{"id":13663,"url":"\/distributions\/13663\/click?bit=1&hash=451ddbd742812b6a8618115ca5836294b27a99aedd202de3bf2fbac0b9b35044","title":"\u0412 \u00ab\u0422\u0438\u043d\u044c\u043a\u043e\u0444\u0444\u00bb \u043c\u043e\u0436\u043d\u043e \u043e\u0444\u043e\u0440\u043c\u0438\u0442\u044c \u043a\u0430\u0440\u0442\u0443 \u0441 \u00ab\u0410\u043b\u0451\u043d\u0443\u0448\u043a\u043e\u0439\u00bb \u0412\u0430\u0441\u043d\u0435\u0446\u043e\u0432\u0430","buttonText":"\u0411\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u043e","imageUuid":"050f68d4-46eb-5be0-a8a5-7995b2625086","isPaidAndBannersEnabled":false}
Приёмная
xvt123

Android-клиент банка ВТБ показывает уведомления о всех операциях другого пользователя

Наблюдаемый эффект

Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений. При запуске приложения и до авторизации в нем (ввода PIN-кода) отображаются операции другого клиента, хотя в заголовке формы ввода PIN-кода указаны мои учетные данные. После ввода PIN-кода и до момента выхода из сессии отображаются только мои уведомления об операциях.

Немного деталей

PUSH-уведомления не активированы, в моменты отображения на экране телефона уведомлений о чужих операциях я не авторизован в личном кабинете, приложение оставалось запущенным «в фоне».

В случае, если на момент совершения операций «чужим» клиентом приложение ВТБ в фоне не работало, то на экране уведомление об операции в виде всплывающего окна не отображалось. Однако если запустить приложение, то в окне авторизации можно увидеть число пропущенных уведомлений у символа «колокольчик», по нажатию на который открываются пропущенные «чужие» уведомления.

Уведомления о моих операциях никогда не отображались в приложении (прим.: логичный вопрос — а кому же тогда поступают мои уведомления?)

Переустановка приложения с очисткой памяти и сменой пароля учетной записи не устранила проблему (история, разумеется, сбросилась, но «чужие» уведомления продолжали поступать).

Гипотезы

Предположу, что возможна ошибка в работе Android приложения, вследствие чего на сервер формируется запрос (идентификатор сессии) с признаком «другого клиента», а сервер не проверяя авторизацию выдает данные о транзакциях.

При этом вероятно наличие критической ошибки на стороне сервера, т.к. фактически без авторизации пользователя (пароль/PIN-код пользователем не вводится) предоставляется конфиденциальная информация.

Если так, то существует ненулевая вероятность, что «специальным образом» модифицированное приложение способно предоставлять злоумышленнику данные об операциях целевого клиента.

Примеры данных

  • «Карта *4716: Оплата 250.00 RUB; Сити Ресторант; 20.11.2018 15:59, Доступно 22903.61 RUB»
  • «Списано 2884,00р Счет *0885 получатель Иван У. Баланс 27925,11р 16:59» от 19.10.2020
  • 11.09.2020, 11:58, «Списано 50013,66 RUB Счет *1306 перевод между счетами/картами Баланс 0,00 RUB 11:58»

Вместо заключения

Надеюсь, что это поможет разработчикам найти и исправить ошибку.

Хотелось бы верить, что я ошибаюсь и наблюдаемый эффект — это только следствие неверной записи в базе данных пользователей.

Считаю возможным опубликовать эту информацию здесь с учетом того, что с 2019г. я уже четыре раза обращался по этому вопросу в техническую поддержку и мое лучшее достижение — ответ «Уважаемый клиент! Ваша заявка SD-*** в службу технической поддержки рассмотрена. С уважением, ВТБ (ПАО)»

0
67 комментариев
Написать комментарий...
Сидор

Да это что, я 5 лет получал ВСЕ уведомлениях о начислениях по счету в ВТБ ДРУГОГО человека (при этом не будучи клиентом ВТБ). 
Три обращения в ВТБ по горячей линии не дали результата ("записали, рассмотрим, устраним, этого не может быть!")
Вот так я жил "второй" жизнью - получал уведомления о зарплате и авансе, платил кредиты и тратил много в Шоколаднице ))))

Ответить
Развернуть ветку
xvt123
Автор

Интересна пассивная позиция банка с учетом ст. 26 Банковская тайна ФЗ "О банках и банковской деятельности". И да, пакет "Привилегия" на работу техподдержки не влияет.
Думаю еще немного выждать и написать в Интернет-приемную Банка России.

Ответить
Развернуть ветку
7 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
xvt123
Автор

У меня новое устройство из Европы, в РФ не было до меня. Вишенка - приложения заблокирована возможность сбора телеметрии, аналитики и т.п. (XPrivacy). Если, как вы говорите, программисты ВТБ привязываются к идентификатору телефона - это огромная брешь в безопасности, т.к. его можно легко менять, копировать и т.п.  Даже пародия на cookie тут была бы более безопасна.
Как проект зловреда - получаем список установленных у пользователя приложений, если есть ВТБ, то запрашиваем идентификатор телефона и выгружаем эти данные на внешний сервер. Профит. Дальше осталось подключиться к серверу и получать нужные данные.

Ответить
Развернуть ветку
16 комментариев
Dmitry Myachin

Это не совсем так. Андроид современных версий не даёт возможности получить доступа к несбрасываемым ID. Это раз.
Ещё со времён c2dm в документации было чётко сказано, что это не постоянный айди и нужно уметь его обновлять.

То есть да, клиент получил чужой id, но он не на железо завязан. ЛИБО, уже в порядке бреда, они реально завязываются на железо и получают хеш от слован UNKNOWN или оборачивают каокй-то Security Exception где-то внизу в какую-то STUB строку, а выше понятия не имеют, что там было исключение и считают этот стаб валидными данными.

Но это я реально уже в порядке бреда. Чтобы так сделать, нужно быть абсолютно, наглухо, ебическим образом отбитым дегенератом.

Ответить
Развернуть ветку
3 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
6 комментариев
Павел

Только вот это не пиши. Тк они не активированы и не приходят при закрытом приложении. 

Ответить
Развернуть ветку
Alex Alex

Ваша заявка №VC-ВТБ976547 зарегистрирована. Ожидайте решения в течение 15 лет.

Ответить
Развернуть ветку
Darya

А на VC есть представители ВТБ? Хотелось бы услышать комментарии

Ответить
Развернуть ветку
xvt123
Автор

Связались, запросили идентификаторы моих предыдущих обращений.

Ответить
Развернуть ветку
3 комментария
Киевский колос

На iOS приложение также присылает чужие пуши. А я просто установил его и даже не логинился. Обращение на горячую линию видимо проигнорировали.

Ответить
Развернуть ветку
Денис Цветов

Втб-инвестиции присылали мне проценты по акциям, которых у меня никогда не было (видимо, ими владел кто-то еще). Потом забрали. 

Ответить
Развернуть ветку
Целесообразный паук например

Может, они просто не так понимают «прозрачность»? 🤔

Ответить
Развернуть ветку
Трейдер мамкин

В том что еда говно виноват не повар, а тот кто, зная что говно, продолжает жрать ложками ничего не меняя в своей жизни.

Ответить
Развернуть ветку
Артур

В 2013 году, когда еще жил с родителями, переключил домашний интернет с МТС на местного провайдера, потому что не устраивало качество услуг. Но был один плюс на МТС, что 20% трат на интернет возвращались на мобильный счет. Дк вот, отключился я в 2013, а СМС о том, что "в прошлом месяце вы не пользовались домашним интернетом, скидка "20% возвращаются" - 0 рублей" приходит до сих пор, вот уже на протяжении 8 лет каждый месяц:)

Ответить
Развернуть ветку
Юрий Гизатуллин

ВТБ относительно недавно выпускал на vc статью «10 фишек нового приложения ВТБ Онлайн», где их pr-служба превознесла результат стараний команды из «более 800 человек: 350 разработчиков, 30 дизайнеров, 70 аналитиков, 50 продактов и других». Возможно, этих самых «других» в команде слишком много (судя по цифрам 300 человек), и именно они мешают разработать нормальное приложение (оценка в PlayMarket 3.2, а настоящие отзывы в Апсторе переполнены клиентской болью). Это, конечно, шутка, но в каждой шутке, как известно, есть доля правды.

Разработка мобильного приложения - сложная задача и, возможно, ВТБ её решает полностью внутренней командой, пустившись в догонку за СберТехом. Но очевидно, что даже наняв 800 специалистов, хороший продукт не так легко получить.

Хорошая команда разработки - это немного больше, чем нанятые по списку разработчики. 

Ответить
Развернуть ветку
Maksim Momonov

дальше как обычно выяснится что этот номер телефона был указан родственником или ошибка в 1 цифре.
короче пост не интересный

Ответить
Развернуть ветку
xvt123
Автор

0) как я пока вижу, ВТБ не может выяснить в чем причина, или уже выяснили, но не желают сообщать
1) номер телефона мой с 90-х годов, можно сказать, в одних руках, и при чем тут он, если авторизация у ВТБ по имени учетной записи и паролю.

Ответить
Развернуть ветку
3 комментария
Dmitry Myachin

Я собеседовался на тестировщика в ВТБ. Когда мне описали, чем нужно заниматься и как налажены процессы, я запросил на 50к больше и собеседующий сразу как-то поугас. Так вот при мне бы такой хуйни не было. Зажопили 50к даже не своих денег, бгг

Ответить
Развернуть ветку
xvt123
Автор

По мотивам поступивших комментариев поставил эксперимент:
1) меняю идентификатор - приложение при первом запуске предлагает авторизоваться в личном кабинете, ввести логин и пароль ("ничего не знаю, никого не пущу")
2) возвращаю исходный идентификатор - приложение при запуске предлагает войти в личный кабинет по PIN-коду, в приглашении указано мое имя (режим "вспомнить все").

Вопрос:
если задать идентификатор другого существующего клиента, то не получится ли так, что приложение, помимо доступа к уведомлениям, сразу перейдет к приглашению на вход в личный кабинет другого клиента по PIN-коду?

Ответить
Развернуть ветку
Бабка в засаде

Какой лютый 3.14здец :))) щас бы быть банком и не уметь в базовую безопасность ))

Ответить
Развернуть ветку
xvt123
Автор

Копнул чуть в сторону - все принятые предыдущей версией приложения уведомления (в моем случае чужие) хранятся в открытом виде в таблице БД приложения. Хорошая новость - уведомления, отображаемые в новой версии, в первом приближении, так больше не хранятся. Плохая новость - при обновлении приложение оставляет старые данные в открытом виде как есть на вечное хранение.
С учетом всех вопросов я бы советовал не использовать PUSH уведомления для получения кодов подтверждения операций (такая настройка есть в приложении отдельно от просто уведомлений об операциях).
Как пример:

Ответить
Развернуть ветку
Иван Феофанов
Ответить
Развернуть ветку
MrMike3112 .

Для тех, кто говорит "а, фигня, приходит только маскированный номер карты и информация о тратах, вот что полезного из этого можно извлечь", расскажу по секрету такую вещь. Если вдруг по карте возникнет задолженность (и допустим клиент пропустит минимальный платёж), то банк пришлёт (как мы видим, вполне вероятно что совсем постороннему человеку) уведомление о том, что по договору номер [здесь полный 16-значный номер карты без маскирования и звёздочек] нарушены условия договора. То есть раскрытие по незащищённому (как мы видим из статьи, очень незащищённому) каналу связи реквизитов карты. Что впрямую запрещают как правила платёжных систем (Виза и Мастер точно, за Мир не скажу, но вероятнее всего тоже да), так и требования стандарта PCI DSS. 

Ответить
Развернуть ветку
Peen OChut

С ВТБ онлайн все впорядке, преставлял сим с одного тела на другой и удалял по многу раз приложение, каждый раз после переустановке сервер запрашивал по новый номер карты и ввод своего пароля, приходил push в приложение с названием того устройства на котором авторизуешься, но что было когда то у меня планшетник китайский, так он после вынятия сим и установки в другое устройство продолжал ловить интернет и даже можно было звонить если его не перезагружать, он не был подключен к вафле, её тогда у меня еще не было. 

Ответить
Развернуть ветку
Vitalii Chashchin

Где здесь конфиденциальная информация? Списано 2884р и че? Это не персональные данные если что так на всякий случай 

Ответить
Развернуть ветку
Верный томагавк_два

А если там списано на каком то порносайте или там в поддержку навального - не все возможно хотели бы светить такую информацию?

Ответить
Развернуть ветку
Ilia Ilemkov

Как xprivacy без рута пользоваться? Или кроме него еще стоит Magisk?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Иван Шевцов
Ответить
Развернуть ветку
Читать все 67 комментариев
null