Провёл эксперимент: с помощью получения кода из СМС и знания номера карты можно получить доступ к аккаунту BТБ-онлайн
По мотивам постов
поставил эксперимент:
1) Взял новый чистый телефон, далее Телефон №2 (сеть - только WiFi)
2) Установил Android-клиент ВТБ-Онлайн из Play Market
3) Ввел УНК
Достаем попкорн...
4) Вместо ожидаемого (и требуемого ранее!) приглашения на ввод пароля на основной телефон пришло СМС с кодом, ввод которого на телефоне №2 предоставил мне полный доступ к ВТБ-Онлайн
5) Без необходимости подтверждения от клиента (Телефон №1 больше не нужен) в два клика в приложении на Телефоне №2 осуществлен переход с СМС на PUSH-коды и PUSH-уведомления -- для дальнейшего подтверждения операций Телефон №1 не требуется, уведомления на него больше не поступают.
Бонус: вместо УНК можно ввести номер банковской карты (повторил эксперимент, только в п.3 вместо УНК ввел номер банковской карты - работает).
ИТОГО: полный перехват контроля над аккаунтом ВТБ-Онлайн возможен посредством получения единственного кода из СМС и знания номера карты.
PS: А еще в январе требовалось вводить полный пароль.
Если к вышеизложенному прибавить информацию о доступности перехвата СМС (или смене SIM у "честного" сотрудника оператора связи), то складывается совсем нерадостная картина.
Стоить добавить, что перевыпущенную сим-карту СБ банка ВТБ блокирует примерно через одну неделю, исходя из личного опыта. Здесь также под удар попадает каждый клиент банка. Хоть шанс возникновения такой ситуации невелик, но все же он имеется.
Кстати, восстановить доступ (после блокировки), при отключенной функции дистанционного восстановления доступа в ЛК, очень сложно. Это, на самом деле, хороший плюс. Необходимо личное посещение офиса банка и заявление на восстановление.
Уже не плюс. После выхода нового приложения этот запрещённый для восстановления пароль просто не спрашивает и если ты заходишь с нового устройства через мобильное приложение банка, то можно восстановить доступ, нужно только смс и номер карты. Если потеряешь сумку с симкой без пина и картой в кошельке, то снимут все. Полгода назад это было невозможно, когда была включена опцию запрета пароля, но не сейчас, т. к. пароль больше не требуется в моб. приложении.
Я ведь написал, что должна быть отключена функция восстановления доступа дистанционно. Она отключается в веб-версии ВТБ-Онлайн. В новой версии она также доступна.
Перечитайте сообщение. Даже если она включена, можно зайти через мобильное приложение, без ввода того пароля. Приложение его попросту НЕ запрашивает!
Не верите, попробуйте провести эксперемент: попробуйте очистить кеш приложения, либо установить на другой телефон его и запустите. Для входа нужно будет ввести номер карты и код из смс.
Пароль спрашивала старая версия приложения, в новом от этого отказались.
А вот на сайте пароль спрашивает как прежде, но это не имеет значение, т.к. вход через приложение теперь без пароля. И не важно, что запрещено восстановление пароля, ведь он больше не нужен)) Такая теперь у них дыра -ради "удобства"
Я ведь говорю о блокировке доступа со стороны банка, а не о том, когда вы свободно можете входить любыми доступными способами. Совершенно о другой ситуации речь.
Не совсем понял. Вы написали выше про запрет дистанционного востановления. Я вам ответил, что теперь не важно включен он или нет.
Если вы про запрет банком мобильного приложения по заявке пользователя, то втб его криво сделали.
Я, например, после выхода нового приложения когда узнал, что функция запрета восстановления пароля бесполезна, позвонил в поддержку и заблокировал доступ через приложение. Но оказалось, что даже заблокированное мобильное приложение не полностью блокируется, там остается кнопка qr активной и если зайти в приложение и нажать на нее, а потом навести на сайте на кнопку быстрый вход, то авторизация происходит. Они не додумались ее заблокировать.
Позвонил попросил заблокировать кнопку qr, сказали нет возможности. Только полный запрет не только приложения на мобильном, но и авторизации на сайте втб.
Не знаю, что случилось полгода назад, но год назад, когда также не нужен был пароль для входа через мобильное приложение, этот запрет на дистанционное восстановление работал. Причем настолько хорошо, что даже сотрудники банка смогли вернуть мне доступ только спустя неделю.
Я думаю, что случаи типа "забыл пароль" и полная блокировка доступа от банка - разные случаи. И во втором это как раз тот "полный запрет" (о котором вы в конце написали), когда не работает ни мобильное приложение, ни веб-версия.