11:34
24/9/2018

Jak informuje nas jeden z Czytelników, temat podwójnych obciążeń kart płatniczych za zakupy w Kauflandzie powrócił po roku.

W listopadzie zeszłego roku pisaliście na temat znikających pieniędzy z kont bankowych klientów Kauflandu. Tak się złożyło, że stałem się ofiarą tego “błędu”. Na szczęście pieniądze zostały zwrócone.
Jednak sytuacja znów się powtarza… Wczoraj (tj. 23.09.2018 – niedziela niehandlowa) została dokonana transakcja moją kartą płatniczą na kwotę 160zł. Przy tej operacji widnieje data waluty 16.11.2017 – czyli taka sama jak w poprzednim roku. Najlepsze jest to, że ta karta jest nieaktywna od listopada tamtego roku (przy poprzednim błędzie karta była już nieaktywna od 5 dni). Zastanawiam się ile takich przypadków mogło wystąpić na niższe kwoty przez ostatni rok. Skontaktowałem się z bankiem (PKO BP)- Pan powiedział, że muszę zgłosić reklamację. Nie wiem czemu nie mogłem zrobić tego u niego. Zgłosiłem przez stronę internetową i czekam na kontakt z konsultantem. Sytuacja jest kuriozalna.
Proszę sprawdźcie swoje konta!

A więc sprawdźcie swoje rachunki kartowe. Jak widać, błąd, który rok temu spowodował podwójne obciążenie kart klientów, znów powrócił… i dotyczy tych samych transakcji. Bardzo ciekawe jaka jest jego geneza :D

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

27 komentarzy

Dodaj komentarz
  1. Zaraz, Kaufland może sobie ot tak pobierać z kart bo mają taką fantazję?

    • To jednak mniej ciekawe od faktu obciążenia karty nieaktywnej(zakładam że po terminie przydatności, a nie zastrzeżona?) od prawie roku.

    • Jak każdy, kto zna numery z twojej karty kredytowej, na przykład hotel.

  2. Proponuję zgłosić kradzież do prokuratury. BO JEŻELI SYTUACJA OPISANA w ART. JEST PRAWDZIWA TO JEST TO KRADZIEŻ.

  3. Należy zgłosić kradzież do prokuratury i fraud do VISY/MASTERCARD.

  4. To ja się podzielę nieco innym przypadkiem. Ostatnio kończyła mi się ważność karty w ING. Wiedząc o tym założyłem sobie konto na Netflixie bo byłem pewien, że zanim sie skończy 30 dniowy okres testowy karta już straci ważność. Po 30 dniach, tak jak się spodziewałem, otrzymałem maila z Netflixa, że jest problem z płatnością. Po czym po kolejnych kilku dniach przyszedł kolejny mail, że jednak im się udało, przywrócili mi konto i obciążyli kwotą za kolejny miesiąc. Przypominam, że karta już była w tym czasie nieważna. Zacząłem drążyć temat i okazało się, że ING wznawia kartę z tym samym numerem (oczywiście z inną datą ważności i CVV2). Nowa data ważności jest łatwa do odganięcia, pozostaje tylko CVV. Podejrzewam więc, że Netflix po prostu metodą bruteforce w końcu trafił na właściwy CVV.
    Wracając do tematu artykułu – sprawdzcie czy nowa karta nie miała właśnie takiego samego numeru.

    • W Deutsche Banku sytuacja jest taka sama. Dość mocno się zdziwiłem, kiedy dostałem nową kartę, która zmienione miała tylko datę ważności i CVV.

    • Każdy bank, w jakim miałem kartę (BZWBK, Millennium) wznawia kartę z tym samym numerem. Przecież o to właśnie chodzi. Nowa karta ma nowy numer, wznowiona ma stary. CVV sklep nie musi sprawdzać, bierze wtedy koszt fraudów na siebie (np. Amazon nie sprawdza).

  5. To ja się podzielę nieco innym przypadkiem. Ostatnio kończyła mi się ważność karty w ING. Wiedząc o tym założyłem sobie konto na Netflixie bo byłem pewien, że zanim sie skończy 30 dniowy okres testowy karta już straci ważność. Po 30 dniach, tak jak się spodziewałem, otrzymałem maila z Netflixa, że jest problem z płatnością. Po czym po kolejnych kilku dniach przyszedł kolejny mail, że jednak im się udało, przywrócili mi konto i obciążyli kwotą za kolejny miesiąc. Przypominam, że karta już była w tym czasie nieważna. Zacząłem drążyć temat i okazało się, że ING wznawia kartę z tym samym numerem (oczywiście z inną datą ważności i CVV2). Nowa data ważności jest łatwa do odganięcia, pozostaje tylko CVV. Podejrzewam więc, że Netflix po prostu metodą bruteforce w końcu trafił na właściwy CVV.
    Wracając do tematu artykułu – sprawdzcie czy nowa karta nie miała właśnie takiego samego numeru.

    • Dodam, że bank ING w odpowiedzi na moją reklamację potwierdził, że obciążenie karty zostało wykonane już z użyciem danych nowej karty

    • Z tego co wiem, to nie zawsze trzeba weryfikować cvv. Zależy od merchanta. Część z nich nie wymaga cvv i to podobno jest ok. Co nie zmienia faktu, że nikt nie powinien nawet próbować zgadnąć daty ważności Twojej karty. Jeżeli użyli danych których im nie podałeś (w tym wypadku daty ważności), to mi wygląda na dobry materiał na reklamację. No chyba że można przeprowadzać transakcje bez podawania daty ważności. Ale o tym nie słyszałem.

    • Tylko jak udowdnić bankowi, że się Netflixowi nie podało nowych danych skoro nimi skądś dysponował? Uprzedzając uwagi o cebuli: nie kwestionuję tego, że mi kasę pobrano – w końcu nie anulowałem subskrypcji a mogłem to zrobić, chodzi mi o zasadę.
      Co do zgadywania daty ważności – data nowej=data starej + 1 miesiąc + x lat gdzie x najczęściej (3,4,5). Więc jeśli nie wymagany jest CVV2 to najwyżej 3 próby z tym, że o ile pamiętam Netflix żądał CVV przy dodawaniu starej karty.

    • Polecam artykuł “Yes, merchants can get new card info on recurring charges” (z CreditCards dot com). Z niego wynika, że jest coś takiego, jak “card updater services”, które dostarczają informacji o zmianach daty ważności karty merchantom (sprzedawcom).

      MasterCard ma stronę dla deweloperów: “Automatic Billing Updater” z hasłem:
      Keeping the card-on-file and recurring payment lifecycle intact.

    • TL;DR
      * Wysyłamy przez HTTP POST do MasterCard żądanie ze starym numerem karty i expiration date
      * Dostajemy w odpowiedzi nowy numer karty i expiration date :D

    • CluelessKiwi:
      Dzięki za poszerzenie wiedzy. O ile aktualizację daty ważności przez Card Update Service rozumiem, o tyle niejasne jest dla mnie w jaki sposób MasterCard jest w stanie podać nowy numer karty (jeśli bank wyda nową ze zmienionym numerem). Przecież MC oprócz danych karty dysponuje co najwyżej imieniem, nazwiskiem i nazwą banku a przecież w banku X może być wielu Janów Kowalskich z kartami. Jeśli ma to działać to musi być również jakiś interfejs między MC a bankiem działający w podobny sposób. W sieci można znaleźć info z amerykańskiego banku Franklinbank w tej sprawie. Wynika z niego, że to klient banku może zgłosić Opt-out do procedury aktualizacji numeru karty. W polskich bankach oczywiście w tej sprawie jest zupełna cisza.

    • Kubala:
      Ze strony VISA: “When participating issuers re-issue cards, they submit the new account number and expiration date to VAU.”
      W zasadzie nie jest potrzebne żadne ID klienta ani imię/nazwisko – zakładając, że PAN (numer karty) nie będzie ponownie użyty w najbliższej przyszłości, to stanowi dobry “ID klienta”.
      W bazie danych VAU dzięki komunikatom od issuerów (bank klienta) powstaje więc relacja, która przyporządkowuje pary: {oldPAN, oldEXP} → {newPAN, newEXP}. Ta relacja jest wystarczająca dla merchantów, aby pobrać nowy numer i datę na podstawie starych danych. Bank może wewnętrznie identyfikować klientów loginami, numerami kont itp., ale w card updater services nie są one, jak widać, potrzebne.

  6. Wyjaśnić może ta sama instytucja co rok temu… agent rozliczeniowy obsługujący Kaufland.

    Choć jeszcze jest jedna opcja – nie idzie to bezpośrednio z kas w Kauflandach do eService’u tylko przez jakiś gateway (zapewne obsługiwany przez firmę, która systemy kasowe dostarczyła). Tyle, że PCI zabrania trzymania danych kart (“SAD”) dłużej niż potrzeba do uzyskania autryzacji.

    • PAN, expdate to nie sa dane SAD. Za to w zupelnosci wystarcza do przeprowadzenia transakcji.

  7. Tak naprawiali ten problem ,że właśnie zwrócili mi pieniądze za transakcje kartą z 24.09 która się naliczyła poprawnie.

  8. Dzwoniła do mnie chwilę temu mama i stwierdziła ze zdziwieniem, że jej zakupy sprzed tygodnia w jednej z drogerii zamiast obciążyć kartę to ją „doładowały”. Sprawa będzie dopiero wyjaśniana z bankiem, jeśli nie zapomnę to dam znać co się wydarzyło. Mam jednak wrażenie, że w firmach obsługujących płatności coś poważnie się psuje.

    • Pewnie jedna awaria + nieudana naprawa sytuacji. Nic szczególnego :D
      Te wszystkie systemy to jeden wielki legacy code. O idempotentności nikt tam nie słyszał (uprzedzam, że to nie choroba).

  9. Mi też zdążyła się sytuacja 24.09.2018 z dwukrotnie obciążonym kontem w sieci Kaufland w Warszawie na kwotę 66 zł. Pieniądze zostały zwrócone wczoraj a co do transakcji wszystkie mam za potwierdzeniem pinu

  10. Tymczasem Mastercard miał jakiś problem z podwójnym księgowaniem na kontach bankowych kwot za zrobione zakupy kartą. Przypadek?

  11. Nie miałem takiego pobrania, a rok wcześniej faktycznie było. Nie ma się co stresować. Nawet jeśli pobrali, to i tak zwrócą… bo nie mają innej opcji.

  12. Zwrócą, ale jak się upomnisz, a to drobna różnica.

  13. Już nas ograbiali w czasie II wojny światowej, więc nie powinno nas to dziwić :P

  14. Szach-mat bezgotówkowcy :P Bilon&Banknot nigdy takiego problemu nie miał. Tylko cash xD

Odpowiadasz na komentarz kepak

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: