Яндекс автоматически привязывает карту к другому аккаунту

в 5:07, , рубрики: интернет-маркетинг, информационная безопасность, платежные системы, привязка карты, Тестирование мобильных приложений

В последнее время многие сервисы стараются запоминать данные банковской карты при оплате, чтобы в следующий раз пользователю было удобнее платить, и не нужно было заполнять данные карты снова. Почти уверен, что во всех учебниках по маркетингу написано, что в случае привязки карты вероятность покупки возрастает на 146%.

Яндекс автоматически привязывает карту к другому аккаунту - 1

Из способов привязки можно выделить 3 самых основных:

  • Предлагать ненавязчиво — кому нужно сам поставит галочку;
  • Предлагать активно — галочка у привязки стоит по умолчанию, кто забыл её убрать — сам виноват;
  • Привязывать без какого-то уведомления — сервис сам знает, как пользователю будет лучше.

Во всех этих вариантах есть одно общее: привязка происходит к тому аккаунту, где выполняется оплата. Сегодня я хочу рассказать Вам о том, что Яндекс изобрел 4-й вариант привязки: в некоторых случаях карта может быть привязана к (почти) чужому аккаунту.

Сразу хочу предупредить, что проблема затрагивает не все аккаунты, а какую-то часть, которую Яндекс отметил у себя специальным образом, поэтому воспроизвести проблему может не получиться, однако техподдержка Яндекса говорит, что такое поведение не является багом и было задумано изначально.

Итак, для начала нужны будут 2 вещи: аккаунт на Яндексе и номер телефона, который подтвержден в аккаунте. Дальше нам потребуется мобильное приложение Яндекс.Такси — оно особенное: в него можно “войти”, если нет аккаунта на Яндексе, просто по номеру телефона. В последнее время любое приложение от Яндекса просит Вас войти в свою учетную запись: пользователю так будет удобнее, а Яндекс сможет получать еще больше данных о клиенте.

В Яндекс.Такси все по-другому: чтобы воспользоваться сервисом, входить в аккаунт не нужно, просто вводите номер телефона, получаете SMS, и можно ехать. Также Яндекс.Такси предлагает привязать карту для удобства оплаты: в этом нет ничего особенного, все подобные сервисы работают аналогичным образом, а некоторые даже работают только с оплатой по карте. Но после привязки карты можно столкнуться со следующей особенностью: эта карта автоматически привяжется к аккаунту Яндекса, для которого подтвержден номер телефона из Яндекс.Такси.

Итак, список действий по порядку:

  1. Берем аккаунт на Яндексе с привязанным номером телефона;
  2. Открываем приложение Яндекс.Такси, входим в это приложение только по номеру телефона (без участия аккаунта Яндекса);
  3. Привязываем в Яндекс.Такси банковскую карту;
  4. Видим, что эта банковская карта автоматически привязалась к аккаунту Яндекса из первого пункта.

Яндекс автоматически привязывает карту к другому аккаунту - 2

Важные особенности:

  • если удалить карту из аккаунта Яндекса, то она удалится и из Яндекс.Такси;
  • если добавить карту в аккаунт Яндекса, то она НЕ добавится в Яндекс.Такси;
  • если создать еще один аккаунт на Яндексе и подтвердить там тот же самый номер телефона, то карта появится только в первом аккаунте;
  • с новым аккаунтом и другим номером телефона воспроизвести такое поведение не удалось (скорее всего нужно какое-то время на то, чтобы Яндекс как-то сделал сильную “связку” между номером телефона и аккаунтом).

С одной стороны можно сказать, что проблема не очень большая: если пользователь подтвердил номер телефона в аккаунте Яндекса, то по нему можно делать привязку с другими аккаунтами, но я вижу тут большую проблему при таком развитии событий:

  1. Кто-то регистрирует аккаунт на Яндексе и привязывает туда номер телефона;
  2. Через какое-то время из-за неактивности оператор сотовой связи блокирует номер, после чего пускает его в свободную продажу;
  3. Кто-то другой покупает SIM-карту с этим номером, открывает приложение Яндекс.Такси, привязывает карту, а она привязывается к аккаунту Яндекса совершенно постороннего человека.

Я решил рассказать о таком странном поведении техподдержке Яндекс.Такси, но они меня не совсем поняли и предложили обновить приложение :-)
Дальше я обратился через форму BUG BOUNTY, и разговор пошел более продуктивно.
Сотрудник техподдержки Яндекса сообщил, что указанный мной баг вовсе не баг, а задумка разработчиков: аккаунты “связываются” только при нужной фазе луны, а ситуация с перевыпуском SIM-карты и последующей привязкой карты вообще исключена.

Механизм связывания аккаунтов в Яндекс.Паспорте и Яндекс.Такси устроен более сложно и учитывает большое количество параметров, в том числе вход и в аккаунт Яндекс.Такси, и в аккаунт Яндекс.Паспорта с одного устройства.
Описанная вами ситуация с перевыпуском сим-карты по прошествию времени не будет возможна, так как в данном случае связывания аккаунта не произойдет и карты добавленные в аккаунт Яндекс.Такси не появятся в аккаунте Яндекс.Паспорт.

У меня нет оснований не доверять сотрудникам полиции Яндекса, и скорее всего описанных мною проблем ни у кого не возникнет, однако я решил рассказать о таком, на мой взгляд, не очень обычном варианте привязки карты, чтобы следующим логичным шагом со стороны Яндекса не была привязка карты во все аккаунты, в которые когда-либо заходили с одного устройства или с IP адреса.

Автор: Леонид

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js