В последнее время многие сервисы стараются запоминать данные банковской карты при оплате, чтобы в следующий раз пользователю было удобнее платить, и не нужно было заполнять данные карты снова. Почти уверен, что во всех учебниках по маркетингу написано, что в случае привязки карты вероятность покупки возрастает на 146%.
Из способов привязки можно выделить 3 самых основных:
- Предлагать ненавязчиво — кому нужно сам поставит галочку;
- Предлагать активно — галочка у привязки стоит по умолчанию, кто забыл её убрать — сам виноват;
- Привязывать без какого-то уведомления — сервис сам знает, как пользователю будет лучше.
Во всех этих вариантах есть одно общее: привязка происходит к тому аккаунту, где выполняется оплата. Сегодня я хочу рассказать Вам о том, что Яндекс изобрел 4-й вариант привязки: в некоторых случаях карта может быть привязана к (почти) чужому аккаунту.
Сразу хочу предупредить, что проблема затрагивает не все аккаунты, а какую-то часть, которую Яндекс отметил у себя специальным образом, поэтому воспроизвести проблему может не получиться, однако техподдержка Яндекса говорит, что такое поведение не является багом и было задумано изначально.
Итак, для начала нужны будут 2 вещи: аккаунт на Яндексе и номер телефона, который подтвержден в аккаунте. Дальше нам потребуется мобильное приложение Яндекс.Такси — оно особенное: в него можно “войти”, если нет аккаунта на Яндексе, просто по номеру телефона. В последнее время любое приложение от Яндекса просит Вас войти в свою учетную запись: пользователю так будет удобнее, а Яндекс сможет получать еще больше данных о клиенте.
В Яндекс.Такси все по-другому: чтобы воспользоваться сервисом, входить в аккаунт не нужно, просто вводите номер телефона, получаете SMS, и можно ехать. Также Яндекс.Такси предлагает привязать карту для удобства оплаты: в этом нет ничего особенного, все подобные сервисы работают аналогичным образом, а некоторые даже работают только с оплатой по карте. Но после привязки карты можно столкнуться со следующей особенностью: эта карта автоматически привяжется к аккаунту Яндекса, для которого подтвержден номер телефона из Яндекс.Такси.
Итак, список действий по порядку:
- Берем аккаунт на Яндексе с привязанным номером телефона;
- Открываем приложение Яндекс.Такси, входим в это приложение только по номеру телефона (без участия аккаунта Яндекса);
- Привязываем в Яндекс.Такси банковскую карту;
- Видим, что эта банковская карта автоматически привязалась к аккаунту Яндекса из первого пункта.
Важные особенности:
- если удалить карту из аккаунта Яндекса, то она удалится и из Яндекс.Такси;
- если добавить карту в аккаунт Яндекса, то она НЕ добавится в Яндекс.Такси;
- если создать еще один аккаунт на Яндексе и подтвердить там тот же самый номер телефона, то карта появится только в первом аккаунте;
- с новым аккаунтом и другим номером телефона воспроизвести такое поведение не удалось (скорее всего нужно какое-то время на то, чтобы Яндекс как-то сделал сильную “связку” между номером телефона и аккаунтом).
С одной стороны можно сказать, что проблема не очень большая: если пользователь подтвердил номер телефона в аккаунте Яндекса, то по нему можно делать привязку с другими аккаунтами, но я вижу тут большую проблему при таком развитии событий:
- Кто-то регистрирует аккаунт на Яндексе и привязывает туда номер телефона;
- Через какое-то время из-за неактивности оператор сотовой связи блокирует номер, после чего пускает его в свободную продажу;
- Кто-то другой покупает SIM-карту с этим номером, открывает приложение Яндекс.Такси, привязывает карту, а она привязывается к аккаунту Яндекса совершенно постороннего человека.
Я решил рассказать о таком странном поведении техподдержке Яндекс.Такси, но они меня не совсем поняли и предложили обновить приложение :-)
Дальше я обратился через форму BUG BOUNTY, и разговор пошел более продуктивно.
Сотрудник техподдержки Яндекса сообщил, что указанный мной баг вовсе не баг, а задумка разработчиков: аккаунты “связываются” только при нужной фазе луны, а ситуация с перевыпуском SIM-карты и последующей привязкой карты вообще исключена.
Механизм связывания аккаунтов в Яндекс.Паспорте и Яндекс.Такси устроен более сложно и учитывает большое количество параметров, в том числе вход и в аккаунт Яндекс.Такси, и в аккаунт Яндекс.Паспорта с одного устройства.
Описанная вами ситуация с перевыпуском сим-карты по прошествию времени не будет возможна, так как в данном случае связывания аккаунта не произойдет и карты добавленные в аккаунт Яндекс.Такси не появятся в аккаунте Яндекс.Паспорт.
У меня нет оснований не доверять сотрудникам полиции Яндекса, и скорее всего описанных мною проблем ни у кого не возникнет, однако я решил рассказать о таком, на мой взгляд, не очень обычном варианте привязки карты, чтобы следующим логичным шагом со стороны Яндекса не была привязка карты во все аккаунты, в которые когда-либо заходили с одного устройства или с IP адреса.
Автор: Леонид