Binance — долгоиграющая скам-машина или сервис с дырявой системой безопасности?

Вам уже приходили коды подтверждения от Binance для завершения регистрации, хотя вы ни разу даже не были на их сайте? Поздравляю — скорее всего, на ваш номер телефона уже зарегистрировали аккаунт, а служба поддержки сервиса будет лишь разводить руками и во всём винить вашего мобильного оператора. Но давайте по порядку: )

7 ноября я внезапно получаю SMS от Binance с кодом подтверждения и классической фразой «Никому его не сообщайте». Хорошо, никому не сообщу, он и мне-то не нужен. Через 12 минут ещё одно, снова код, снова «Только тсссс, молчок». 7 ноября я ещё не являлась пользователем Binance, зарегистрироваться не пыталась тоже, поэтому у меня было 3 версии:

1) Кто-то ошибся номером телефона, бывает.

2) Неделю назад я заходила на Binance Academy, может сайты теперь умеют трекать номер телефона и делать рассылку для прогрева, чтобы простимулировать юзера зарегистрироваться?

3) Окей, спам, тоже бывает. Как раз месяца 2 назад на меня запускали SMS-бомбер, и подобными сообщениями меня не удивить.

А учитывая, что незадолго до этого я действительно захотела начать разбираться в крипте, произошедшее показалось знаком. Может правда зарегаться?

Окей. 10 ноября я подумала «Пора, Настя, завести кошелёк и купить монетки, а то что ты как лох». В Твиттере у многих знакомых видела именно Binance, поэтому, чтобы долго не страдать в выборе десктопных и холодных кошельков, решила начать как раз с него, вроде как простого и крайне дружелюбного. Качаю приложение на телефон. Начинаю регистрироваться. Этап подтверждения номера телефона. Вот прямо сейчас должен прийти код подтверждения (теперь запланированный и желанный).

Кода нет. Прошу отправить ещё раз. Не-а, не приходит. А потом «У вас нет доступа к данному сервису», а потом «Неверный пароль». Удивительно и непонятно, но ладно.

Учитывая, что я никуда не тороплюсь, решаю переждать эти «технические сбои» и лениво пробую снова получить код пару раз в день вплоть до 14 ноября.

(Клянусь, скоро начнётся самое интересное, потерпите немного).

14 ноября я понимаю, что мне уже порядком надоели такие приколы, бонусом начинает доходить, что те самые первые коды приходили мне не просто так. Пишу в поддержку. Поддержка говорит, что на мой номер телефона уже зарегистрирован аккаунт, поэтому мне и не приходит код.

«Я всё же думаю, что аккаунт был создан вами случайно». Да ладно! Классно и очень удобно. Может, у меня деменция? Спорить не стала, прошла нудную процедуру верификации для подтверждения личности (надо снять видео с паспортом в кадре и ответить на несколько вопросов), привязки аккаунта к своей почте и сбросила пароль. Наконец впервые захожу в аккаунт и вижу это:

Не, ребят, серьёзно, на моём НОВОМ аккаунте были пуши от сентября, представляете :) Давайте ещё раз напомню всю цепочку событий в цифрах —

7 ноября мне приходят от Binance непрошеные коды подтверждения для завершения регистрации -> 10 ноября я сама пытаюсь зарегистрировать аккаунт на свой номер телефона -> 14 ноября выясняется, что у меня уже есть аккаунт -> а судя по первым пушам, аккаунт существовал как минимум с 24 сентября, ещё до получения первых кодов смсками. Получается, что аккаунт можно и без них создать?

К этому моменту я уже начала истерично хихикать, взвешивая 2 варианта: либо я сошла с ума, либо мой личный номер телефона стал чьим-то инструментом для чёрт знает каких задач. Пошла копать дальше и открыла историю сессий за последние 3 месяца:

Привет! 23 сентября с неизвестного мне айпишника кто-то заходил якобы в Москве, а вот как раз 7 ноября, когда мне пришли первые коды от Binance, были сессии из, внимание, Глазова и Питера, да ещё и с разницей в 12 минут. VPN? Вы давно видели VPN с сервером в Глазове? Тор? Ну тоже что-то сомнительно выглядит.

Снова пишу в службу поддержки, ответ убил:

Мы вас понимаем, но это не в нашей юрисдикции, а косяк этот вообще со стороны оператора, вот его и спросите.

То есть создание аккаунта, привязанного к телефону человека без его ведома, это уже не юрисдикция сервиса. Не его же, вероятно, юрисдикция проводить идентификацию и верификацию пользователя во время регистрации. Особенно кстати учитывая, что сентябрьские сессии в аккаунте осуществлялись даже без этих дурацких кодов, Господи прости, подтверждения. Что вообще входит в юрисдикцию Binance?

Не его же юрисдикция безопасность ваших текущих аккаунтов. Потому что доступ к нему может получить кто угодно, и мы это с вами выяснили выше. Помните я писала, что для получения доступа к аккаунту меня попросили снять видео с паспортом и ответить на вопросы?

Вот как раз эти вопросы: 1) дата регистрации, 2) айпишник, с которого регистрировались, 3) устройство, с которого регистрировались, от названия модели до версии операционки.

На все эти вопросы я отвечала из расчёта, что регистрация случайно завершилась 10 ноября, когда я пыталась завести аккаунт. Может действительно был сбой в системе и меня зарегали без кода доступа? Поэтому я назвала службе поддержки 10.11, свой айпишник, модель своего айфона, его ось. А далее мы видим, что самая первая сессия из журнала активностей была произведена на 2 месяца раньше, совершенно с другого IP, вообще ни разу не с айфона, а с КОМПЬЮТЕРА на винде.

Получается, что я ни на один вопрос службы поддержки не смогла верно ответить, завалив каждый из них с треском, но поддержку это не смутило, и она привязала аккаунт к почте, которую я назвала, чтобы сбросить пароль. А если бы эту процедуру делал кто-нибудь другой, получив доступ к моему телефону? Ему не нужно было бы знать детали регистрации, его дату и IP, с которого это происходило. Потому что служба поддержки плевать на это хотела, она возвращает тебе доступ, что бы ты ей ни написал.

Безусловно я связалась со своим оператором, но ничего нового он не сказал:

В самом начале статьи я упоминала, что в сентября на меня включали SMS-бомбер, отчего я тогда изрядно понервничала и прошерстила информацию о дубликатах симкарт, потому что безумный поток сообщений от разных сервисов напоминал попытку взлома всего и сразу: от банковских приложений до аккаунта на сайте Sunlight, где я даже не была зарегистрирована. За несколько дней я вынесла мозг МТС, знакомым из этой сферы, незнакомым и Гуглу.

У всех был один ответ — две симкарты не могут работать одновременно чисто технически, одна из них заблокируется. Да, есть сложная схема кражи симок, но так заморачиваться ради среднестатистического крестьянина типа меня просто нерационально. Да и, в конце концов, зачем всего лишь создавать пустой кошелёк на Binance, раз уж ты сделал дубль симкарты другого человека и мог бы взломать все его соцсети, попытаться угнать реальные деньги, в конце концов просто шантажировать хозяина симки?

Немаловажно — моему номеру уже больше 10 лет, так что это не мог быть аккаунт прошлого владельца симки. Аргументация службы поддержки Binance не выдерживает элементарной критики.

На волне всех этих событий я решила провести опрос в Инстаграме и посмотреть, приходили подобные сообщения тем, кто Binance не пользуется, или нет. 20% нажали на кнопку «приходили».

А вот такая стата в Вордстате:

И финалочка. Вот я в первый раз отметила Binance в сторис без какого-либо негатива, на что они моментально ответили, имитируя озабоченность вопросом:

А вот я полыхаю аки феникс, рассказывая всю эту историю, и модерации 0, хотя все мои сторис они посмотрели моментально:

То есть они даже не попытались узнать в чём проблема, как-то опровергнуть мои слова или хотя бы перевести стрелки на моего оператора. Просто ни-че-го. Молчание — знак согласия? :)

Я не завершу эту статью каким-то логичным выводом, потому что у меня его просто нет (кроме как «не пользуйтесь Binance, он шо-то мутит»). Но я очень бы хотела почитать ваше мнение и ваши истории.

Может кто-то также сталкивался с подобным? Что теперь делать? Ведь получается, что у меня уже верифицированный акк, а зайдут ли в него снова из какого-нибудь Глазова или нет — вряд ли зависит от меня, даже если я буду менять пароли каждый день.