"Ситибанк - край клинических идиотов"

[K_Mikhail 807]

"Ситибанк - край клинических идиотов"

http://reedcat.livejournal.com/288659.html

[alexgr 556]

Хотелось бы посмеяться, но хочется плакать - самые большие провалы в системе защиты банковских карт как раз и есть в США. Например Херленд процессинг, который не смотря ни на что в составе уважаемых членов мирового сообщества карточного бизнеса. И зачем им защищать данные держателей карт?

как пример

[Danilka 678]

У credit europe bank аналогичная регистрация.

[Сергей Ильин 1538]

Чего еще можно ожидать от "сектанского" банка, представители которого подобно кришнаитам пристают к пассажирам в аэропорту и настойчиво уговаривают оформить кредитную карту? Ни чуть не удивлен, очень странный банк не вызывающий абсолютно никакого доверия

[mcomodo 17]

Чего еще можно ожидать от "сектанского" банка

На станции метро Печатники достают представители банка Тинькофф . По кредитной карте банка Тинькофф Кредитные Системы предлагается взять кредит под 12,9 процентов годовых. А на деле получается значительно больше – 43,8.

[Danilka 678]

На станции метро Печатники достают представители банка Тинькофф . По кредитной карте банка Тинькофф Кредитные Системы предлагается взять кредит под 12,9 процентов годовых. А на деле получается значительно больше – 43,8.

Хорошо хоть нас они еще возле офиса не достают. Работаем в одном здании.

[Umnik 997]

Я тебе больше скажу. Администратор ФК ЛК работает в Тинькоффе в Диапазоне

[alexgr 556]

но Тинькофф хоть проект начал безопасности данных платежных карт

[Danilka 678]

Я тебе больше скажу. Администратор ФК ЛК работает в Тинькоффе в Диапазоне

Тото я его там часто вижу..

[KVG 5]

Чего еще можно ожидать от "сектанского" банка, представители которого подобно кришнаитам пристают к пассажирам в аэропорту и настойчиво уговаривают оформить кредитную карту? Ни чуть не удивлен, очень странный банк не вызывающий абсолютно никакого доверия

Интересно, где это ты встречал таких "сектантов" ? Могу поспорить, что это было в каком-то российском аэропорту .

Поскольку наш российский Сити банк к американскому имеет посредственное отношение. У них разве что только названия одинаковые . А все остальное абсолютно разное, вплоть до банального отношения к клиентам.

[Кирилл Керценбаум 671]

А что-то я не понял, по поводу чего такое обсуждение "проблем" Ситибанк-Онлайн? Я вот давно их клиент, претензий - вагон и маленькая тележка, но в другой плоскости. Онлайн новый весьма кривой, но вполне юзабельный, бывает и хуже, но вот автора "Ситибанк - край клинических идиотов" не понял. В чем проблема то? А когда в Интернет-магазинах просят ввести CVV код - это видимо не проблема, а тут ПИН-код - большая проблема, надо же. HTTPS видимо уже отменили, а если кто-то страдает паранойей - Welcome to SafeMoney в Kaspersky Internet Security 2013

[dot_sent 140]

А что-то я не понял, по поводу чего такое обсуждение "проблем" Ситибанк-Онлайн? Я вот давно их клиент, претензий - вагон и маленькая тележка, но в другой плоскости. Онлайн новый весьма кривой, но вполне юзабельный, бывает и хуже, но вот автора "Ситибанк - край клинических идиотов" не понял. В чем проблема то? А когда в Интернет-магазинах просят ввести CVV код - это видимо не проблема, а тут ПИН-код - большая проблема, надо же. HTTPS видимо уже отменили, а если кто-то страдает паранойей - Welcome to SafeMoney в Kaspersky Internet Security 2013

Между CVV2 и PIN разница весьма существенная - по CVV2 вы никогда не сможете снять деньги в банкомате. В любом конверте с PIN-кодом, который выдается в банке с карточкой, имеется предупреждение - что-то вроде "PIN-код известен только вам, никогда и никому не сообщайте его, даже сотрудникам нашего банка".

Кроме того, автор поста обратил внимание на то, что номер карты и PIN мало того, что запрашиваются при регистрации в онлайн-сервисе, так еще и _хранятся в базе данных_ этого самого онлайн-сервиса. Мало того, что это прямое нарушение PCI DSS, так еще и судя по кривости этого самого онлайн-сервиса, сломать его относительно несложно. Так что HTTPS тут уже не поможет - речь идет не о MITM на этапе связи с сервисом, а о защите данных в БД сервиса.

Если злоумышленник, зная ваш номер карты и CVV2, совершает покупки в онлайн-магазинах, то воспрепятствовать этому можно сравнительно легко - просто закрыть карту для онлайн-платежей, оспорить уже проведенные транзакции и (если вам очень важны онлайн-платежи) завести новую карту, уже уделяя больше внимания безопасности ее реквизитов.

Если же у злоумышленника на руках оказывается информация, включающая PIN, то он может сделать копию вашей карты и снять ваши деньги в банкомате где-нибудь в Бразилии. В таком случае вы ничего никому не докажете.

[Danilka 678]

В чем проблема заменить банк?

[Umnik 997]

Это может быть зарплатный клиент, например.

[Danilka 678]

Это может быть зарпталный клиент, например.

Это отдельная беседа.

[alexgr 556]

ввод легитимного PIN кода мгновенно делает съем денег легитимным. Опротестовать такую транзакцию просто нереально. Хранение PIN кода или PIN блока ЗАПРЕЩЕНО всеми платежными системами! Это относится к персональной информации клиента

Исключения возможны, но там столько процедурных заморочек, что даже не стоит пытаться их выполнить. Кроме того, передача PIN в открытом виде запрещено. PIN security требует, чтобы он уходил из устройства ввода в уже зашифрованном вмде

Клавиатуры АТМ и PIN пады так и построены и сертифицируются специальным образом

[Сергей Ильин 1538]

Хорошо хоть нас они еще возле офиса не достают. Работаем в одном здании.

Живут по понятиям ребята - не гадь где живешь и работаешь

А когда в Интернет-магазинах просят ввести CVV код - это видимо не проблема, а тут ПИН-код - большая проблема, надо же.

Кирилл, между CVV и ПИН - большая разница все таки. dot_sent верно написал, что ПИН-код категорически запрещается передавать кому-либо. Деньги, которые снял кто-то через банкомат с вашим ПИН-кодом вернуть едва ли получится.

Интересно, где это ты встречал таких "сектантов" ? Могу поспорить, что это было в каком-то российском аэропорту .

В российских они постоянно подходят, но я видел их где-то еще и в других странах. В общем этот банк blacklisted

[B . 90]

О, вот раздолье для ребят, промышляющих веб-инжектами...

[Илья Рабинович 521]

Этот банк и у меня в чёрном списке, но тут другая история. Мне в почтовый ящик свалилось письмо от Citibank к адресату не с моей фамилией и именем о том, что сей человек открыл у них карту, снял деньги по самую границу кредитного лимита и теперь должен вернуть сию сумму. Похоже, мошенники поработали. Я позвонил с Ситибанк, сказал, что я не я и лошадь не моя, меня заверили в том, что больше мне писем от них с уведомлениям о необходимости оплаты не придёт. Пришло ещё два подобных письма (правильный адрес, неправильные имя и фамилия). Но самое интересное было в третьем- мне предлагали открыть у них новую кредитную карту! Мой мозг не выдержал подобного и банк попал в чёрный список. Разруха- она не онлайн-компоненте их системы ДБО, она в головах.

[A. 876]

Кроме того, автор поста обратил внимание на то, что номер карты и PIN мало того, что запрашиваются при регистрации в онлайн-сервисе, так еще и _хранятся в базе данных_ этого самого онлайн-сервиса.

я вот только не понял откуда автор поста это узнал и почему он так решил ?

[SDA 750]

Народные отзывы http://www.banki.ru/services/responses/bank/?id=8368 один понравился

В последнее время количество серьезных косяков Ситибанка превысило все мыслимые пределы.

1. Позволили украсть у меня деньги. Совершенно спокойно допускают заморозку денежных средств без введения телефонного пароля (пароль пришел мне на тел, а не мошенникам) при попытке покупки чего-то на абсолютно подозрительных сайтах (как я потом выяснил), позволяя заморозить более 10 сумм (31.08.2012 и 02.08.2012), после чего говорят в Ситифоне: "Идите писать заявление в отделение, там будет администратор, он поможет решить проблему, а мы СРАЗУ ЖЕ (т.е. в тот же день) примем меры" (обещал лично начальник департамента по работе с частными лицами в Ситифоне). На следующий день пишу заявление, администрации вообще нет, только 2 девочки на все отделение (СПб на Гражданском пр.), которые вообще ничего не знают-не могут, пишу.

Приходите завтра - мы перевыпустим карту.

2. Перед приходом *завтра* звоню на всякий случай в Ситифон - нет, соврали, не смогут перевыпустить, нет на месте сотрудника....

А я уже туда еду.

Ответ: Приходите завтра, сотрудник наверно будет...

3. След. день (прошло 2 дня с подачи заявления про мошеннические действия по заморозке сумм) мне на тел приходит смс: "Суммы списаны со счета" - т.е. Ситибанк спустя 2 дня после написания письменного заявления отправил деньги мошенникам, наплевав на заявление клиента. Звоню в Ситифон, выясняется, что они о заявлении не знают (копия с датой у меня). Ищут долго, находят, но зачитать мои доп. комментарии не могут, ссылаются, что его не зарегистрировали. (На след. день зарегили задним числом - проверил.)

4. Спрашиваю в Ситифоне: "Можно ли украсть деньги с карты, просто записав-запомнив информацию на ней написанную?" - 26 минут лжи и попыток уйти от единственного вопроса и рассказов, что 16 знаков и фамилию имя невозможно запомнить.

Я при этом уже знаю, что можно, и Ситибанк не противодействует таким кражам, а скорее наоборот - из-за неумышленного(?) раздолбайства сотрудников.

5. Постоянный обман по массе поводов - то, что говорят в Ситифоне, противоречит тому, что говорят в отделении, и наоборот (перечисление примеров утомит). Никто вообще не отвечает за сказанное. НИКОГДА!

6. Входящий платеж недельной давности на 8 т.р. нашелся только после 3-хдневной ругани. В процессе выяснилось, что их "удивляет", что платеж переводом с другой карты другого банка...

7. При выпуске карты более 3х лет назад мне ответственно обещал менеджер "без оплаты за обслуживание вообще" - пытались снять годовое обслуживание каждый год, каждый раз ругался с ними, возвращали, в этом году не вернули, придумав очередное глупое объяснение.

[Сергей Ильин 1538]

я вот только не понял откуда автор поста это узнал и почему он так решил ?

Насколько я понял, автор имел в виду, что сайт имеет доступ к базе PIN, а не хранил их у себя. Так как он его поменял и онлайн-банк ему об этом сообщил и заставил новый ввести.

При следующем входе в этот Ситибанк-онлайн" он мне выдал: " Извините, ваша информация не распознана. Возможно вы изменили ПИН." и открывает окошко с предложением ввести акуальный ПИН. В браузер. Опять.

В последнее время количество серьезных косяков Ситибанка превысило все мыслимые пределы.

Интересно, что скажет Кирилл Керценбаум ....

[Кирилл Керценбаум 671]

Коллеги, ну детский сад, ей богу. Еще раз - у Ситибанка косяков до жути, но уверяю вас - не больше, да и не меньше, чем у всех прочих российских банков. Я не утверждаю, что в части реализации функций так или иначе связанных с ИБ, у них все замечательно, но, опять же, впрочем как и у большинства других. И еще раз повторюсь - описанная в данной статье "проблема" не стоит и выеденного яйца. У Ситибанка в том числе есть проблемы и посущественнее. Например, я считаю что со скиммингом они борются весьма плохо, точнее почти никак. Но что я вам скажу точно - та версия Ситибанк-Онлайн, о которой идет речь, на данный момент является почти 100%-ной копией американской системы и там, как я думаю вы прекрасно понимаете, без сертификации по PCI DSS Citibank просто не смог бы работать

[alexgr 556]

сертификации по PCI DSS Citibank просто не смог бы работать

Работает, еще как работает. Кстати, Америка не в лидерах сертификации

http://usa.visa.com/download/merchants/cis...e-providers.pdf

Можно проверить. Виза о сертификации Ситибанка не знает

[Сергей Ильин 1538]

alexgr, а как они вообще занимаются процессингом карт, если они не комплайнт? Я чего-то не понимаю в этой жизни ...

Еще раз - у Ситибанка косяков до жути, но уверяю вас - не больше, да и не меньше, чем у всех прочих российских банков. Я не утверждаю, что в части реализации функций так или иначе связанных с ИБ, у них все замечательно, но, опять же, впрочем как и у большинства других.

Кирилл, это не так. Например, я вижу как работает банк Авангард - там все очень круто сделано и продумано с точки зрения ИБ. Я уж не говорю, что они флешку с ЭЦП дают клиентам бесплатно. Работаю с Альфой, там есть косяки, но все же не такое безумие как в Сити.