{"id":860,"title":"\u041f\u043e\u043b\u0451\u0442 \u043a \u042e\u043f\u0438\u0442\u0435\u0440\u0443 \u0432 \u043d\u043e\u0432\u043e\u043c \u0440\u0435\u043b\u0438\u0437\u0435 \u0412\u0430\u043d\u0433\u0435\u043b\u0438\u0441\u0430. \u041a\u043e\u0434\u0437\u0438\u043c\u0430 \u0443\u0436\u0435 \u0437\u0430\u0446\u0435\u043d\u0438\u043b","url":"\/redirect?component=advertising&id=860&url=https:\/\/tjournal.ru\/umg\/450423-poslushat-novoe-kosmicheskaya-opera-ot-sozdatelya-saundtreka-k-begushchemu-po-lezviyu&placeBit=1&hash=d7cf24ebd26468490c3963a5f0d2007e10183cc7470e797c409220708a49a72a","isPaidAndBannersEnabled":false}

Правда ли, что Booking.com передаёт отелям данные банковских карт клиентов в открытом виде Статьи редакции

Сервис утверждает, что «безопасно передаёт информацию», но при желании сотрудники отелей могут воспользоваться CVC-кодами.

23 июля на «Пикабу» обратили внимание на то, что сайт для бронирования отелей Booking.com запрашивает полные данные о банковской карте, включая CVC-код. Подобные жалобы появлялись и раньше, так как пользователи обеспокоены, что информация попадёт к неизвестным владельцам отелей.

TJ разобрался, насколько защищены банковские данные при работе с Booking.com и можно ли не делиться с отелем секретным кодом.

Booking.com не только запрашивает CVC-код, но и передаёт его отелям

Как рассказал пользователь «Пикабу», во время заселения в отель в Малайзии он увидел на ресепшене бумагу с распечатанными данными его банковской карты. По его словам, он не передавал сотрудникам эту информацию и указывал её только на сайте Booking.com.

Обычно отель запрашивает у сервиса полные реквизиты карты, чтобы списать деньги за бронирование заранее или уже после выезда клиента, а также при отмене заказа. Однако пользователь Oyshoboy заподозрил, что сотрудники отеля смогут позднее использовать данные для кражи денег с его счёта.

Используя эти данные, администратор отеля списал деньги с карты для оплаты бронирования. Я даже не вводил пинкод! Получается, букинг сливает секретные данные карт всем, кому ни попадя, и с помощью этих данных можно проводить операции без спроса владельца карты.

Oyshoboy
пользователь «Пикабу»

В 2013 году пользователь Фейсбука Пол Энтони (‎Paul Antony‎) рассказал о схожем случае в отеле в Малайзии. С 2012 года похожие претензии поступали как от российских, так и от англоязычных клиентов. В 2013 году «Банки.ру» сообщали, что Booking.com перестал запрашивать у своих клиентов CVC-код в большинстве случаев, однако сервис по-прежнему не несёт ответственности за противозаконные действия работников отелей.

Специалист по системам бронирования в 2012 году рассказывал vc.ru, что факсы с данными клиентов высылаются отелям «из соображений безопасности», чтобы не пользоваться электронной почтой.

Дело в том, что тот же Booking.com не снимает деньги за номер с вашей банковской карты, а просто передаёт данные в отель, который сам даёт команду к транзакции денежных средств. И если вдруг с вашей карты сняли лишние деньги, то любой перевод средств можно с легкостью опротестовать, связавшись с гостиницей. Эта практика уже давно отлажена на Западе.

специалист по системам бронирования

В Booking.com говорят, что всё безопасно. Но не объясняют, как проводят транзакции без CVC-кодов

Специалист по системам бронирования рассказал, что отели работают с букингом через закрытую систему Extranet. От системы к отелю по факсу приходит информация с данными банковской карты, но без CVC-кода и последних четырёх цифр. Эта информация передаётся через Extranet, где хранится не больше трёх дней.

При этом отели могут вовсе отказаться от получения CVC-кодов, если они не нужны им для банковских транзакций. Также сервис не требует секретных кодов от владельцев карт American Express и напоминает клиентам, что «спрашивая у гостей код, вы можете уменьшить число бронирований».

В Booking.com не ответили на вопрос TJ о том, почему не все отели запрашивают CVC-коды и как в таком случае они проводят банковские транзакции. Представитель сервиса лишь подтвердил, что данные клиентов хранятся в сервисе для партнёров Extranet с двухфакторной аутентификацией. Однако соблюдение правил безопасности «остаётся ответственностью объектов размещения»: то есть, если сотрудник отеля может заполучить ваш CVC-код.

Все партнёры Booking.com соглашаются с нашими условиями и положениями, которые требуют от объектов размещения соблюдения определенных процедур обработки данных для защиты клиентов, эффективно и ответственно управляя своим бизнесом.

В тех редких случаях, когда мы получаем сообщения о ненадлежащих действиях партнеров, мы, как и в этом случае, незамедлительно проводим расследование.

представитель Booking.com

В соглашении Booking.com для партнёров прописано, что отели действительно могут запрашивать банковские данные и CVC-коды клиентов. Однако есть несколько ограничений:

  • Отели могут запрашивать банковские данные не больше трёх раз и не больше 10 дней после выписки клиента;
  • Запрос могут отправить только верифицированные отели, которые прошли проверку Booking.com;
  • Браузер на компьютере отеля должен быть обновлён до последней версии, чтобы поддерживать работу с сервисом Extranet.

Как сохранить свои данные в безопасности

В феврале 2018 года «Тинькофф-журнал» рассказал, как можно обезопасить свои банковские данные при работе с букингами.

  • Пользоваться отелями, которые не требуют банковской карты и согласны на банковский перевод или оплату через сервисы вроде Qiwi;
  • Завести отдельную банковскую карту для бронирования отелей, оплаты билетов или подписки на сервисы, где хранить только часть личных средств;
  • Лично договориться с владельцем отеля на оплату наличными без предварительной заморозки денег.
{ "author_name": "Николай Чумаков", "author_type": "editor", "tags": ["\u043f\u0443\u0442\u0435\u0448\u0435\u0441\u0442\u0432\u0438\u044f","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0434\u0435\u043d\u044c\u0433\u0438"], "comments": 128, "likes": 49, "favorites": 13, "is_advertisement": false, "subsite_label": "news", "id": 74210, "is_wide": true, "is_ugc": false, "date": "Wed, 25 Jul 2018 22:31:30 +0300", "is_special": false }
0
128 комментариев
Популярные
По порядку
Написать комментарий...
Драгоценный пёс_анон

Орнул со статьи тинькофа.
Банк в цивилизованной стране: вам не очень беспокоиться, защита ваших денег - это наша забота. Если с кредитки что-то украдут, то это украдут у банка, а не у тебя.
Банк в России: клиент должен обезопасить себя сам, если у тебя украдут деньги с кредитки, то ты должен будешь их вернуть банку, ещё и с процентами.

12
Архитектурный череп

Если вы сами предоставили полные данные своей карты третьему лицу, то, вообще-то, это вы нарушили условия пользования банковской картой. Тинькофф хотя бы написал об этом целую статью. Понятно, что очень сложно отделить скимминг от таких случаев, но в статье, кстати, нигде не написано про проценты и так далее. По факту, Тинькофф, как и любой другой наш банк, примет заявление от клиента о том, что эти транзакции не были авторизованы.

0
Драгоценный пёс_анон

если вы сами

Кто ж с этим спорит? Вся разница, что в России клиент должен будет доказать банку, что не сам предоставил добровольно данные. В Европе - это обязанность банка.

1
Человеческий хичхакер

Информация не просто "из первых рук", я - владелец нескольких объектов размещения. Так вот, пара не-секретов, в общем-то:
1. Букинг передает все данные гостя в открытом виде владельцу аккаунта объекта размещения. В зависимости от контракта это могут быть: номер карты, срок действия, имя, cvc/cvv-и прочий код. Ты админ на стойке рецепции? Отвечаешь за размещение гостей? Скорее всего, у тебя тоже есть доступ в акк. букинга.
2. Объекту размещения типа "Отель" в России вообще не нужен cvc-код, операторы эквайринга позволяют списывать деньги с любой карты без его введения. Против этого могут помочь только ваши личные настройки на запрет таких списаний (типа региональных настроек или просто запретов на списания).
3. Обратная сторона: любые операции, где карта no show, т.е. физически не присутствовала при оплате, можно оспорить и с вероятностью 99% вернуть деньги - через визу/мастеркард. Долго, муторно, но при должном понимании механики - гарантированно.

зы: букинг делает это все наиболее корректно из всех ОТА-каналов. экспедиа, островок, эгода, озон, и иже с ними делают передачу данных ваших карт еще более криво.

кидайте свои каверзные вопросики, я сегодня в хорошем расположении :)

9
Прикладной Данила

КАК МОЖНО СТАТЬ ВЛАДЕЛЬЦЕМ НЕСКОЛЬКИХ ОБЪЕКТОВ РАЗМЕЩЕНИЯ В ТЕЧЕНИИ ОДНОЙ ЖИЗНИ ЗАВИСТЬ
мы тут шутим как черти в аду за подписку, а у тебя несколько объектов размещения

0
Человеческий хичхакер

я рид-онли этот сайт уже пару лет, но после твитов Полины залогинился под отдельным акком - а то мало ли, постучат завтра в дверь (и это не шутка)

2
Буржуазный ящик

КАК МОЖНО СТАТЬ ВЛАДЕЛЬЦЕМ НЕСКОЛЬКИХ ОБЪЕКТОВ РАЗМЕЩЕНИЯ В ТЕЧЕНИИ ОДНОЙ ЖИЗНИ

Заработать на них, взять в кредит, получить в наследство, брать в долгосрочную аренду оптом и сдавать на краткосрочку в розницу вот это вот все.

0
Призванный кофе

Он даже на фейк акк подписку купил что бы нам ответить!!!!

0
Остальной яд

Я работал в техподдержке Booking полгода. На самом деле, данные карт букинг не хранит, а сразу передает в отель (по крайней мере, нас так учили). И это уже на совести отеля, как они распоряжаются этими данными. Бывали и отели, которые списывали суммы несколько раз или неправильные суммы, бывали и откровенные мошенники. Но на этот случай у букинга есть полностью отработанная процедура возврата денег: сначала специалист техпо связывается с отелем и просит вернуть деньги в течение 2 недель. Если этого не происходит, сотрудник букинга просит гостя предоставить или выписку из банка или скрин из приложения, что деньги были списаны без основания, и деньги 100% возвращаются гост. А насчет, пинкода и смс, дело в том, что банковская система в России очень сильно отличается от всего остального мира и много где cvc код не нужен, чтобы совершить оплату (Amazon). Короче, нет причин для паники, все ок.

8
Безопасный калькулятор

Короче, нет причин для паники

Вообще-то есть. CVC/CVV-код - это конфиденциальная информация, которая должна передаваться по защищённым каналам и не должна нигде храниться после завершения транзакции, этого требует PCI DSS. А тут получается, что отель может распечатать его на бумаге.

2
Энергетический цветок

Комментарий удален по просьбе пользователя

2
Остальной яд

этим спамером был... ))

0
Былой франт

банковская система в России очень сильно отличается от всего остального мира

Это не банковская система а visa. А америке люди привыкли послушно платить им за обслуживание, фактически страховку за фрод и жить в состоянии когда любой магазин в любое время может списать у тебя сколько хочет зная только номер карты. Практически просто любой может взять у тебя сколько хочет, а разбираться будут потом. А у наших людей от этого пиздеца глаза на лоб лезут. И совершенно не понятно нахуя платить дармоедам из визы за их же насквозь дырявую систему. У них был шанс сделать хотябы NFC оплату с подтверждением, они его отклонили, специально оставили дырявую как есть потому что их бизнес построен вокруг этих дыр, вокруг расследования фродов за которое платит держатель карты

0
Компьютерный завод

Дед у нас нынче в п̶и̶з̶д̶а̶б̶о̶л̶ы̶ банковские эксперты записался?
любой магазин в любое время может списать у тебя сколько хочет

Если ты у него покупку недавно не делал, то так могут буквально несколько крупнейших магазинов. Самый известный Амазон, у которого две главные фичи -- доставка и поддержка, которая все вопросы решает быстро и (обычно) в пользу клиента. А ты тут про какие-то "каждый может" заливаешь.

2
Призванный кофе

Это не банковская система а visa.

Дед записался в фантазеры опять? Иди таблеток прими.

Это именно банки. По правилам МПС (и визы и мастера) банк обязан опротестовать операцию по заявлению клиента, если она не подтверждена через цифровую подпись (тот же 3ds). Но по факту наши банки на хую вертели наших граждан и у половины банков (того же тинькова АЗАЗАЗА) даже НЕТ ОТДЕЛА ОПРОТЕСТОВАНИЯ блеать.

0
Народный ГОСТ

Больной вопрос. Почему одним хостам приходят бабки в первых числах а другим через две недели?

0
Остальной яд

Зависит от оооочень многих факторов: от банка, отеля, сотрудников техподдержки. Многие тяжелые тикеты часто перекидывают друг другу, как и везде. Так что продолжай долбить службу поддержки. Лучше всего позвонить, потому что при звонке сотрудники техпо должны писать комменты по поводу всего, что происходило в разговоре. И в следующий раз, как звонишь, то обычно уже сотрудник знает, что происходит. Хотя некоторые сотрудники пидарасы и не оставляют комментов, поэтому на всякий случай лучше запомнить имя, с кем общаешься.

2
Внезапный Влад

Комментарий удален по просьбе пользователя

0
Приятный цвет

из первых рук: передаёт в отель, сам видел и неоднократно свои данные на распечатках. полная лажа, по-сути любой может увидеть или отзумав, сфотографировать.

для интернет покупок с сайтов, в которых я не уверен (в том числе и букинга), у меня отдельная карта с приложением на телефоне и она все время заблокирована. можно было бы использовать виртуальную, но тут проблема, что большинство отелей хотят физическую карту для резервации залога/депозита

8
Обязанный спрей

Комментарий удален по просьбе пользователя

0
Призванный кофе

Ну так то виноват тут ты. По правилам букинга, так что они все делали в рамках договора.
А вот ты нашкодил и слился. Отвечать за свои поступи? Не, зачем...

0
Остальной яд

так а почему вы бронь не отменили, если поняли, что ошиблись?

0
Неизвестный паркур

Мне нравится как это продается как срыв покровов от пикабу, про это писали ещё несколько лет назад.

4
Очевидный Женя

Т—Ж на TJ ❤️❤️❤️

3
Фактический ихтиандр

я как-то другу в устной беседе рассказываю, мол читал на тж то да се, а он в ответ, что не видел таких новостей. А оказалось то, что мы разные тж читали. Грустная у меня жизнь так то если посмотреть...

1
Талантливый рубин

Комментарий удален по просьбе пользователя

1
Религиозный микроскоп

Пользоваться отелями, которые не требуют банковской карты и согласны на банковский перевод или оплату через сервисы вроде Qiwi

или оплату через сервисы вроде Qiwi

Хоть где-то он пригодился, если не считать покупку наркотиков!

3
Арбитражный блик

Мне кажется эта проблема в основном ру сегмента из-за особенности банковской системы. В США, к примеру, CVC код со всеми данными карты диктуют по телефону при оплате пиццы или такси, во всех отелях и заправках, аппарат сперва запоминает твои данные карты, а уже потом, после оказания услуг, списывает сумму. Тоже самое с ресторанами - официант приносит чек, ты отдаешь карту, он уходит с ней и приносит тебе обратно 2 копии чека, на одном ты пишешь сумму с чаевыми или просто подписываешь, а второй забираешь себе. Так вот, сумму списывают уже после того как ты вышел из ресторана/кафе.

Тут никто не парится на счет краж с карты, ибо в любой момент можно позвонить в банк и запросить отмену неизвестной тебе транзакции и разберутся без тебя, ибо это уже финансовые махинации.

2
Неизвестный паркур

У нас тоже можно, называется chargeback.

0
Арбитражный блик

Да, только он работает, если вообще работает, очень странно.

На примере ВТБ и Альфы, которыми я пользовался там, не вернули ничего, а на кражу средств с карты предложили обратиться в полицию и просто перевыпустить карту, которую придется ждать неделю вроде (1700 руб вроде с одним банком было и около 900 с другим).

Как было тут:
Вижу левое списание, заехал в ближайший офис (можно было позвонить, просто по пути было и лень с автоответчиком общаться), сказал «вот эта вот транзакция не моя, я хз что это, заблокируйте, перевыпустите карту, предложите решение». Мне сразу же оформили новую карту и выслали по удобному адресу, выдали временную карту, чтобы я мог пользоваться счетом, средства вернули при мне и предложили бесплатно оформить 2-3 карты с одним лицевым счетом и разными карточками, чтобы если вдруг одну забыл дома, другая всегда в машине.

А как щас работает chargeback в РФ?

0
Служебный химик

Разве 3D secure не защитит от этих махинаций? Все операции возможно лишь при подтверждении из смс

0
Летний Данила

3D Secure это опция, которую продавец может игнорировать

6
Служебный химик

Что значит может игнорировать? Если на карте эта опция включена, то подтвердить операцию сможешь лишь ты, даже если у продавца все данные карты

0
Неизвестный паркур

Если продавец решает игнорировать 3d secure, он берет на себя ряд рисков и повышенную ответственность. Если эта транзакция была мошенническая, то продавец будет из своего кармана возмещать средства потерпевшим

0
Мертвый торшер

3D-Secure не так распространен на западе, как у нас. В Европе он в некотором роде присутствует, но там вроде какие-то кодовые слова, а не смски.

Тот же Amazon/Levi's (US)/Apple (US)/кто угодно еще проводит проводит операции без 3D-Secure.

Даже больше, Амазон не требует CVC для проведения платежей, нужен только номер карты, срок и имя/фамилия владельца (и то их можно написать любые)

2
Безопасный калькулятор

но там вроде какие-то кодовые слова, а не смски

У Сбера, например, тоже можно использовать заранее сгенерированные пароли

0
Безопасный месяц

Тем не менее тж продолжает вопрошать:
В Booking.com не ответили на вопрос TJ о том, почему не все отели запрашивают CVC-коды и как в таком случае они проводят банковские транзакции.

0
Неизвестный паркур

На западе очень по разному 3d secure работает, есть смс, есть пароли, есть одноразовые коды. Как конкретно имплементировать решает банк.

0
Авиационный каякер

Вот в том числе и поэтому оплатить в российском онлайн магазине нероссийской картой тот еще геморрой. Остальные банки то и не подозревают про обязательность 3d secure, 99% любых транзакций просто не проходят.

0
Скучный корабль

пользователь «Пикабу»

Опять "самый умный", который несёт хуету?

–4
Защитный холод

нет, это другой юноша

0
Классный историк

Вообще, иной раз появляется паранойя от того, что покупку можно совершить просто обладая данными, которые напечатаны на куске пластика и в некоторых ситуациях могут быть считаны кем угодно. А ты потом доказывай, что не верблюд.

1
Крепкий крюк

Да, по-моему это тоже какой-то пиздец
Надо переходить на пайпал или что-то подобное

0
Классный историк

Оплата с отпечатком пальца шикарная вещь, жаль не распространена в интернет-магазинах.

0
Защитный холод

что б я делал без таких ценных советов Тинькофф-журнала. Ведь додумались же как обойти хитрую систему!

–3
Отдаленный нос

Несколько месяцев назад видел эту статью. Рассказал другу, а потом не смог найти. Что это было? :)

0
Читать все 128 комментариев
null