Дыра в безопасности Тинькофф
На днях обнаружил, что для восстановления доступа в мобильное приложение Тинькофф достаточно иметь SIM-карту, на которую приходит код подтверждения, и знать номер банковской карты.
То есть представим негативную ситуацию, вероятность которой не то чтобы нулевая - вас ограбили, при этом сильно избили, возможно до бессознательного состояния - то есть какое-то продолжительное время вы не можете никуда позвонить, в том числе в банк для блокировки карты.
За то время, пока вы в таком беспомощном состоянии находитесь, преступники, завладев вашим телефоном и банковской картой, смогут получить доступ ко всем вашим деньгам - и на карте, и на вкладах - и никакие лимиты по тратам, которые вы установили, будучи продвинутым человеком, вам не помогут. Преступники получат SMS с кодом подтверждения и введут номер вашей карты точно так же, как это сделали бы вы, если бы забыли пароль.
Конечно, если телефон в момент ограбления заблокирован и SIM-карта запаролена (у вас стоит пароль на SIM-карту?), то задача для преступников уже не становится такой простой. Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянии, и в таком состоянии его после этого всё время поддерживали, то реализация описанного выше сценария ставится вполне возможной.
Способ решения проблемы уже давно известен и активно применяется в разных сервисах - это восстановление пароля не только по коду, присылаемому в SMS и номеру карты, но и по правильному ответу на контрольные вопросы, которые клиент сам выбрал при регистрации в банке.
Паяльник в одно место и вы ответите на контрольные вопросы, откроете дома сейф и подкинете бандитов до их машины, как было с женой покойного градского.
К сожалению, вынужден плюсануть.
Но есть важный нюанс. Паяльник значит, что это не какие-то случайные карманники или наркоманы, а сработавшаяся бригада, которая целенаправленно занимается этой деятельностью, заранее готовая к разным сценариям, в том числе к подобным блокировкам и даже некоторым способам самообороны жертвы. Тут конечно никакие контрольные вопросы не помогут.
Но если это именно случайное ворьё включая случаи, когда человек просто потерял-забыл телефон, а его нашёл вор, то эти контрольные вопросы неплохо отсекут этих рандомщиков.
Поэтому хоть это и не абсолютная защита, но процент защищённости немного, да повысит.
Только ли Тинькова? У других сильно иначе?
Давно известная дыры тинькоффа. Большие суммы там нельзя хранить.
Больше всего бесит что нельзя зайти на сайт банка и увидеть документацию на то как "работает безопасность". Например узнать по каким данным восстанавливается доступ, по каким меняется номер, по каким меняется доступ в веб версию, восстанавливается ли доступ по дополнительным картам и т.п. Т.е. подробную и исчерпывающую документацию на абсолютно весь функционал.
Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянии
или насильно приложили палец жертвы и разблокировали телефон с отпечатком.
Это не дыра в Тиньке, это принцип работы современного дбо. Увы.
Сбер с симкой вы так же восстановите, попробуйте. И втб..
Пароль на разблокировку, пин на симку и не лазить по улице, как идиот с включённым экраном (раз нужна безопасность финансов).
А вариант с тем, что выхватят разблокированный такая же, как если вместе с разбоем «попросят» сделать все своими руками.
На полном серьёзе и без рофлов поошу подсказать надежный банк без дыр в безопасности
Потому что надо сим карту паролить пин кодом.
Я свои давно запаролил.