Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Вроде бы вот это отключает часть(!) функционала "безопашливость".
У втб конечно какая-то шляпа с безопасностью, то лимиты которые можно поставить, но они не работают в старой версии ИБ, то пинкод банкоматы не проверяют то еще что-то странное...
Эта функция отключает восстановление пароля. Только вот после выхода их нового приложения, "над которым работало более 200 человек" пароль просто не нужен. Авторизиризация в моб. приложении происходит по смс.
Более того, даже если через колл центр заблокировать моб. приложение, как я делал, авторизация через qr в якобы "заблокированном" приложении продолжает работать, просто наведите на qr на сайте через кнопку быстрый вход и получите полный доступ в кабинет.
https://www.banki.ru/services/responses/bank/response/10476019/ только недавно написал про это отзыв, но банк делает вид, что не понимает сути претензии.
Причем мне именно поддержка втб-банка и посоветовала заблокировать моб. приложение, чтобы без знания пароля нельзя было авторизироваться. И при этом они и сами не знали, что авторизация по qr и дальше работает из "заблоченного" техподдержкой приложения и пароль не нужен для входа в личный кабинет с помощью моб. приложения.
Банк не делает вид что "не понимает", там такая техподдержка, которая действительно не понимает.
Пример из моего общения с ними:
Я: прилагаю скриншоты 2021г. с уведомлениями об операциях другого клиента, которые отображаются у меня. Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана
....проходит 16 дней...
Банк: Вопрос в работе, потребовались дополнительные данные: просим уточнить в какое время (по московскому времени) сделаны скриншоты. Ответить просим с сохранением переписки.
Я: Отвечая на ваш запрос сообщаю, что запрашиваемая Вами информация изначально содержится в моем исходном сообщении, а именно: «Имя файла вида Screenshot_2021-01-11-10-43-33, где время в формате ГГГГ-ММ-ДД-ЧЧ-ММ-СС на момент снятия скриншота с экрана.» Время по Московскому времени.
Банк: За указанные даты и время сессии отсутствуют. Время на скриншотах указано по московскому времени?
Я: Да, время указано по московскому времени <Еще раз всю ситуацию с начала описываю>