Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Но зато надо пуш/смс при КАЖДОМ входе если вход не приложением ВТБ а например ДзенМани (который нужен ридонли доступ), и нет - API для приложений вроде ДзенМани не хотят похоже, приходится каждый раз этот код вводить).
Да, зато если есть только логин и пароль но телефон не привязан (аккаунту много лет, нет открытых карт) - то надо идти в офис. Получать карту и привязывать телефон.
Завидую вашей уверенности - предоставлять сторонним сервисам доступ к личному кабинету в Банке.
- перевод они сделать не смогут.
- в принципе исходных код плагинов что тянут - доступен и можно посмотреть https://github.com/zenmoney/ZenPlugins
- в европе есть открытые API для таких вещей вот только в России почему то не принято это использовать(та же https://www.saltedge.com/ поддерживает и многие Российские банки похоже что парсингом)
- а что вы скажете про сервисы банков для бизнеса где парсинг даже там где есть API (тиньков бизнес например с модулем похоже не api использует а парсит)
- вот чтобы не приходилось давать логин-и-пароль - нужны API но из того что для физиков - это только яндексденьги/кактамихсейчас зовут умеют.
- кстати а почему Банк - с большой буквы? и про какой именно банк речь? -:) Только ВТБ?
- как быть если нужен нормальный сервис аналитики? ну да я понимаю что история операций может утечь (собственно на серверах дзенмани есть
Вы пишете про Read-only доступ и одновременно про отсутствие API, следовательно данные для доступа сервису передаются полноценные, ограничение что с ними делать реализовано на стороне сервиса.
Доступный в публичных репозитариях исходный код не означает, что этот же код работает на сервере (если, конечно, это не Ваш сервер). Это одна из неразрешимых проблем доверия к сервису. Как итог, Вы либо доверяете сервису, либо нет.
Я как сервис аналитики использую AnMoney (до этого SPB Money) - да, ввод операций вручную, зато вся информация с 200х под рукой и только у меня.
Вообще то можно прочитать как то же ДзенМани и прочие аналоги работают. Не секрет это.
А насчет ограниченй - у всех поголовно банков что мне приходилось пользоваться - для операций перевода и прочего - надо отдельное подтверждение (причем вполне можно сделать чтобы подтверждение шло пушем, и при этом НЕ давать ДзенМани доступов достаточных чтобы эти пуши читать - на андроиде)
Ну да у меня есть основания доверять.
Ну и бонусом - ВТБ и Сбер при входе ДзенМани - присылают смс (ВТБ еще и e-mail)(IP ВТБ в почте не присылает но в ЛК веб-версии отображается)