Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Вроде бы вот это отключает часть(!) функционала "безопашливость".
У втб конечно какая-то шляпа с безопасностью, то лимиты которые можно поставить, но они не работают в старой версии ИБ, то пинкод банкоматы не проверяют то еще что-то странное...
Эта функция отключает восстановление пароля. Только вот после выхода их нового приложения, "над которым работало более 200 человек" пароль просто не нужен. Авторизиризация в моб. приложении происходит по смс.
Более того, даже если через колл центр заблокировать моб. приложение, как я делал, авторизация через qr в якобы "заблокированном" приложении продолжает работать, просто наведите на qr на сайте через кнопку быстрый вход и получите полный доступ в кабинет.
https://www.banki.ru/services/responses/bank/response/10476019/ только недавно написал про это отзыв, но банк делает вид, что не понимает сути претензии.
Причем мне именно поддержка втб-банка и посоветовала заблокировать моб. приложение, чтобы без знания пароля нельзя было авторизироваться. И при этом они и сами не знали, что авторизация по qr и дальше работает из "заблоченного" техподдержкой приложения и пароль не нужен для входа в личный кабинет с помощью моб. приложения.
Да, я как раз про вот такие истории. Очень серьёзно не додумали.
А вот раньше были одноразовые коды с карточкой... Эх...
А главное что уровень безопасности выбрать то нельзя и положение тумблера 'удобство-безопасность' приварено намертво...
Банк не делает вид что "не понимает", там такая техподдержка, которая действительно не понимает.
Пример из моего общения с ними:
Я: прилагаю скриншоты 2021г. с уведомлениями об операциях другого клиента, которые отображаются у меня. Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана
....проходит 16 дней...
Банк: Вопрос в работе, потребовались дополнительные данные: просим уточнить в какое время (по московскому времени) сделаны скриншоты. Ответить просим с сохранением переписки.
Я: Отвечая на ваш запрос сообщаю, что запрашиваемая Вами информация изначально содержится в моем исходном сообщении, а именно: «Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана.» Время по Московскому времени.
Банк: За указанные даты и время сессии отсутствуют. Время на скриншотах указано по московскому времени?
Я: Да, время указано по московскому времени <Еще раз всю ситуацию с начала описываю>
Я в октябре 2020 им об этом написал. После долгой переписки ни о чем их ответ был, "Мы постоянно работаем над совершенствованием систем и процессов, чтобы обеспечить безопасность финансов клиентов, а также исключить возможность мошеннических действий". Занавес.
Оставил обращение по поводу входа по QR. Чем больше будет однотипных обращений, тем быстрей исправят.
По данному вопросу на мое обращение Банк ВТБ предложил мне расторгнуть ДКО.
Мне они, после того, как я написал комментарий сюда, дали ответ, что учли и исправят данный недочёт. Может отписка стандартная. Подожду неск. месяцев и напишу отдельный пост, если не поправят. Все-таки vc они просматривают.