому которое, что вполне логично, хочет пускать деньги через национальную платёжную систему.

Работнику какой интерес?
Ну так уже сказано ж выше, что если ты бюджетник — выбора нет.

Вообще-то я выше сказал, что вполне можно заставить переводить на банковский счёт. Да, в бухгалтерии шипят, а начальство убеждает не ходить, но вполне по силам.
Бросилась в глаза формулировочка :-)

" вполне можно заставить "
Про начальство и бухгалтерию согласен
это неправда
покажете какой-нибудь закон или подзаконный акт, где такое говорится?
хоть наличными получайте
даже если вы бюджетник, вы вправе получать свою зарплату на любую карту, или вовсе наличными в кассе, расписываясь в ведомости, просто люди прав своих не знают и не хотят их отстаивать
даже если вы бюджетник, вы вправе получать свою зарплату на любую карту

В системе МИР. Последние законы, да. Или на банковский счёт. Некоторые говорят, что у них прокатывало указывать счёт каточки и получать напрямую, но лично я не стал так делать в своё время.
при поездке заграницу заранее карту валютную выпускаю

Зачем? Любой нормальный банк позволяет к карте привязать несколько счетов, в том числе валютных.

Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир. Поддержка оплаты этими картами хуже, чем у Visa / MC. Ожидаемо, что единственная валюта расчётов — Российский рубль.
Я себе завёл карту «Мир» только для получения всех плюшек от субсидий (музеи, различные муниципальные сервисы). Но они когда-нибудь закончатся.
А если серьёзно, то было не очень важно, какую сбера карту завести, но из-за политики сбера по внутренним переводам с комиссией (если регионы на совпадают) надо было любую. Почему бы и не «Мир»? В остальном пока не замечал каких-то минусов. Но и картой почти не пользуюсь.
Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир. Поддержка оплаты этими картами хуже, чем у Visa / MC. Ожидаемо, что единственная валюта расчётов — Российский рубль.

ПС молодая, может в будущем добавят.

С точки зрения государства гонять деньги граждан через американские компании — не комильфо, их понять можно. Но пользователям как-бы пофиг и они продолжают пользоваться тем чем пользовались.
ПС молодая

Вы же понимаете, что дело не в этом и вообще не в технических вопросах?

А вы понимаете, что Виза/МС могут отключить Россию без проблем? И что тогда нужно будет делать?
Виза/МС могут отключить Россию без проблем?

ИМХО Если такой момент настанет, вопрос «как снять деньги с карточки» будет далеко не первым в длинном списке остальных проблем.
Вспомните гиперинфляцию начала 90хх, там никакой Визы и МС не было, а вот проблема с обналичной вкладов — даже очень.
Я встряну Ваш коммент в Свежем всплыл
тут надо не ТОГДА делать а ДУМАТЬ ГОЛОВОЙ ПЕРЕД
быть частью мирового сообщества — тогда никто ничего и не отключит.
Звучит как-то по-детски.
У физического лица есть только один способ стать частью мирового сообщества — переместиться в это сообщество физически. Но в сообществе карту МИР все равно не принимают.
Сейчас это возможно даже без ПС Мир, на секундочку, процессинг visa/mc переключили на НСПК до того как Мир заработал
А до этого был ОРС (правда вступали туда добровольно)
НЛО прилетело и опубликовало эту надпись здесь
Так, да не всегда так. У наших банков весьма совеобразный подход к ведению бизнеса.

МОСКВА, 14 марта. /ТАСС/. Приостановка транзакций по картам Mastercard и Visa, выпущенных в попавшем под санкции США «Еврофинанс Моснарбанке», связана с прекращением процессинга карт на уровне компании-подрядчика, сообщили ТАСС в среду в пресс-службе Национальной системы платежных карт (НСПК).
без проблем — не могут
Чтобы зарубежные банки начали напрямую работать с ПС их надо в этом как-то заинтересовать. Есть конечно вариант что могут договориться с MC/Visa/другими ПС(маловероятно), чтобы кто-то из них форвардил операции в нашу ПС, но это как по мне будет идти ненмого в разрез с теми целями, которых пытаются достигнуть ее созданием.

А каких целей пытаются достигнуть её созданием?

Убрать информацию о потоках денег внутри России иностранными компаниями ну и избежать коллапса системы в случае введения санкций (Особо если помнить на фоне чего эта система создавалась, по типу запрета SWIFT, запрета работы той же visa в россии и пр.)
А как это убирает информацию о денежных потоках внутри страны от глаз платежных систем? Они же продолжают тут работать и обрабатывать эти транзакции через НСПК. Неужели международным MC/VISA эти данные недоступны? Они же как-то анализируют свою работу на рынке РФ, значит обрабатывают и анализируют эти данные.
«Всегда ищи, кому это выгодно»… :) Зачем отдавать комиссию за платежи внутри страны, коих больше 95% — иностранным компаниям MC/Visa? Поэтому и создана сравнительно своя система, чтобы этот денежный поток во-первых оставить внутри РФ, во-вторых, дать заработать своим.

А политика, национальная безопасность и т.д. — это уже второе дело.
во-вторых, дать заработать своим.

всё людям, от чистого сердца
p.s. а вы знаете что появление НСПК фактически убило ОРС? тоесть буквально получилось дать заработать ''своим"
чтобы этот денежный поток во-первых оставить внутри РФ

денежный поток никогда и не выходил за пределы РФ, несмотря на то что visa/mc не российские конторы… ну разве что комиссия им платилась.
Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир.

Начнем с того, что "весь остальной мир" — это слишком сильно.
Кое-где уже принимают. Вот про али пишут. В некоторых популярных у российских туристов местах тоже.


Поддержка оплаты этими картами хуже, чем у Visa / MC.

Что имеется ввиду кроме поддержки всякими "*пэями" и пр
риема в зарубежье? Оплата телефоном возможна в некоторых банковских приложениях.


Ожидаемо, что единственная валюта расчётов — Российский рубль.

По крайней мере у одного банка еще доллар и евро

В одной далекой-далекой стране из моего сна банковская система World умудрилась нанять криворуких кодеров, которые написали сервис, через который утекает информация о части покупок с любой карты этой системы по ее номеру. Снилось, что на письма ребята из Ворлда тоже не отвечают.
НЛО прилетело и опубликовало эту надпись здесь
По той же причине, по какой идиотским можно назвать любое импортозамещение в нынешних экономических условиях.
Ну не любое. Нормально организованное импортозамещение — с реальным развитием производства, определением что именно нужно замещать не распыляясь на все подряд, с правильно организованными экономическими стимулами — вполне себе оправдано. Особенно когда правительство совсем не против сделать что-то за что на него половина мира ополчится. Реальность, конечно, ближе к тому что пишете вы.
Нормально организованное импортозамещение лучше нормально организованного рыночного регулирования?
Вполне может быть. При правильном импортозамещении должны быть экономические льготы для нового бизнеса в нужной отрасли. Чем же рыночное регулирование лучше если над государством повисли санкции и делать нужно что-то прямо сейчас?
Мир это не сберовский проект
(сберовский был про100 который загнулся)
У меня неделю назад 700р списали с карты, хорошо что заметил смс о списании. Позвонил в банк карту заблокировали. Написал заявление, но в банке намекнули, мол сам карту засветил где то, так что вероятность возврата 0%. А тут вот оно как.
«Ну у вас же страховка не оформлена. Вот была бы страховка, банк вам все вернул бы.» — практически цитата сотрудницы банка. Я после ее уговоров даже вышел из отделения. Постоял, подумал и решил, что бумага все стерпит и пусть откажут письменно. Вернулся и написал заявление. Через 3 дня деньги вернули на карту.
Мне тоже страховку впаривали, но конечно отказался, а рассматривать жалобу будут полтора месяца.
закон о национальной платежной системе требует от банка возмещения утекших у клиента средств. плюс цб требует наличия в договорах с клиентами требований по иб
пришла смс, сказали деньги вернут, вместо полтора месяца за 2 дня рассмотрели.
У меня недели две назад назад тоже слили около 15 тысяч, но сбер их вернул на через 2 дня после написания заявления, хотя обещали разбираться в течение 35 дней. Страховки не было.
Повезло, мне как бы намекают, что сам виноват.
Учитывая что карты есть не только у физиков, но и у юрлиц, проблема то размером с Восточно Европейскую Равнину, как в прямом так и в переносном смысле
И бизнес-карты привязанные к рс… И деньги чужие…

Только собственный программист мог это сделать. К сожалению от разработчиков базу очень сложно закрыть — нечего будет разрабатывать. А сделать дамп базы и скинуть на флешку дело пары минут. Скорее всего кого-то обидели деньгами или морально. Ещё иногда думаю, что советская шпионская параноя была не такая уж и параноя.

Как разработчик платежной системы с PCI DSS скажу что ничего прямо мега сложного в этом нет. Тем более для компании масштаба Сбербанка.

ее можно замокать, например
Зачем разработчику доступ на продакшен базу и кто ему этот доступ даст?
Такое может произойти, когда происходят затыки/аварии с большим влиянием. Тогда разработчики получают ограниченный доступ к боевым приложениям (и, соответственно, базам).
Значит мне повезло больше(меньше). В своё время мог выгрузить население некоторых европейских стран.И деньги-то платили небольшие, но вот нет желания продавать. Даже не из-за страха. Самому уже за последний месяц раз пять позвонили разводилы от имени сбера. А есть жены, матери и прочие наивные.
Цитата моей бывшей коллеги, которая устроилась в сбер программистом:
«В Сбере то меня в первый день на рабочую базу под общим логином пустили говорят: ну ты уж не удаляй ничего».
Очень сомнительно. Ну т.е. это могла быть какая-то рабочая база какого-то сервиса, коих туча, но не карточная. У них там в PCI-DSS зону пропуск месяцами согласовывают, да и не работают в ней программисты, им макетов с тестовыми данными за глаза.
Мне показалось это сверху сарказм был.
Тут момент какой. Разработчики работают на маленьких базах, из которых выкинули, скажем, 99% клиентов, а оставшийся 1% прошел процесс маскинга, где меняются реальные данные на выдуманные.
Ну почему же?
То что вы описали — тестовый контур.
Плюс еще много проблем возникает у реальных пользователей, и тут как раз нужно ручное вмешательство. Поэтому есть целые отделы pl\sql девелоперов например.
У нас (не Сбер) можно заказать обрезку таким образом, чтобы проблемный клиент попал в тестовый контур.
Их, кстати говоря, может быть более одного — для функционального тестирования, для нагрузочного тестирования, для разработчиков, и т.д.
С реальными пользователями имеют дело не разработчики, а саппорт. А у них если сделал больше N запросов в день, то это повод для разговора с СБ

Кто-то же выкидывает эти 99%. Просто разный уровень доступа.

Да, это делают DBA или Oracle Developer.
Значит не разработчик, а DBA слил.
У этих DBA зарплаты такие, что частенько возникает вопрос «А когда свою тачку сливать, когда у неё 10 или 20к пробега?»
НЛО прилетело и опубликовало эту надпись здесь
>240 устроит? Подробнее говорить даже не буду.
НЛО прилетело и опубликовало эту надпись здесь
Так $4k+ это норма для любого сеньора.
Что не отменяет того факта, что в масштабах России — это ЦИФРА.

Причем DBA не такая уж ценная роль.


Реальные данные в случае, если не все вокруг халатные раздолбаи, а система это набор кластеров, DNS с доступом по локальной сети через удаленные машины, то невероятно сложно заполучить базу незаметно. И совершенно непонятно, что с ней делать, утечку обнаружить слишком легко, база выдает дату взлома.


Гипотетически, продать/использовать информацию в головах синьоров, архитекторов и менеджеров, работающих с самим продуктом сильно проще.

Гипотетически, продать/использовать информацию в головах синьоров, архитекторов и менеджеров, работающих с самим продуктом сильно проще.
Такую утечку и заметить сложнее. Более того, вполне возможна трактовка текущей ситуации как: «Исключение подтверждает правило», в том смысле что сливать базу — заметно и виновника скорее всего быстро найдут. А те кто работает более осмысленно и аккуратно — те продолжат жить как жили.
Баблище прям :)
Смотрю я вот на поля — это витринка в dwh для аналитики какой-то.
Собсно к ней доступ и был.

Естественно, у кого-то есть полный уровень доступа, просто таких людей достаточно человек 10 даже в масштабах Сбербанка. Остальным сотням программистов такой доступ нафиг не нужен для выполнения своей работы. Ну а сливать базу, когда ты 1 из 10 потенциальных подозреваемых — это как-то слишком дико.

Проблемма судя по всему в том как сбер относиться к безопасности. Читал недавно отзыв о работе в сбере: из-за того что у них все процессы идут месяцами, проблемы зачастую решаються не совсем правильно. Скажем вместо того чтобы дать доступ только к одному серверу, по необходимому порту, и только запросившему пользователю, пробрасывают всю сетку, потому что «слишком много тикетов с подобной проблемой»(и это сейчас была не гипотетическая ситуация, а часть того отзыва), даже интересно куда их всевидящее сб смотрит. С подобным подходом, не удивлюсь, если доступ к базе получил кто-то прям совсем левый. Хотя сам в сбере не работал, так что подвердить или опровергнуть подобное не могу, но судя по быстрому гуглению отзывов с подобной картиной огромное количество.

Вот собственно даже на хабре отписались о качестве сберовской внутренней кухни habr.com/ru/post/438514
Не знаю как в сбербанке, но я с одной крупной компанией работал и доступа к продакшену у разрабов нет. Есть только у админов ответственных за данный продакшен. Если продакшен сломался, то отладка идет таким образом, просто пишешь админу, «посмотри этот лог», «посмотри версию этого пакета», и так далее.

"В результате внутреннего расследования служба безопасности банка при взаимодействии с правоохранительными органами 4.10.2019 выявила сотрудника банка 1991 года рождения, руководителя сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных в силу выполнения служебных обязанностей и который попытался осуществить хищение клиентской информации в корыстных целях", и за что заминусовали?

Видать в десятку Вы попали, гляньте сколько минусов. Они там писали что менеджер какой то вручную миллионы записей надергал, такому менеджеру легко можно на должность скл базы устроиться.
Представим, злоумышленника установят. Интересно, что ему грозит помимо увольнения? Штраф тысяч 30?
274 УКРФ, вероятно.

Если он из рядовых, то впаяют 274 по максимуму, а если из кого надо — вплоть до "уволили и забыли".

Я немного не понимаю, если доступа к базе из сети нет, то как с ней работают сотрудники? Заказным письмом?
НЛО прилетело и опубликовало эту надпись здесь
Если бы сеть была изолирована, то была бы такая изолированная сеть в каждом отделении своя и утекли бы данные максимум одного отделения. А если утекло 60 млн, то значит данные между отделениями как-то передаются. Не через интернет? Может быть они там записывают данные из отделений на dvd/hdd и курьерами отсылают в центральное хранилище? Хочется понять как это организовано.
В большинстве крупных компаний используются свои L2 или L3 сети между отделениями. Фактически, не через интернет. VPN, IPSec и тому подобные решения.
А через что? Через выделенные волокна/линии? В основном дораха, поэтому какой-нибудь випнет на периметре и погнали. То есть по факту таки через интернет.
У нас даже свои линии есть, не знаю как там у Сбера…
Но мне казалось, что Интернет — это то, что не изолировано программными и аппаратными решениями.

То есть я бы разделил уровень физической передачи данных и более высокие уровни.
Так и речь о том, что уровень изоляции может быть раличным
Доступ есть только с рабочих мест видимо.
А как тогда работает Сбербанк онлайн через интернет?
Будет смешно, если сейчас банк родит историю, что это база не из банка утекла, а это трояны насобирали информацию с телефонов и компов.
И кстати, о троянах. Теперь с базой сопоставлений телефон/карта открывается простор для создания троянов для перехвата/отправки смс от банка, и внедрения этих троянов в легитимные приложения, с последующей таргетированной атакой.
А как тогда работает Сбербанк онлайн через интернет?

Через кучу прослоек.
Так если есть какие-то прослойки (сервисы?), то о какой изоляции можно вообще говорить? Или что вы имеете ввиду под прослойками?
Отдельно проковырянные дырки с ограниченным доступом, аудитом, и проверками на уровне бизнес-логики. Апишечка.

Ну тоесть багов в них быть никак не может и преодолеть ограничения никак нельзя?

Баги могут быть везде. Но эти дырки еще найти надо (например, расковыряв сберонлайн, или АРМы), а потом протыкать, что в целом довольно палевно.
Однако это рушит утверждение «полностью изолированной от внесшней сети».

В Сбербанк онлайн номера карт не отображаются (только последние 4 цифры), а в дампе они есть. Так что отмазка не прокатит.

Очень умные трояны, видящие сквозь звёздочки.

Изнутри утащили.
Надеюсь, они хранились на надежных серверах на территории России, как того требует закон

Цель этого закона не в надёжности хранения.
(но сарказм я конечно понял)

Ну тут и продавец слитой бд должен быть зарегестрирован в ркн как оператор, осуществляющий обработку персональных данных.
Иначе как можно верить, что данные достоверны?

Кстати, проверяет же РКН, что эти персональные данные действительно хранятся там, где надо. Как они это, интересно, делают? То есть, у них в принципе должен быть доступ ко всем персональным данным всех людей во всех компаниях вообще. И что мешает проверяющему рядовому сотруднику слить всё это? /Параноя моде офф/
Как как — как обычно.
Приходят и смотрят.
Ну и видят то, что им показывают.
Находят пару подготовленных косяков, предписание и штраф, и уходят довольные рапортовать, что все ок.
Ну понятно, что на практике скорее всего такой формализм и показуха, но ведь если всё по закону делать, то в распоряжении РКН должен быть доступ ко всем персональным данным. Иначе как проверять то?
Все по закону делать с современными закнами вообще не всегда в принципе возможно.
Проверять, сертифицировано ли оборудование?
Или утечка была раньше 24 августа, или это далеко не первая учетка.
17 июля этого года мошенники позвонили моей жене и у них были вообще все данные, включая номера карт и счетов сбера.
Это именно что утечка, а данные одного абонента можно получить мошеннически (например, с фишинговых сайтов) или «пробивом» — покупкой данных конкретного абонента у операторов базы.
Фишинговые сайты сразу отлетают — для всего в сети мы уже очень давно используем мои виртуальные карты. Ну и жена у меня информационно обазована.
«Пробив» — да, может быть. Но вроде бы как операторы не могут увидеть полный номер карты.
Интересно, а компроментация кредитной карты и с последующим перевыпуском помогут беде?
Опять сотра кинули с баблом или не дали обещанного повышения по службе, когда уже поймут жопошники, что обманывать не хорошо, себе дороже потом выходит.
А чего заминусовали? Не так что ли? Это первое, что мне пришло в голову, когда я узнал данную новость. Жид платит дважды.
Там такие зп, что сливать базу — надо быть идиотом.
База слита, зп «такие», значит работают и вправду идиоты.
Думаю минусуют те, кто сам не чист на руку, их не так много к счастью.
На хабре стабильно, за пост, что жопошников надо наказывать, получаешь в районе 10 минусов, я проверял специально)
Но такой минус за 2 плюса пойдет и вообще нужно писать то, что думаешь.
Больше минусов, меньше зря потраченного времени в обсуждениях.)
ЖИД это весьма оскорбительно среди евреев много нормальных ребят, не все они воры и хапуги, есть же хорошее русское слово жопошник.
Там такие зп, что сливать базу — надо быть идиотом.

Это когда то было знакомый говорил. И потом не обязательно дело в деньгах, набор гадостей которые люди друг делают ничем не ограничен. Если бы это был мошенник, он бы просто по базе работал в тихую, а не в паблике бы ее палил.
Себе дороже? И сколько-же они потеряют? Подозреваю, что нисколько.

Про форум заблокированный РКН смешно и грустно. Мы заблокировали, мы молодцы, выглядит как будто мешок не прозрачный на голову надели и рады.
Утечки предотвращать? Да не, мы просто не будем на них смотреть.

CEO банка просто обязан подать в отставку!
Сначала слив базы налоговой, теперь сбер банк и все за неделю, что дальше? госуслуги?

Ну или это хитрый ход сберю банка по заманиванию клиентов для перевыпуска карт с принудительной биометрией. Но звучит бредово т.к. финансовые и репутационные потери большие.
Перевыпустить карту точно стоит. Паспорт тоже уже пора бы, фотка старая.

Они ж за перевыпуск деньги захотят… В договоре нет условия о том, что перевыпуск карты, связанный с уточкой ее данных из банка производится за счет банка. Т.е. банк сейчас еще и заработает.

дальше скажут, что это были атаки на Российский сектор и надо изолировать наш интернет.

не подсказывайте, плз((

не подсказывайте, плз((


К сожалению, это придумали ещё до нас. Просто вводится всё это постепенно. Вспомните как вводили реестры запрещённых сайтов с блокировками. Подавали под соусом защиты детей. Можно покопаться в старых новостях и при достаточной паранойе найти «корреляцию между определёнными негативными событиями и принятыми на фоне этого законами». В наших реалиях трудно понять, с согласия руководства, или без него, был этот слив. Так или иначе, это событие «привлекло необходимое внимание, вопрос о безопасности данных был поднят в СМИ».
интересно, что будут делать, когда интернет изолируют, а «атаки» всё равно продолжатся?
А что с тех атак, если о них негде будет прочитать?
Да ладно, даже российские сайты сейчас тиражируют эту информацию.
>репутационные потери
>Сбербанк

СберВойны, эпизод I: Скрытая угроза
(Греф борется с программистами)
СберВойны, эпизод II: Война офисов
(https://m.habr.com/ru/post/438514/)
СберВойны, эпизод III: Месть кодеров
(Вы находитесь здесь)

а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.

Вранье. Покупал билеты на самолет и поезд без смс подтверждения. Но это не только на картах Сбера наблюдается.

Это потому, что на некоторые виды операций подтверждение смс специально отключают.
Оно понятно, но непонятно зачем. У знакомых так же оплачивали отель без подтверждения. В то же время за перевод небольшой суммы незнакомому человеку тебе через раз блокируют операцию и требуют подтверждать ее по телефону))
Как мне кажется, основная идея в том, что подтвержденные операции по переводу физическим лицам обычно не отменяются/не оспариваются, пока нет решения полиции/суда. Отель же никуда не денется (обычно), поэтому операцию можно подтвердить, а потом отменить/оспорить без особых усилий.
Но это правило распространяется на очень ограниченное количество юр. лиц, да еще и тех, где ты потратишь кругленькую сумму. Мне не нравится такая избирательность.
Зачем как раз понятно. Это делается по просьбе принимающей платежи стороны, которая по каким-то причинам не может/не хочет использовать подтверждение платежей смс. Такси хороший пример. При оплате из приложения придется открывать страницу банка с формой подтверждения кода из смс, что часто не возможно.
При оплате из приложения придется открывать страницу банка с формой подтверждения кода из смс, что часто не возможно.

Приложения от всяких доставок с этим справляются, а приложение от такси не справится? С чего бы? Тем более сомнительно, что это применимо к сайтам авиакомпаний/РЖД, у которых таких проблем в принципе быть не должно, и через которые проходят суммы значительно крупнее, чем через такси (где упрощение может быть обоснованным хотя бы удобством)

Хм. Да, не только для сбера, но замечал такое только для платежей в пределах 1000р.

нет, плачу жкх с недавнего времени, месяца 3-4 смс перестал спрашивать.
Тоже хотел написать. Много где не требуется смс пароль, перевод идет посредством CVV кода. Спрашивается, зачем это здесь написали
Обычно такие транзакции оспариваются проще всего. 3D secure не было — проблема мерчанта.
Был опыт? Есть сомнения, что какие-нибудь 15к за билет так легко вернут, ведь покупать можно не только на себя, и потом иди докажи, что не по собственной воле это сделал
Зависит от жесткости регулятора и человечности конкретного банка в той или иной стране.
По правилам — должны вернуть.
А как это происходит? Я иду в полицию, завожу дело, потом полиция обращается в банк за возвратом?
Нет, достаточно написать заявление в банк.
Насколько мне известно, при проведении операций без 3DS / CVV2, все риски переходят на сторону банка-экваера, и в этом случае при возникновении фрода эмитенты охотнее идут на встречу своим клиентам.
Можно в теории, даже есть такая «теневая» услуга как рефанд сервис. Но это всё же мошенниество, будете турьма сидеть потом.
какая неожиданная новость

British Airways оштрафовали на 230 млн долларов за подобное обращение с данными

Кто оштрафует Сбер?
Даже если это произойдет, это как переложить деньги из одного кармана в другой.
Хотя, возможно, что это даст положительный толчок их безопасникам и админам, в т.ч. их DBA…
Ну вообще там данные европейских граждан, так что данные о сливе будут переданы в Еврокомиссию. А в самой Европе работает Sberbank Europe AG, который является дочкой Сбера. Так что вполне могут и оштрафовать.
Судя по количеству карт — это не полная база. 60 миллионов карт при более чем сотне миллионов пользователей (если верить сбербанку конечно), да еще и включая предыдущие карты, это точно не полная база. И сбер вполне может морозиться что клиенты из Европы не пострадали пока их носом не ткнут. Найдется ли европеец который найдет себя в этой слитой базе и подаст на них в суд?
Они сами обязаны сообщить, если пострадали европейские граждане. Несообщение об инциденте само по себе нарушение, за которое полагае