|
Сабж. Кто-то в курсе, кто-то нет, но прочитать стоит.
https://www.opennet.ru/opennews/art.shtml?num=45325 |
ам/кг
статья высосана из.... пальца! речь идет про старые уязвимости, давно закрытые патчами (supee-6788), а вот про уязвимости этой недели в мадженто1 ни слова (supee-8788)... |
Двухэтапная идентификация платежей рулит.
|
Цитата:
Цитата:
|
У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.
|
Цитата:
|
Пруф про перхват смс или не было.
|
Цитата:
https://habrahabr.ru/company/pt/blog/283052/ https://habrahabr.ru/post/214829/ https://habrahabr.ru/company/pt/blog/307156/ |
В форме оформления заказа и номер телефона есть как правило... даже если нет, то добавить это поле - никто не заподозрит.
Как дальше жить... |
Так же иногда возможно сделать аккуратную переадресацию на свой магазин/заказ - придёт смс на ту же сумму, но оплата уйдёт совсем не тому магазину, на котором вбивали данные.
Дальше больше, на хабре пишут что смс с кодом подтверждения не всегда обязателен, даже если 3DS включен. Т.е. угона данных карты достаточно для её опустошения. Еще круче со смартфонами - посмотрите сколько приложений требует доступ к смс, даже если они им нафиг не нужны. И написав такое приложение или получив доступ к админке, можно сопоставить с базой пластика, которые без смс ну никак. И это только кажется технически сложным... Как вывод: дополнительная смс валидация это хорошо и лучше чем без неё, но надежность процентов 90 или ниже. |
| Время: 15:03 |