Мошенничество при оплате QIWI

[templater]

Вчера в магазине было совершено две покупки цифровых товаров, оплата осуществлялась через QIWI (через этот модуль).

Обе покупки успешны, но на QIWI-счет поступили суммы по 1.00 руб вместо стоимости товара.

Судя по всему, это была не ошибка, а намеренное вмешательство в процесс оплаты, что было позже подтверждено установленным "покупателем".

Все материалы переданы в фрод-отдел QIWI, а вы будьте осторожны.

Для информации, версии ПО:

ocStore 1.5.3.1

модуль QIWI 1.3 (сейчас обновлен до последней версии)

P.S. Пока вопрос безопасности этого платежного метода открыт, установил ручное подтверждение оплаты заказа (Статус заказа после оплаты - "Ожидание" вместо "Сделка завершена").

P.P.S. С покупателем инцидент разрешен, все возмещено, поэтому никаких претензий/афиширований не будет.

[freelancer]

я так понимаю модуль не проверяет что сумма заказа равна сумме оплаты?

[monkeyman]

я так понимаю модуль не проверяет что сумма заказа равна сумме оплаты?

А киви вообще отдает этот параметр?

[templater]

А киви вообще отдает этот параметр?

Из описания API QIWI не совсем понятно... кажется, отдает только статус, если правильно понимать выражение "состояние счета".

Магазин может проверить состояние счета используя его уникальный идентификатор (txn) при помощи запроса checkBill

Для сверки состояния счетов используется запрос getBillList, в котором указывается время начала и окончания периода, а так же статус платежей.

При указании статуса больше 0, в список попадают счета только с указанным статусом. Для получения списка всех счетов за период, указывается значение статуса "0".

[monkeyman]

Ну почему же, все понятно: отдает только состояние счета и даты.

Да в целом ничего страшного нет. Деньги же не списываются со счета. То есть мошенника или ошибку платежа вычислить можно без проблем - главное внимательно смотреть за поступающими суммами. Там же куча способов уведомления в настройках магазина - сложно пропустить.

[templater]

Сорри, почитал доки дальше, теперь все предельно ясно - QIWI может отдавать полную информацию по счету, включая сумму, но в модуле это (проверка оплаченной суммы) не задействовано:

Описание протокола

[templater]

Да в целом ничего страшного нет. Деньги же не списываются со счета.

В моем случае это критично - при покупке цифровых товаров, после оплаты статус меняется автоматически, для возможности покупателю тут же скачать товар. Теперь придется создавать неудобства, на ожидание, пока я проверю транзакцию, и сделаю подтверждение покупки.

Для "вещественных" товаров это не критично - есть время все проверять.

[monkeyman]

Ну да, есть параметр amount. Тогда действительно стоит проверку сделать, благо она простейшая.

[monkeyman]

В моем случае это критично - при покупке цифровых товаров, после оплаты статус меняется автоматически, для возможности покупателю тут же скачать товар. Теперь придется создавать неудобства, на ожидание, пока я проверю транзакцию, и сделаю подтверждение покупки.

Для "вещественных" товаров это не критично - есть время все проверять.

Я думаю, стоит автору сообщить - он поправит. Он все время модуль совершенствует, за что ему спасибо.

[delovoy]

Спасибо за уведомление, если кто это подправит, просьба добавить это в действующий модуль.

[afwollis]

https://opencartforum.com/topic/4963-qiwi-%d0%b4%d0%bb%d1%8f-ocstore-15x/