SubwayTalks.ru

На официальном сайте Петербургского Метрополитена появилась страничка про PayPass
http://www.metro.spb.ru/paypass.html

На этой страничке есть ссылка на сайт через который можно посмотреть историю перемещения пассажира пользовавшегося PayPass и PayWave
http://metrospb.uniteller.ru/

Проблемы этого сайта:
Никто не давал согласие на хранение истории своих перемещений (как следствие разрушение семей с ревнивыми супругами)
Нигде в рекламе и на официальном сайте функция слежения не афишировалась (ссылка появилась на сайте ПМ 18.02.2015, но история видна за предыдущие даты)
Для доступа достаточно знать неполный номер карты,
Доступ к сайту ТОЛЬКО по небезопасному протоколу HTTP (не работает по безопасному протоколу HTTPS )

На сайте виден детализированый список поездок - ДАТА, ВРЕМЯ, и станция метро,
информация храниться не только по MASTERCARD (который связан с разработкой сайта), но и VISA
Только информация о проходе турникетов, информаци я о пополнение через кассу здесь не архивируется.
Сайт московский, на нем же собирается информация о московских PayPass платежах в метро и в наземном транспорте

А подорожника там нет?

А ведь вас предупреждали? Жетоны! Только жетоны! Или запретите жене/мужу/родителям следить за вами, или не ездите в неположенное время в неположенные места...

ooo писал(а):Никто не давал согласие на хранение истории своих перемещений (как следствие разрушение семей с ревнивыми супругами)

Возможно вы удивитесь, но при пользовании банковскими платежными картами банк-эмитент хранит всю историю ваших перемещений.

ooo писал(а):Нигде в рекламе и на официальном сайте функция слежения не афишировалась (ссылка появилась на сайте ПМ 18.02.2015, но история видна за предыдущие даты)

"Функция слежения" афишировалась в техзадании. Это нормальная практика на случай, если у вас возникнут вопросы по балансу карты, так как выписка банка-эмитента отражает только суточные затраты на поездки.

ooo писал(а):Для доступа достаточно знать неполный номер карты

Это сделано из соображений безопасности, чтобы злоумышленники не могли похитить полный номер банковской карты.

если кто-то хочет следить за перемещениями пользователя paypass - достаточно подобрать за ним чек в любом магазине - там будет этот неполный номер карты по которым можно установить за ним круглосуточную слежку

то что банк хранит данные я понимаю, но доступ к этим данным защищен (интернет банк на основании договора, сайт HTTPS в отличии от HTTP защищен от прослушки), безопасность этих сервисов регулярно проходит сертификацию

что может сделать заинтересованое лицо с доступом к такому сайту - зная график перемещения человека, может с точностью <5 минут угадать момент выхода человека из метро (по времени входа, а в Москве ещё и по наземному транспорту отслеживать)

функция слежения может быть скрытой и хранится у банка и эмитента карты и у исполнителя (метрополитена), но накопление информации у 3-го лица в этой схеме (аффилированного с mastercard) - это порочная практика.

у меня карта visa, банк в санкт-петербурге, услугу получил в санкт-петербурге... почему у партнера связанного с mastercard хранится финансовая информация и персональные данные о перемещениях на московском сервере с очень низким уровнем безопасности?

а самый фарш будет, когда запустят paypass на наземном транспорте - можно комбинировать время оплаты пассажира проезда вместе с онлайн данными о перемещениях автобуса http://transport.orgp.spb.ru/ - уже считай в режиме онлайн можно отслеживать координаты людей

ooo писал(а):если кто-то хочет следить за перемещениями пользователя paypass - достаточно подобрать за ним чек в любом магазине - там будет этот неполный номер карты по которым можно установить за ним круглосуточную слежку

В магазинных чеках BIN карты (первые шесть цифр) не указываются, точно так же не указывается срок ее действия.
Вот, например, попробуйте отследить владельца этой карты через личный кабинет

ooo писал(а):функция слежения может быть скрытой и хранится у банка и эмитента карты и у исполнителя (метрополитена), но накопление информации у 3-го лица в этой схеме (аффилированного с mastercard) - это порочная практика.

у меня карта visa, банк в санкт-петербурге, услугу получил в санкт-петербурге... почему у партнера связанного с mastercard хранится финансовая информация и персональные данные о перемещениях на московском сервере с очень низким уровнем безопасности?

На самом деле компания Uniteller связана с МПС МастерКард не более, чем любой другой участник этой платежной системы.
Для данного проекта Uniteller разработала терминальное платежное приложение и терминальный хост, который обрабатывает транзитные транзакции. Насколько я понимаю, сайты с личными кабинетами пока находятся на площадке этой компании в тестовом режиме. Со временем эти сайты должны переехать на площадки соответствующих транспортных операторов (мерчантов).

разные терминалы печатают разные данные, на кассе метрополитена - это 4 последние цифры + срок действия + фамилия имя
на чеке из банкомата С*** есть первые 6 цифр + 4 последние цифры, хотя не исключаю что это редкость, я не слежу за этим

бин можно подобрать, т.к. вариантов бинов карт с поддержкой paypass порядка 100 (а не 999 999), а если известен банк то вариантов <10