DS-798 — Антифрод для триала

[BACK] Антифрод для триала — блокировка повторной активации триала через обходные пути

JiraDS-798

AssigneeМарат Комаров

MR!2020

Sprint16 (→ Mar 30)

Backendapi-2020.review.chatplace.io

User798@mail.com

Product taskCPD-192

СтатусMR ожидает тестирования

0 / 28

🎯 Цель антифрода: Заблокировать повторную активацию триала через обходные пути (новый аккаунт с той же картой, перенос бота, та же карта+устройство). При этом оплата полного тарифа НЕ должна блокироваться — только триал.

⚠️ 3 проверки антифрода:
1. Карта (Stripe) — card_hash уже использовался для триала в другом аккаунте → блок
2. История владения ботом — бот ранее принадлежал другому аккаунту с триалом → блок
3. Device ID (Amplitude) — дополнительный сигнал (под вопросом)

📊 Ключевые таблицы БД:

Таблица	Назначение	Ключевые поля
`card_fingerprints`	Хэши привязанных карт	user_id, provider, card_hash, user_fingerprint
`bot_ownership_history`	История владения ботами	bot_identifier, platform_label, owner_id
`user_fingerprints`	Device ID / fingerprints	user_id, fingerprint
`subscription_logs`	Лог подписок	user_id, type (1=trial), payment_count

1. Happy Path — Новый юзер получает триал

5 тестов

TC-1.1 HIGH Активация триала новым юзером 1. Зайти под 798@mail.com → Billing → Активировать триал Pro
2. Привязать карту (тестовая 4242424242424242)
3. Подтвердить активацию ✅ Триал активирован. trial_ends_at заполнен. В subscription_logs запись type=1

TC-1.2 HIGH card_fingerprints записан После активации триала проверить в БД:
SELECT * FROM card_fingerprints WHERE user_id = '...' ✅ Запись создана: card_hash не пустой, provider = stripe

TC-1.3 HIGH subscription_logs запись type=1 SELECT * FROM subscription_logs WHERE user_id = '...' ORDER BY created_at DESC ✅ Запись с type=1 (trial), payment_count корректный

TC-1.4 MEDIUM bot_ownership_history запись Если у аккаунта есть подключённый бот:
SELECT * FROM bot_ownership_history WHERE owner_id = '...' ✅ Запись для каждого бота юзера (bot_identifier, platform_label, owner_id)

TC-1.5 MEDIUM API hasFingerprint = true GET /user → проверить поле hasFingerprint ✅ hasFingerprint = true (если fingerprint записан)

2. Без ложных срабатываний — Unlimited/Club

4 теста

💡 Ключевой фикс: Купил Unlimited → переключился на Pro → триал должен быть доступен (не ложное срабатывание антифрода).

TC-2.1 HIGH Unlimited → Pro: триал доступен 1. Юзер B покупает Unlimited (полная оплата, не триал)
2. Переключается на Pro
3. Пробует активировать триал Pro ✅ Триал доступен — антифрод НЕ срабатывает

TC-2.2 HIGH После оплаты Unlimited — subscription_logs type ≠ 1 SELECT * FROM subscription_logs WHERE user_id = 'B' AND type = 1 ✅ Нет записи с type=1 (был оплачен, не триал)

TC-2.3 MEDIUM Повторная оплата той же картой — не блокируется Юзер C (новый) оплачивает Pro той же картой, которая была у юзера A (с триалом)
Полная оплата, НЕ триал ✅ Оплата проходит — антифрод блокирует только триал, не оплату

TC-2.4 MEDIUM Club подписка → Pro триал доступен Юзер D с Club подпиской переключается на Pro и пробует триал ✅ Триал доступен (Club — не триал)

3. Блокировка по истории владения ботом

4 теста

TC-3.1 HIGH Перенос бота → триал заблокирован 1. Юзер A активировал триал с ботом @bot1
2. Передал бота юзеру B
3. Юзер B пробует активировать триал ❌ Триал отклонён — причина: BOT_HAD_TRIAL_OWNER

TC-3.2 HIGH bot_ownership_history отслеживает передачу После переноса бота проверить:
SELECT * FROM bot_ownership_history WHERE bot_identifier = '@bot1' ✅ Две записи: owner_id = A (старая), owner_id = B (новая)

TC-3.3 MEDIUM Бот без истории триала → триал разрешён Юзер B получает нового бота (не использовавшегося для триала) и активирует триал ✅ Триал разрешён — бот чистый

TC-3.4 MEDIUM Перенос бота + оплата: оплата проходит Юзер B (с перенесённым ботом) пробует оплатить Pro полностью (не триал) ✅ Оплата проходит — антифрод блокирует только триал

4. Блокировка по повторному использованию карты (Stripe)

4 теста

TC-4.1 HIGH Та же карта Stripe → триал заблокирован 1. Юзер A активировал триал с картой 4242...4242
2. Юзер E (новый аккаунт) пробует триал с той же картой 4242...4242 ❌ Триал отклонён — причина: CARD_ALREADY_USED

TC-4.2 HIGH card_hash совпадает в card_fingerprints SELECT card_hash FROM card_fingerprints WHERE user_id IN ('A', 'E') ✅ Одинаковый card_hash у обоих пользователей

TC-4.3 MEDIUM Другая карта Stripe → триал разрешён Юзер F (новый) активирует триал с другой тестовой картой (5555555555554444) ✅ Триал разрешён — карта не использовалась

TC-4.4 MEDIUM Использованная карта → полная оплата проходит Юзер E с отклонённым триалом оплачивает Pro полностью той же картой ✅ Оплата проходит — антифрод НЕ блокирует полную оплату

5. CloudPayments/Prodamus — карта + устройство

3 теста

⚠️ Для CloudPayments/Prodamus проверяется комбинация карта+устройство (fingerprint), а не только карта. Та же карта с другого устройства → триал РАЗРЕШЁН.

TC-5.1 HIGH Та же карта, ДРУГОЕ устройство → триал РАЗРЕШЁН 1. Юзер A активировал триал через CloudPayments с устройства D1
2. Юзер G (новый) пробует триал с той же картой, но с устройства D2 ✅ Триал разрешён — разные устройства

TC-5.2 HIGH Та же карта + ТО ЖЕ устройство → триал ЗАБЛОКИРОВАН 1. Юзер A активировал триал через CloudPayments с устройства D1
2. Юзер H (новый) пробует триал с той же картой И того же устройства D1 ❌ Триал отклонён — причина: CARD_ALREADY_USED

TC-5.3 MEDIUM user_fingerprint записан в card_fingerprints SELECT user_fingerprint FROM card_fingerprints WHERE user_id = '...' ✅ user_fingerprint заполнен (device fingerprint для CloudPayments/Prodamus)

6. Юзер без ботов

2 теста

TC-6.1 HIGH Юзер без ботов → триал разрешён Новый аккаунт без подключённых ботов (IG/TG) пробует активировать триал ✅ Триал разрешён — проверка ботов пропущена (нечего проверять)

TC-6.2 LOW bot_ownership_history пуст для юзера без ботов SELECT * FROM bot_ownership_history WHERE owner_id = '...' ✅ Пусто — записей нет

7. API — hasFingerprint

3 теста

TC-7.1 MEDIUM GET /user → hasFingerprint = false (новый юзер) Новый аккаунт без fingerprint → GET /user ✅ hasFingerprint = false

TC-7.2 MEDIUM GET /user → hasFingerprint = true (после триала) Юзер с активированным триалом (fingerprint записан) → GET /user ✅ hasFingerprint = true

TC-7.3 LOW Ответ отклонения содержит причину При попытке триала с использованной картой — проверить тело ответа API ✅ Ответ содержит код причины (CARD_ALREADY_USED / BOT_HAD_TRIAL_OWNER)

8. Граничные случаи и регрессия

3 теста

TC-8.1 MEDIUM Повторный триал на том же аккаунте Юзер A (триал закончился) пробует снова активировать триал ❌ Триал отклонён — юзер уже использовал триал (стандартная проверка, не антифрод)

TC-8.2 MEDIUM Множественные боты — один «грязный» Юзер с 2 ботами: @bot_clean (чистый) и @bot_dirty (ранее был у триального юзера) ❌ Триал отклонён — достаточно одного «грязного» бота

TC-8.3 LOW Отклонение триала — понятное сообщение пользователю При любом отклонении триала проверить UI: отображается ли сообщение ✅ Пользователь видит понятное сообщение (не generic error)