Старший менеджер по связям с общественностью Южного региона ОАО "ВымпелКом" Карине Коряковцева дала комментарий на вчерашнее интернет-сообщение губернатора Александра Жилкина.
Комментарий носит предварительный характер, так как пока не готовы результаты официальной экспертизы. Публикуем его текст полностью:
Старший менеджер по связям с общественностью Южного региона ОАО "ВымпелКом" Карине Коряковцева:
"К сожалению, из текста не понятно, карта какого банка использовалась, какая услуга оплачивалась и когда это происходило. Мы надеемся получить от уважаемого блогера информацию на эти вопросы, что поможет нам более точно разобраться в ситуации. Безусловно, мы свяжемся с ним в самое ближайшее время – по этому алгоритму мы взаимодействуем со всеми нашими абонентами.
На основании его поста мы предполагаем, что его банковская карта привязана к мобильному телефону для пополнения счета. Для совершения привязки карты, происходит списание случайной суммы до 10 руб. (потом возвращается на счет). Чтобы узнать точную сумму, владельцу карты надо совершить одно из действий:
1) позвонить в банк и сотрудник банка запрашивает его личные данные, включая кодовое слово для верификации клиента,
2) ввести в банкомате пин карты и получить выписку,
3) получить выписку через интернет- банк,
4) если вы подписаны на смс- информирование, сумма операций придет на ваш телефон.
После привязки карты вы получаете на телефон секретный код, который нужно вводить при каждом платеже.
Таким образом, возникает предположение, что сторонним лицам стала доступна уникальная информация об операциях уважаемого абонента. Каким образом – предстоит разобраться, и мы обязательно со своей стороны предложим помощь в выяснении этого вопроса.
По поводу «привязки пластиковой карты пользователя к любому мобильному телефону» - сервис позволяет оплачивать привязанной картой до пяти телефонов, это сделано, чтобы глава семьи мог оплачивать телефонные расходы членов семьи.
По поводу: «Другие сотовые операторы используют механизм переадресации на сайт банка-эмитента, на котором реализованы дополнительные механизмы защиты клиента. «Билайн» не выполняет переадресацию на сайты и сервисы банков-эмитентов, а значит, не выполняет необходимые требования стандарта PCI DSS, что позволяет злоумышленникам совершать мошеннические действия». Информация не соответствует действительности, так как переадресация на странице банка эмитента используется для введения дополнительно пароля 3 D secure, к сожалению, сейчас в России доля карт подписанная на 3 D secure незначительна. Поэтому «Билайн» выбрал верификацию по случайной сумме, что работает для всех карт.
Стандарты PCI DSS - это стандарты получения и хранения карточной информации, что никак не связано с верификацией карты и привязкой ее к телефону. Более того, по договору с банками, «Билайн» возмещает клиентам банка все понесенные убытки, если банк сочтет, что в отношении клиента были совершенны мошеннические действия".
