Наблюдаемый эффект
Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений. При запуске приложения и до авторизации в нем (ввода PIN-кода) отображаются операции другого клиента, хотя в заголовке формы ввода PIN-кода указаны мои учетные данные. После ввода PIN-кода и до момента выхода из сессии отображаются только мои уведомления об операциях.
Немного деталей
PUSH-уведомления не активированы, в моменты отображения на экране телефона уведомлений о чужих операциях я не авторизован в личном кабинете, приложение оставалось запущенным «в фоне».
В случае, если на момент совершения операций «чужим» клиентом приложение ВТБ в фоне не работало, то на экране уведомление об операции в виде всплывающего окна не отображалось. Однако если запустить приложение, то в окне авторизации можно увидеть число пропущенных уведомлений у символа «колокольчик», по нажатию на который открываются пропущенные «чужие» уведомления.
Уведомления о моих операциях никогда не отображались в приложении (прим.: логичный вопрос — а кому же тогда поступают мои уведомления?)
Переустановка приложения с очисткой памяти и сменой пароля учетной записи не устранила проблему (история, разумеется, сбросилась, но «чужие» уведомления продолжали поступать).
Гипотезы
Предположу, что возможна ошибка в работе Android приложения, вследствие чего на сервер формируется запрос (идентификатор сессии) с признаком «другого клиента», а сервер не проверяя авторизацию выдает данные о транзакциях.
При этом вероятно наличие критической ошибки на стороне сервера, т.к. фактически без авторизации пользователя (пароль/PIN-код пользователем не вводится) предоставляется конфиденциальная информация.
Если так, то существует ненулевая вероятность, что «специальным образом» модифицированное приложение способно предоставлять злоумышленнику данные об операциях целевого клиента.
Примеры данных
- «Карта *4716: Оплата 250.00 RUB; Сити Ресторант; 20.11.2018 15:59, Доступно 22903.61 RUB»
- «Списано 2884,00р Счет *0885 получатель Иван У. Баланс 27925,11р 16:59» от 19.10.2020
- 11.09.2020, 11:58, «Списано 50013,66 RUB Счет *1306 перевод между счетами/картами Баланс 0,00 RUB 11:58»
Вместо заключения
Надеюсь, что это поможет разработчикам найти и исправить ошибку.
Хотелось бы верить, что я ошибаюсь и наблюдаемый эффект — это только следствие неверной записи в базе данных пользователей.
Считаю возможным опубликовать эту информацию здесь с учетом того, что с 2019г. я уже четыре раза обращался по этому вопросу в техническую поддержку и мое лучшее достижение — ответ «Уважаемый клиент! Ваша заявка SD-*** в службу технической поддержки рассмотрена. С уважением, ВТБ (ПАО)»
Да это что, я 5 лет получал ВСЕ уведомлениях о начислениях по счету в ВТБ ДРУГОГО человека (при этом не будучи клиентом ВТБ).
Три обращения в ВТБ по горячей линии не дали результата ("записали, рассмотрим, устраним, этого не может быть!")
Вот так я жил "второй" жизнью - получал уведомления о зарплате и авансе, платил кредиты и тратил много в Шоколаднице ))))
Интересна пассивная позиция банка с учетом ст. 26 Банковская тайна ФЗ "О банках и банковской деятельности". И да, пакет "Привилегия" на работу техподдержки не влияет.
Думаю еще немного выждать и написать в Интернет-приемную Банка России.
ВТБ по всем фронтам стремительно занимает последнее место по качеству услуг для физиков. На фоне этого мамонта СБЕР - прям верх технологии и качества обслуживания, без шуток.
Ровно такую же проблему (какой-то чел с горы* привязал мой номер телефона как номер для уведомлений своей карты maestro ) сбер решал 8 месяцев (1 можно вычесть, так как они звонили, а я не взял трубку) и не решил, проблему решил я сам.
Там суть такая: я обслуживаюсь в московском банке сбера, а этот чел в северо-западном банке сбера и в центрально-чернозёмном банке сбера и они в таком случае сделать ничего не могут.
Решение: был в питере, сходил ногами в первое попавшееся отделение, просто вежливо поговорил и показал паспорт и копии обращений (поблагодарили, отфоткали ответы из сберонлайна), аналогично в курской области, там посложнее но тоже довольно корректно, оставил контакты какого-то рукля северозападного банка которые меня попросили оставить, примерно через пару недель они там что-то сами перетерли и проблема ушла.
Последствия: вышел из акций сбера (хоть и было немного, менее 2% портфеля).
*) не фигура речи, просто часто снимал нал в банкомате пгт "какая-то там гора"
У меня проблема "ушла" само собой - подозреваю, что мой двойник просто отключил смс оповещений и перешел на пуш. Или поменял работу и – соотвественно зарплатный банк ))