"Аналитика оценок" от Dnevnik.ru тайно использует вашу банковскую карту
Вчера обнаружил в телефоне уведомление о совершённой мной в четвёртом часу утра покупке на 660 рублей с зарплатной карты в пользу Robokassa.ru. Что купил - не знаю, потому что спал. В истории операций предмет покупки не уточнялся. "Мошенники узнали данные моей карты" - понял я. И в общем-то, как выяснилось позже, не очень ошибся.
Ну а первым делом написал в приложении банка просьбу заблокировать карту из-за компрометации данных. Пока после мелкой "пробной" покупки не пошли остальные крупные. Ожидая ответа подумал, что мог сам что-то купить недавно и забыть. И нашёл в электронной почте чек от той самой Робокассы на покупку подписки "Аналитики оценок".
Краткая справка от автора: Dnevnik.ru - сервис, навязанный чиновниками РФ всем школам для ведения электронного дневника. "Аналитика оценок" - платное его приложение, позволяющее сравнить оценки ребёнка со средними по классу, и вовремя похвалить или принять меры.
А произошло вот что: год назад оплатил годовую подписку на эту самую "Аналитику". И даже пользуемся ей с супругой, считаем полезной. Но вот новость о том, что я, оказывается, при оплате доверил хранить этому сервису данные своей карты и разрешил самовольно оплачивать с неё следующие покупки меня шокировала. Для избежания неприятных сюрпризов всегда снимаю галочку "сохранить данные". Но сервису на это пофигу, они спустя год взяли номер, CVV и остальные реквизиты моей карты и сами купили мне ещё год подписки. Хорошо, что успел отправить специалистам банка просьбу не обращать внимания на моё сообщение о компрометации и не блокировать карту. Повезло.
Полез искать, где я могу удалить данные своей карты. И здесь второй сюрприз: официально её никто не хранит. Вот скрин из самой "Аналитики оценок":
Отменена подписка - это уже я нажал, чтобы исключить следующие сюрпризы. Ни слова про карту. В "Опциях подписки" тоже ничего нет.
Быть может, данные сохранились в сервисе Robokassa? Нет, и там пусто:
Пишем в саппорт "Аналитики оценок". Не буду приводить ответную простыню, просто передам суть: "хотите - пришлите номер платежа, вернём деньги". Не прокатило - вычёркиваем. На вопросы о законности хранения моих платёжных данных они предпочли не отвечать. О том, кто их их хранит и где - тоже.
Поясняю, почему у меня так подгорает и чем рискует пользователь. Я встречал сервисы, которые любят "тяпнуть" у пользователя стоимость продления подписки с его карты, но все до единого в личном кабинете показывают, где хранится его карта, и её можно удалить. Здесь же ваши данные хранят тайно от вас, и к тому же в свободно дешифруемом виде, раз они смогли по ним заплатить. Что означает, что какой-нибудь обиженный админ может запросто слить данные третьим лицам, а потом владельцы карт будут подсчитывать убытки и пытаться вернуть украденные со счетов деньги, составляя заявления в полицию, банки и "Спортлото".
Кроме того, иногда мне приходилось очень крупные покупки (например, турпутёвки) онлайн оплачивать кредитной картой. Все знакомы с льготным периодом? Это когда ты тратишь 200 т.р., потом через 99 дней восстанавливаешь баланс, и проценты не платишь. А теперь представим, что на сотый день в ночь перед окончанием льготного периода такой сервис, единожды запомнивший номер карты, проводит платёж 100 рублей . Баланс становится отрицательным, и банк списывает с тебя процентами 25000 рублей из расчёта 50% годовых, поскольку условия льготного периода не выполнены.
Конечно есть прошаренные люди, платящие в интернете отдельной картой с постоянно нулевым балансом, и внимательно читающие дополнительные соглашения по ссылкам мелким шрифтом. Я тоже не скармливаю куда попало свои карты, предпочитая всякие вебмани-пайпалы на сомнительных ресурсах. Но не считаю, что "Дневник.ру", рекомендуемый нами государственными учреждениями, и его приложения должны по умолчанию попадать в ранг сомнительных.