{"id":6504,"title":"\u0417\u043d\u0430\u043d\u0438\u044f \u0438\u043b\u0438 \u043d\u0430\u0432\u044b\u043a\u0438 \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438 \u2014 \u0447\u0442\u043e \u0432\u0430\u0436\u043d\u0435\u0435 \u0434\u043b\u044f \u0441\u0442\u0443\u0434\u0435\u043d\u0442\u0430","url":"\/redirect?component=advertising&id=6504&url=https:\/\/vc.ru\/fsteamchallenge\/288106-studentam-predlozhili-ocenit-svoi-kompetencii-i-gibkie-navyki&placeBit=1&hash=118553100066d9bc16989880064450525097b2f22a603a7346eca248be17a7ff","isPaidAndBannersEnabled":false}
Приёмная
xvt123

Android-клиент банка ВТБ показывает уведомления о всех операциях другого пользователя

Наблюдаемый эффект

Поступают уведомления обо всех операциях другого клиента банка ВТБ в виде всплывающих сообщений. При запуске приложения и до авторизации в нем (ввода PIN-кода) отображаются операции другого клиента, хотя в заголовке формы ввода PIN-кода указаны мои учетные данные. После ввода PIN-кода и до момента выхода из сессии отображаются только мои уведомления об операциях.

Немного деталей

PUSH-уведомления не активированы, в моменты отображения на экране телефона уведомлений о чужих операциях я не авторизован в личном кабинете, приложение оставалось запущенным «в фоне».

В случае, если на момент совершения операций «чужим» клиентом приложение ВТБ в фоне не работало, то на экране уведомление об операции в виде всплывающего окна не отображалось. Однако если запустить приложение, то в окне авторизации можно увидеть число пропущенных уведомлений у символа «колокольчик», по нажатию на который открываются пропущенные «чужие» уведомления.

Уведомления о моих операциях никогда не отображались в приложении (прим.: логичный вопрос — а кому же тогда поступают мои уведомления?)

Переустановка приложения с очисткой памяти и сменой пароля учетной записи не устранила проблему (история, разумеется, сбросилась, но «чужие» уведомления продолжали поступать).

Гипотезы

Предположу, что возможна ошибка в работе Android приложения, вследствие чего на сервер формируется запрос (идентификатор сессии) с признаком «другого клиента», а сервер не проверяя авторизацию выдает данные о транзакциях.

При этом вероятно наличие критической ошибки на стороне сервера, т.к. фактически без авторизации пользователя (пароль/PIN-код пользователем не вводится) предоставляется конфиденциальная информация.

Если так, то существует ненулевая вероятность, что «специальным образом» модифицированное приложение способно предоставлять злоумышленнику данные об операциях целевого клиента.

Примеры данных

  • «Карта *4716: Оплата 250.00 RUB; Сити Ресторант; 20.11.2018 15:59, Доступно 22903.61 RUB»
  • «Списано 2884,00р Счет *0885 получатель Иван У. Баланс 27925,11р 16:59» от 19.10.2020
  • 11.09.2020, 11:58, «Списано 50013,66 RUB Счет *1306 перевод между счетами/картами Баланс 0,00 RUB 11:58»

Вместо заключения

Надеюсь, что это поможет разработчикам найти и исправить ошибку.

Хотелось бы верить, что я ошибаюсь и наблюдаемый эффект — это только следствие неверной записи в базе данных пользователей.

Считаю возможным опубликовать эту информацию здесь с учетом того, что с 2019г. я уже четыре раза обращался по этому вопросу в техническую поддержку и мое лучшее достижение — ответ «Уважаемый клиент! Ваша заявка SD-*** в службу технической поддержки рассмотрена. С уважением, ВТБ (ПАО)»

{ "author_name": "xvt123", "author_type": "self", "tags": [], "comments": 67, "likes": 46, "favorites": 10, "is_advertisement": false, "subsite_label": "claim", "id": 208503, "is_wide": true, "is_ugc": true, "date": "Sat, 13 Feb 2021 21:39:06 +0300", "is_special": false }
0
67 комментариев
Популярные
По порядку
Написать комментарий...

Да это что, я 5 лет получал ВСЕ уведомлениях о начислениях по счету в ВТБ ДРУГОГО человека (при этом не будучи клиентом ВТБ). 
Три обращения в ВТБ по горячей линии не дали результата ("записали, рассмотрим, устраним, этого не может быть!")
Вот так я жил "второй" жизнью - получал уведомления о зарплате и авансе, платил кредиты и тратил много в Шоколаднице ))))

68

Интересна пассивная позиция банка с учетом ст. 26 Банковская тайна ФЗ "О банках и банковской деятельности". И да, пакет "Привилегия" на работу техподдержки не влияет.
Думаю еще немного выждать и написать в Интернет-приемную Банка России.

18

ВТБ по всем фронтам стремительно занимает последнее место по качеству услуг для физиков. На фоне этого мамонта СБЕР - прям верх технологии и качества обслуживания, без шуток.

30

Ровно такую же проблему (какой-то чел с горы* привязал мой номер телефона как номер для уведомлений своей карты maestro ) сбер решал 8 месяцев (1 можно вычесть, так как они звонили, а я не взял трубку) и не решил, проблему решил я сам.

Там суть такая: я обслуживаюсь в московском банке сбера, а этот чел в северо-западном банке сбера и в центрально-чернозёмном банке сбера и они в таком случае сделать ничего не могут.

Решение: был в питере, сходил ногами в первое попавшееся отделение, просто вежливо поговорил и показал паспорт и копии обращений (поблагодарили, отфоткали ответы из сберонлайна), аналогично в курской области, там посложнее но тоже довольно корректно, оставил контакты какого-то рукля северозападного банка которые меня попросили оставить,  примерно через пару недель они там что-то сами перетерли и проблема ушла.

Последствия: вышел из акций сбера (хоть и было немного, менее 2% портфеля).
 
*) не фигура речи, просто часто снимал нал в банкомате пгт "какая-то там гора" ред.

6

У меня проблема "ушла" само собой - подозреваю, что мой двойник просто отключил смс оповещений и перешел на пуш. Или поменял работу и – соотвественно зарплатный банк ))

2

Не совсем: когда я им предоставил реальную ситуацию с неконкурентностью предлагаемых банком мне кредитом (они звонили мне по телефону), банк прислал мне сегодня конкурентоспособное предложение по кредиту. Хотя ещё не совсем доработанное ими

0

Персональные данные в уведомлениях об операциях не содержатся, поэтому позиция банка понятна и неинтересная- баг не критичного приоритета

6

ВТБ вообще глубоко все равно на все, как я уже понял из опыта работы с ним. "Мы принадлежим государству, вы к нам все равно придете" - их позиция. Реально даже хуже чем Сбер.

1

Как говорится "на вкус и цвет товарища нет". Предпочитаю ВТБ и 15 лет не работаю со Сбером. Впрочем, я не предприниматель: ИП закрыл в 2019

0

Комментарий удален по просьбе пользователя

9

У меня новое устройство из Европы, в РФ не было до меня. Вишенка - приложения заблокирована возможность сбора телеметрии, аналитики и т.п. (XPrivacy). Если, как вы говорите, программисты ВТБ привязываются к идентификатору телефона - это огромная брешь в безопасности, т.к. его можно легко менять, копировать и т.п.  Даже пародия на cookie тут была бы более безопасна.
Как проект зловреда - получаем список установленных у пользователя приложений, если есть ВТБ, то запрашиваем идентификатор телефона и выгружаем эти данные на внешний сервер. Профит. Дальше осталось подключиться к серверу и получать нужные данные.

6

уф! новое устройство из европы.... куда уже год нельзя выехать.. европа это случайно не алиэкспресс?

–13

А какое отношение телефон имеет к вопросу? При правильной реализации архитектуры системы клиент-сервер это должно быть не важно вовсе.
Для интересующихся - нормальная европейская страна, приличный корейский производитель, новая (на момент покупки) модель.

6

Комментарий удален по просьбе пользователя ред.

0

Я специально не перехожу на PUSH-уведомления несмотря на активные предложения приложения ВТБ. В моем случае они не активированы (я так думаю).
Я в исходном посте отметил, что сбросил все данные приложения, все данные своей учетной записи и заново все настроил - ничего не изменилось. Моих уведомлений нет, чужие приходят.

2

Комментарий удален по просьбе пользователя

1

Комментарий удален по просьбе пользователя

0

Идею уловил. Если сделано так - то, думаю, для банковских приложений это неправильно. Пример выше я привел как этим можно воспользоваться.

0

Тогда вам нужно писать в Google и Apple. Рассылка всех push-уведомлений производится только через их серверы.

–1

Google тут не причем, у меня PUSH-уведомления не активированы в настройках онлайн-банкинга ВТБ. 
Повторюсь, запускаю фирменное приложение ВТБ и в его графическом интерфейсе еще до авторизации могу просматривать операции другого клиента за последние пару лет. Все чужие операции отображаются в интерфейсе приложения ВТБ.

0

Вы сами написали:
думаю, для банковских приложений это неправильно

Но это именно тот механизм, который предоставляют вендоры платформ.

ВТБ ваш идентификатор прикрепили к другому пользователю. Вот и всё. Никаких специальных аутентификаций и разрешений, чтобы отправлять вам сообщения о чужих транзакциях более не предусмотрено. Далее просто ВТБ стучится в Гугл и говорит: отправь это сообщение на ID такой-то. Всё равно, как если бы они в профиле поставили ваш номер телефона и слали на него смски.

0

и что? прям мир перевернулся после этого? после того как я узнаю, что какой-то человек купил на 512 рублей что-то?

–8

Комментарий удален по просьбе пользователя

0
Непрерывный историк

Не знаю, кто вам такое рассказал, но это работает не так. Токен генерируется минимум на каждую установку приложения.

0

Вы уверены, что это не "благодаря" XPrivacy?
Да, возможно косяк в банке, но также возможен такой сценарий:
- Кто-то другой ставит приложение банка с установленным XPrivacy, и настраивает спуфинг ид телефона
- По этому ид гугл понимает кому слать пуши
- Вы ставите себе тот же ид
- Пуши теперь идут и Вам тоже

0

Не исключаю, что подмена идентификатора может давать такой эффект. И, как я писал выше, если так, то мы имеем уязвимость в системе банк-клиент, которой можно легко можно воспользоваться.

1

Если у того человека, от которого приходят уведомления, тоже стоит xprivacy, то уязвимости в банк-клиенте вполне может и не быть: банк-клиент обращается к ОС андроид за пуш-нотификациями, и никак на них повлиять не может. Push-сервис именно гугловский.

У xprivacy вполне есть возможность из-за бага устроить подлянку - его автор игнорирует очевидные проблемы безопасности в его приложухе и занят продажей про версии и блокировкой любой критики его прелести. Багов в нём вагон и тележка, как в xprivacy, так и в xprivacylua.

0

Это не совсем так. Андроид современных версий не даёт возможности получить доступа к несбрасываемым ID. Это раз.
Ещё со времён c2dm в документации было чётко сказано, что это не постоянный айди и нужно уметь его обновлять.

То есть да, клиент получил чужой id, но он не на железо завязан. ЛИБО, уже в порядке бреда, они реально завязываются на железо и получают хеш от слован UNKNOWN или оборачивают каокй-то Security Exception где-то внизу в какую-то STUB строку, а выше понятия не имеют, что там было исключение и считают этот стаб валидными данными.

Но это я реально уже в порядке бреда. Чтобы так сделать, нужно быть абсолютно, наглухо, ебическим образом отбитым дегенератом.

3

Комментарий удален по просьбе пользователя

0
Непрерывный историк

Такого даже в gcm не было. Более того - у моторолы лет 10 назад был баг и у большого числа телефонов был одинаковый device id, работе пушей это никак не мешало.

0

С учетом того, что у автора стоит xposed+xprivacy, он мог вполне выдавать приложению мусорные данные такие же, как у другого пользователя xprivacy, благодаря чему произошел такой интересный айди-шеринг.

0

Комментарий удален по просьбе пользователя

1

Комментарий удален по просьбе пользователя ред.

–2

Комментарий удален по просьбе пользователя ред.

0

Комментарий удален по просьбе пользователя

0
Непрерывный историк

Судя по тому, что пишет автор - пуши там вообще сбоку. Ему тупо историю отдают.

0

В целом да, запускаю приложение, вижу свое имя, PIN-код не ввожу (т.е. сессии активной с банком нет в этот момент), открываю уведомления (а они отображаются без авторизации, кстати) - вижу чужие в виде списка.

0

Вот так это выглядит в новой версии приложения после сброса данных:
1) окно логина (индикатор уведомлений активен)
2) вывод чужой истории до авторизации в приложении
3) данные об операции в виде всплывающего окна

0

Только вот это не пиши. Тк они не активированы и не приходят при закрытом приложении. 

0

Ваша заявка №VC-ВТБ976547 зарегистрирована. Ожидайте решения в течение 15 лет.

10

А на VC есть представители ВТБ? Хотелось бы услышать комментарии

4

Связались, запросили идентификаторы моих предыдущих обращений.

2

И cvv код?

1

Здравствуйте! Проработали Вашу ситуацию, сейчас всё исправлено, приложение на Вашем устройстве работает корректно.

0

Позвонили, сообщили без технических деталей, что "данная проблема была устранена, банк произвел корректировку необходимых данных и в дальнейшем подобные уведомления меня беспокоить не будут" и что было "техническое несоответствие в рамках моих уведомлений". 

0
Царский дым

На iOS приложение также присылает чужие пуши. А я просто установил его и даже не логинился. Обращение на горячую линию видимо проигнорировали.

4

Втб-инвестиции присылали мне проценты по акциям, которых у меня никогда не было (видимо, ими владел кто-то еще). Потом забрали. 

3

В том что еда говно виноват не повар, а тот кто, зная что говно, продолжает жрать ложками ничего не меняя в своей жизни.

2

В 2013 году, когда еще жил с родителями, переключил домашний интернет с МТС на местного провайдера, потому что не устраивало качество услуг. Но был один плюс на МТС, что 20% трат на интернет возвращались на мобильный счет. Дк вот, отключился я в 2013, а СМС о том, что "в прошлом месяце вы не пользовались домашним интернетом, скидка "20% возвращаются" - 0 рублей" приходит до сих пор, вот уже на протяжении 8 лет каждый месяц:) ред.

2

ВТБ относительно недавно выпускал на vc статью «10 фишек нового приложения ВТБ Онлайн», где их pr-служба превознесла результат стараний команды из «более 800 человек: 350 разработчиков, 30 дизайнеров, 70 аналитиков, 50 продактов и других». Возможно, этих самых «других» в команде слишком много (судя по цифрам 300 человек), и именно они мешают разработать нормальное приложение (оценка в PlayMarket 3.2, а настоящие отзывы в Апсторе переполнены клиентской болью). Это, конечно, шутка, но в каждой шутке, как известно, есть доля правды.

Разработка мобильного приложения - сложная задача и, возможно, ВТБ её решает полностью внутренней командой, пустившись в догонку за СберТехом. Но очевидно, что даже наняв 800 специалистов, хороший продукт не так легко получить.

Хорошая команда разработки - это немного больше, чем нанятые по списку разработчики. 

2

дальше как обычно выяснится что этот номер телефона был указан родственником или ошибка в 1 цифре.
короче пост не интересный

–9

0) как я пока вижу, ВТБ не может выяснить в чем причина, или уже выяснили, но не желают сообщать
1) номер телефона мой с 90-х годов, можно сказать, в одних руках, и при чем тут он, если авторизация у ВТБ по имени учетной записи и паролю.

5

А чего не с 80 то годов? 

0

Авторизация в ВТБ и по телефону и по почте и по логину , и по айди.

0

очень переживаю вашей проблеме, особенно то что вы решили только сейчас об этом сообщить.
может петицию составим? ред.

–11

Я собеседовался на тестировщика в ВТБ. Когда мне описали, чем нужно заниматься и как налажены процессы, я запросил на 50к больше и собеседующий сразу как-то поугас. Так вот при мне бы такой хуйни не было. Зажопили 50к даже не своих денег, бгг

1

По мотивам поступивших комментариев поставил эксперимент:
1) меняю идентификатор - приложение при первом запуске предлагает авторизоваться в личном кабинете, ввести логин и пароль ("ничего не знаю, никого не пущу")
2) возвращаю исходный идентификатор - приложение при запуске предлагает войти в личный кабинет по PIN-коду, в приглашении указано мое имя (режим "вспомнить все").

Вопрос:
если задать идентификатор другого существующего клиента, то не получится ли так, что приложение, помимо доступа к уведомлениям, сразу перейдет к приглашению на вход в личный кабинет другого клиента по PIN-коду?

1

Какой лютый 3.14здец :))) щас бы быть банком и не уметь в базовую безопасность ))

1

Копнул чуть в сторону - все принятые предыдущей версией приложения уведомления (в моем случае чужие) хранятся в открытом виде в таблице БД приложения. Хорошая новость - уведомления, отображаемые в новой версии, в первом приближении, так больше не хранятся. Плохая новость - при обновлении приложение оставляет старые данные в открытом виде как есть на вечное хранение.
С учетом всех вопросов я бы советовал не использовать PUSH уведомления для получения кодов подтверждения операций (такая настройка есть в приложении отдельно от просто уведомлений об операциях).
Как пример: ред.

1

Для тех, кто говорит "а, фигня, приходит только маскированный номер карты и информация о тратах, вот что полезного из этого можно извлечь", расскажу по секрету такую вещь. Если вдруг по карте возникнет задолженность (и допустим клиент пропустит минимальный платёж), то банк пришлёт (как мы видим, вполне вероятно что совсем постороннему человеку) уведомление о том, что по договору номер [здесь полный 16-значный номер карты без маскирования и звёздочек] нарушены условия договора. То есть раскрытие по незащищённому (как мы видим из статьи, очень незащищённому) каналу связи реквизитов карты. Что впрямую запрещают как правила платёжных систем (Виза и Мастер точно, за Мир не скажу, но вероятнее всего тоже да), так и требования стандарта PCI DSS. 

0

С ВТБ онлайн все впорядке, преставлял сим с одного тела на другой и удалял по многу раз приложение, каждый раз после переустановке сервер запрашивал по новый номер карты и ввод своего пароля, приходил push в приложение с названием того устройства на котором авторизуешься, но что было когда то у меня планшетник китайский, так он после вынятия сим и установки в другое устройство продолжал ловить интернет и даже можно было звонить если его не перезагружать, он не был подключен к вафле, её тогда у меня еще не было. 

0

Где здесь конфиденциальная информация? Списано 2884р и че? Это не персональные данные если что так на всякий случай 

0
Агрессивный корабль

А если там списано на каком то порносайте или там в поддержку навального - не все возможно хотели бы светить такую информацию?

0

Как xprivacy без рута пользоваться? Или кроме него еще стоит Magisk?

0

Комментарий удален

Комментарий удален

Читать все 67 комментариев
Как превратить дистанционных сотрудников из 65 городов в эффективную команду

IT-компании давно научились работать с дистанционными сотрудниками. Однако если раньше речь шла о найме нескольких специалистов или небольшой команды под проект, то последние полтора года дали бизнесу серьезный опыт управления целыми удаленными коллективами, а дистанционных сотрудников законодательно наделили новыми правами, создав больше…

Украли Xbox One X при отправке груза через «Деловые линии» и заменили его на книги

Спойлер: при отправке груза через ТК "Деловые линии" украли игровую консоль Xbox One X, вместо консоли в коробку положили мои же книги, которые взяли с другого пакета. Со слов сотрудников компании — "По видеозаписям с камер несанкционированных действий к вашему грузу не было обнаружено".

Мой новый "Xbox One X"
Ozon запустил Route 256 — карьерный маршрут для IT-специалистов

Ozon открывает набор на 1-й поток бесплатной программы Route 256 для талантливых IT-специалистов, которые хотят добавить к своим навыкам: GO-разработку; C#-разработку; автотесты на Go и Python или прогрессивный фреймворк Vue.js.

Гиперинфляция: «экономика» Германии после Первой мировой войны

Статья о том, каким образом Первая мировая война сказалась на Германии, неэффективные действия правительства которой привели эту страну и её население к гиперинфляции и государственным ценам в квадриллионах немецких марок. На фото — деньги, необходимые для покупки одной буханки хлеба в Германии в октябре 1923 года.

Деньги, необходимые для покупки одной буханки хлеба, октябрь 1923 г.
Кто-то теряет, а кто-то находит. Правила подбора персонала для рекрутера и руководителя

Колонка Людмилы Волковой, директора по управлению талантами «Ростелекома» с 15-летним опытом в HR.

«Ожидали 100 тысяч просмотров, а вышло в восемь раз больше»: как и зачем крупные бренды снимают ролики для TikTok

Истории «Ситилинка», «Тинькофф», «Спортмастера» и «КиноПоиска».

«Яндекс» с фондами открыл компанию ClickHouse — она выпустит сервисы на основе систем управления базами данных Статьи редакции

Одноимённую СУБД с открытым кодом «Яндекс» развивает больше десяти лет.

Цели и оптимизации рекламы в Facebook и Instagram и способы их применения

Цель продвижения – одна из самых важных настроек рекламной кампании в Facebook (читайте и в Instagram, потому что это одна рекламная система). От выбора цели зависит поиск аудитории алгоритмами. Уверены, вы хотите показываться релевантным пользователям. Предлагаем разобраться в рекламных целях и их оптимизациях. Также в материле я расскажу о…

Стоимость биткоина упала на 10% — инвесторы избавляются от рисковых активов на фоне падения мирового фондового рынка Статьи редакции
AliExpress Russia Overview: 9 главных трендов электронной коммерции

8 сентября «AliExpress Россия» собрал топов электронной коммерции и инвестиционных аналитиков на конференции AERO. Собрали самое важное из пятичасового обсуждения.

Как потерять много клиентов и даже не понять этого

Очередной эпик фейл руссиан маркетолоджи.

null