Приложение «Тинькофф» несанкционированно использует данные из буфера обмена

#жалобатинькофф

Сразу предупреждаю, статья будет очень длинной, много скринов и цитат из разговоров с техподдержкой. Очень много.

После обновления на Android 12 beta 3 стало постоянно выскакивать уведомление каждый раз, когда я вставляю в какое-то поле для ввода информацию из буфера обмена.

Удобная штука, как я подумал. Но иногда немного напрягает. До тех пор, пока случайно не обратил внимание, что такое уведомление во время входа в приложение Тинькофф. Да, именно во входа, а не после «вставить» в поле ввода.

Фигня какая-то, подумал я. Наверное глюк какой-то у прошивки. Перезапустил приложение несколько раз, и снова каждый раз уведомление. Так как это бета версия прошивки, то быть может такое будет во всех приложениях. Но нет. Я проверил все приложения на телефоне, только приложение Тинькофф при старте вставляет информацию из буфера обмена (и хранит/продаёт/ничего не делает). Вот видео частичной проверки:

Параллельно с этим начинает развиваться диалог с службой поддержки, но об этом во второй части.

Я обратился к помощи интернета. Оказывается, в iOS 14 анонсировали такую же функцию, и огромное множество сервисов и приложений спалились на такой же проблеме. Кто-то копировал данные из буфера каждые несколько секунд, кто-то при входе. Тинькофф, на самом деле, тоже отличился. Вот то сообщение в твиттере.

Я связался с этим пользователем в телеграме, и задал несколько вопросов. Скрин общения с ним ниже:

О моём последнем сообщении будет во 2 части. А пока продолжу. Если поискать в гугле информацию, то в 2020 году после анонса такой функции в iOS14 было достаточно жарко. Многие компании спалились. После они убрали скрытый сниффинг буфера обмена, кто-то сразу, а кто-то нет. Но было достаточно резонансно. Даже на сайте журнала Тинькофф была такая статья, но про другое приложение. (В чужом глазу соринку видим, …)

Дабы убедиться, что я не один такой, у кого на Android приложение Tinkoff крадёт буфер обмена, я обратился к сообществу бета-тестеров Android 12. Ответ не заставил себя долго ждать.

Помимо этого есть так же и другие приложения, которые запрашивают данные к буферу обмена. Среди них гиганты пользовательских данных — Сбер и VK.

Так как Android 12 Beta на данный момент можно установить на ограниченный круг устройств, её пользователей не так много. Видимо, не все компании чухнули, что функция автоматического сбора буфера обмена в их приложениях теперь обнаруживается. Как выйдет официальная версия — будет жарко. Опять множество компаний спалится на таком сборе данных. Как и с iOS.

На этом можно было бы закончить, но параллельно с этим я общался с службой поддержки. И это отличное дополнение, которые делает эту историю сочной.

Я сразу же написал в службу поддержки. На этот раз меня меня снова встретил приколдэс в виде неграмотного человека на том конце чата.

Сначала мне пытаются ответить на вопрос, которого я не задавал, а потом учат матчасти — что такое буфер обмена и для чего он нужен. Часть переписки я сюда не вставляю, поскольку называю агента поддержки глупым животным и советую никогда не работать в саппорте. (в прошлый раз накидали хейта за такое общение, сейчас просто визуализируйте его вне данных скринов)

У меня есть подозрение, что я получил какой-то скрытый теневой бан в техподдержке. Когда есть важные вопросы, которые требуют серьезных ответов, то мне присылают клоунов, которые просто забивают информационный шум. Кто захочет разбираться с человеком, который пишет несвязный текст?

Конечно же я. Поэтому я позвонил в службу поддержки. На другом конце телефона меня несколько раз переключали между разными людьми, пока я не попал на одного парня. Он не смог мне объяснить ничего толкового, а я требовал ответа на 3 вопроса: на каком основании приложение собирает данные из буфера обмена пользователя без его ведома в скрытом режиме, каким образом использует эти данные, и какие данные за всё время у меня стащили?

Меня уверяли, что это нужно для удобства при переводах. Что при копировании номера телефона или карты автоматически предлагается вставить в поле ввода при совершении перевода. Да, это оказалось так, но отчасти. Работает только с номером карты, но не работает с номером телефона. Но всё же это неправильно, ведь в буфере обмена может быть важная информация (логины, пароли, переписки). И их получает банк ещё до того, как я удержу поле ввода и нажму «вставить». А большинство этих данных я бы и не вставлял в их приложении.

Мне сказали, что в рамках данного телефонного разговора будет невозможно дать ответы на мои вопросы. На просьбы переключить на ответственного принимать решения и давать ответы тоже получил отказ — мол это невозможно. Но мне прямо пообещали, что свяжутся со мной до конца завтрашнего рабочего дня и обязательно дадут ответ. Моё обязательное условие — чтоб человек был адекватным специалистом, который не прочитает по бумажке то, что ему велели, а сможет ответить на мои вопросы, и возможные последующие.

Злой, недовольный, но ответ запомнил. В конце следующего дня снова пишу в чат поддержки. Потому что про меня забыли. Даже не написали вшивое «извините, нужно больше времени». Просто проигнорили…

Каждый раз в течение данного диалога я получал комбинации фраз извините/много обращений/передали специалисту/с вами свяжутся. Очень некрасиво получилось, ведь я снова поимел глупость и поверил словам банковского сотрудника, и не спал до часу ночи. Ждал звонок. И снова зря поверил, несмотря на негативный опыт. Я разозлился и захотел разорвать отношения с банком. Мне не нравится, что банк откровенно лажает, косячит, и никак за это не отвечает. И даже не старается. Ну предложат мне 500-1000 рублей, кинут подачку с посылом «на, не бузи», и продолжат так же косячить, несмотря на обещания «это было отличным фидбэком для нас, мы обязательно исправимся и станем лучше». Если они ничего не предлагают, то я предложил свой вариант — мне закрывают долг по кредитке (маленькая сумма), я отказываюсь от их услуг и мы больше никогда не срёмся. Выгода для всех. Мне пообщали, что в рамках одного ответа смогут ответить на все вопросы, в т.ч. «компенсации».

На следующий день я таки получил 2 звонка, которые меня вроде как обрадовали, ведь я смог провести диалог с человеком по ту сторону, и огорчили, и удивили.

(Суммарно почти час разговоров. Вряд ли кому-то будет интересно слушать всё. Если необходимо — могу переслать все 3 записанные разговора кому угодно. А пока буду цитировать их фразы)

* Буфер обмена используется для того, чтобы вы могли если вы сохранили номер карты и хотите перевести, могли его быстро вставить, т.е. из буфера автоподстановка. Ну не автоподстановка, а она будет как вариант предлагаться. А так же если какой-то текст нужно вставить. И номер телефона. Если вы сохранили номер телефона и заходите в приложение, заходите в раздел переводы, приложение может предложить вам сделать перевод по этому номеру телефона, который у вас в буфере.

Лукавство — номер телефона и текст не предлагается. А текст. Зачем текст? Если у меня там ссылка на PornHub, рецепт оладушек, или мемасик с доге, то эта информация тоже будет автоматом предлагаться? Не тупо ли? Часто в буфере обмена какая-то информация, которая либо глупая и ненужная, либо важная, и никому её нельзя присылать. А напомню, банк получает к ней доступ ещё на моменте запуска приложения.

Далее меня пытались убедить, что информация на сервер не отправляется. И что в текстовом виде отправить какая информация была собрана — невозможно. Запомним этот момент.

Я ответил, что на слово я поверить не могу, так как приложение на пакеты не разбирал, и не могу удостовериться в их словах. И что при этом в буфере может быть очень важная пользовательская информация, которая не должна касаться банка. На вопрос почему именно приложение Тинькофф и никакое друге на телефоне из нескольких десятков собирает данные из буфера автоматом, и почему их автоподстановка номера телефона не работает, мне ответили, что здесь поставят задачу и разберутся. А на недовольство почему звонит человек, читающий ответ, а не сведующий, ответили, что технические специалисты никогда не связываются с клиентами и нет возможности.

По поводу компенсации тоже ничего не ответили, опять соврали. Нужно что-то уточнить, согласовать, и в рамках одного ответа ничего не получается. Не удивлён.

* Сотрудники некорректно проконсультировал, мы проверим обязательно этот момент, но к сожалению сейчас мы не сможем предоставить информацию именно технического характера и сотрудники из технического отдела не могут в принципе с вами связаться. Они занимаются именно разработкой, поддержкой, а общением с клиентами они, к сожалению, не занимаются.

Меня заверили, что в течение дня позвонят. И пообещали постараться, чтоб позвонил именно тот, кто сможет ответить на вопросы.

В 10 вечера я получил новый звонок. В этот раз было намного интереснее.

* Сотрудник сообщил, что буфер обмена нужен для того, чтоб копировать и вставлять информацию в приложение. Да, действительно, это один и его функционалов, но помимо этого мы собираем информацию из буфера обмена по причине того, что есть требование банка РФ для обеспечения защиты клиентов. И среди этих требований — формирование цифрового отпечатка устройств. То есть приложение собирает данные для более точного составления отпечатка. <…>. Чтоб не было каких-либо мошеннических операций, если с какого-то другого устройства зайдут в вашу учётную запись и попытаются совершить какую-то операцию, и благодаря этой собранной информации мы сможем заблокировать эту операцию и она не пройдёт. Чтоб она прошла — надо будет обратиться в банк. Всё сделано для безопасности.

К логике мы вернёмся позже. А пока вопрос: где именно в законодательстве прописано, что банковское приложение будет собирать данную информацию обо мне? Ведь там могут содержаться связки логин:пароль, личные переписки, рабочие данные под неразглашение и т.д.

* В плане законодательства это не мы устанавливаем, мы действуем согласно инструкциям, выписанным требованиям банка РФ. Есть положение, я могу вам его отправить в чате или сейчас сказать, есть номер положения, и по нему собирается с помощью и буфера обмена этот отпечаток, т.е. это не наша прихоть, мы это делаем не самостоятельно, есть определенные требования.

На вопрос почему информации об этом нет нигде и почему не предупреждают на экране первого входа в приложение и т.д.

* Вы понимаете, так как банку, которому выдал лицензию Банк России, который работает, у них всех будут собирать приложения информацию из буфера обмена.

Возразил, что приложение Альфы этого не делает. Я проверил абсолютно все приложения. Я потратил полчаса на проверку этой информации.

* По поводу того, что мы не предупреждаем об этом, информация никуда не уходит, она нигде не сохраняется, единственное, когда вы начинаете пользоваться, о вас сохраняется какой-то отпечаток…

Вы собираете цифровой отпечаток человека, и для того, чтоб его составить, она должна где-то сохраняться (информация), чтоб потом заподозрить какую-то активность и увидеть модель поведения человека в другом сотовом устройстве. Вы говорите, что она не сохраняется..

* Да, не ведется сохранение каждый день вашего буфера обмена. Т.е. есть определенный отпечаток, который был собран, и уже с ним идут все остальные сравнения. Т.е. вы заходите в приложение, это делается автоматически, этим занимается компьютер, система видит сравнение по вашему буферу обмена и вашему отпечатку и она понимает, что это вы зашли или не вы зашли. Это только ради безопасности, а не чтобы сохранить ваши данные.

Потом назвали требование банка голосом. К нему позже. Я сказал, что собеседник скорее всего подсвистывает по поводу того, что приложение не сохраняет никаких данных. Т.е. каким образом может сверять данный отпечаток. Либо сохраняется информация, либо сохраняется кэш. И вопрос, какую информацию в итоге сохранили?

* Я не говорю, что мы не сохраняем, т.е. если мы собрали какой-то отпечаток по вам, идентифицировали клиента, то м.б. какая-то информация в буфере и есть, но по поводу предоставления данной информации я уточню возможность и с вами свяжусь.

Обратил внимание на то, что он минуты 2 назад сказал, что не утверждает, что не сохраняют данные, но при этом 5 минут назад сказал, что не сохраняют данные. Противоречие.

* Нет, сказал, что конечно же когда формируется отпечаток, то какие-то данные естественно были сохранены, но это не происходит ежедневно. Т.е. ежедневно информация из буфера обмена не сохраняется, не хранится.

Но при этом каждый раз, когда открываю приложение, выскакивает окно «Приложение Тинькофф вставило приложение из буфера обмена».

* Это происходит для проверки. Чтоб удостовериться, что это клиент.

Потом я с ними говорил по список данных, который необходим, и закрыть мой долг, выкинуть карты и никогда не связываться больше.

* Мы не хотим терять вас как клиента, мы всех наших клиентов ценим, и хотим предложить сотрудничество. На данный момент можем предложить год бесплатного обслуживания по карте…

ВЫ прикалываетесь? У меня уже есть бесплатное обслуживание по картам! Вы мне пожизненное бесплатное обслуживание по 2 картам дали за прошлый косяк.

* уточняет.. Да, действительно, уже есть бесплатное обслуживание по картам. Но я так понимаю, просто тысяча рублей рублей вас на дебетовую карту не устроит…

Да, конечно не устроит! (причины почему не устраивает и обсуждение этого и качества поддержки)

* По поводу буфера обмена. Ну тут нет ошибки, что мы воруем что-то с нашей стороны, ну мы всё делаем согласно законодательству.

… меня больше всего бесит, что вы врёте, скажите по факту, нас обязали, мы обсираемся, все так делают, простите, это одно, но когда говорят другое и врут, это не круто.

* Мы это делаем согласно постановлению банка РФ… Как это и описано в пункте, для сбора информация о клиенте для безопасности, отпечаток клиента только для безопасности. Мы же не можем говорить вам другую информацию, как написано в информации банка России, так мы и предоставляем. Вы тоже нас поймите в этом плане

Не мы такие, жизнь такая. Пойми, по-братски.

* Мы не хотели врать, просто тот специалист был не совсем осведомлён в этом вопросе и он поэтому попросил, чтоб я перезвонил и подробнее разобрали ситуацию и описал для чего нужно. Приношу извинения, это конечно же неправильно, мы как специалисты должны сразу же давать ответ и не вводить в заблуждение.

В итоге прекратил разговор и договорились созвониться завтра.

А теперь само положение:

Они обязаны сохранять: идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора), международный идентификатор абонента (индивидуальный номер абонента клиента — физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента — физического лица, номер телефона и (или) иной идентификатор устройства).

Окей, всё понятно, кроме выделенного. Какие могут быть идентификаторы устройства? Обращаемся к специалистам из Касперского:

SSAID, IMEI, MAC-адрес. Но что же из этого является идентификатором на основе буфера обмена? Ничего. Обратимся в гугл. Но я ничего не прикрепил. Потому что ничего не найдено. Отпечаток по буферу обмена — это тупой набор умных слов, который ничего не значит. Да и подумаем логически, каким образом текст в буфере обмена может идентифицировать человека? Какой может быть паттерн копипаст? Как скопированный последовательно текст «124551,3», «google. com», «испорвыподверта», «1123 ваш под подтверждения», «купить: лаваш, толканку, пиво» на одном устройстве может составить отпечаток для идентификации того же пользователя на другом?

Ответ — никак. Когда я купил новый телефон, то одним из первых установил приложение Тинькофф. Новый телефон, новая инфа в буфере, и я смог пользоваться приложением.

За более детальным пояснением я обратился в 2 группы айтишников по тематике Linux.

Всего 1 человек сказал, что это возможно, но никак не подтвердил. Остальные сообщили, что это бред. (прикладываю несколько скринов)

Я подумал, что быть может у работников банка своё положение и оно с какими-то правками. Запросил в чате.

Разговор начался с того, что я не получил от них ссылку на их версию положения 683-п с информацией про буфер обмена или сбором пользовательской информации (не идентификаторов). И не нашел такого нигде. Рассказал по пунктам, что по его словам буфер обмена сканируется для составления уникального отпечатка человека для идентификации, и что это полная чушь. Здесь есть требования идентификаторов, но нет пользовательских данных и буфера обмена. И так же сказали, что не храните информацию, а обязаны хранить в течение 5 лет.

* Там же указано «или другая информация» в этом пункте.

Но там нет таких слов. Подскажите строчку.

* Последняя строчка, «и (или) иной идентификатор устройства»

Ага, идентификатор. Это другое. Как инфа с буфера может быть идентификатором устройства?

* Почему она не является идентификатором устройства?

Смотрите, мы с вами скопировали оба ссылки с сайта ютуб.ком или порнхаб.ком или чей-то номер телефона, и эта информация хранится в текстовом виде в буфере обмена одинаково, что у меня, что и у вас. И каким именно образом можно идентифицировать абонента по данному буферу обмена?

* Ну в этом вопросе я вам не смогу ответить, потому что /томный вздох/ … ну это связано с нашей безопасностью и информацию мы не можем разглашать /а вчера говорил много/

Нет, это не связано с безопасностью, вы лукавите!

* Ну вы понимаете, что мы смотрим на это положение и мы если бы пытались его как-то обойти или использовать незаконно, то банк России нам бы этого не позволил, у нас бы лицензию забрали, мы всё делаем согласованно.

Потом я ему рассказываю что такое идентификатор и что буфер туда не входит. И что такого даже в инете нет, ни одной комбинации слов.

* Ну смотрите, вы сейчас хотите получить юридическое обоснование почему мы используем буфер обмена. Я не юрист, но если мы это делаем, то это всё согласовано банком России и Москвой и поручением. Если вы хотите юридическое обоснование, то мы можем его подготовить, как мы это всё используе, просто сами поймите, если бы мы это делали незаконно, мы бы не смогли это делать.

А может потому что вас на это моменте еще никто не ловил в приложении для андроида, потому что это уведомление появилось только недавно? В 2020 году на iOS14 уже была такая проблема и её исправили, и ваше приложение при входе перестало запрашивать буфер обмена при входе, тогда на фоне этого разгорелся большой скандал. Сейчас назревает тоже самое.

* Что вы хотите от нас, юридического подтверждения или что хотите получить.

Правду, вы лично мне вчера соврали, что это для создания отпечатка для идентификации, но этого не происходит, это бессмысленный набор слов.

* Как вы можете это утверждать? Мы не можем предоставлять информацию по системе безопасности нашей именно в плане я вам сказал как это есть, не хотел обманывать, но более подробно не сможем объяснить.

В положении нет ничего про персональные пользовательские данные.

* Я не юрист. Если вы считаете, что мы обходим правила этого положения и используем информацию из буфера обмена незаконно, мы можем подготовить для вас юридический ответ.

Я не говорю, что законом это запрещено. В стране так — не запрещено = норм. Этим, похоже, банк и пользуется.

* Если мы это делаем не для банка России, а исключительно для себя собираем данные о наших пользователях, то для каких целей мы это делаем?

Тут пример о том, как Сбер спокойно собирает данные и даже менты своим знакомым говорят не пользоваться приложением Сбера, так как оно знает инфы больше государства.

Так же рассказал ему как продаются данные, и получил в ответ что это невозможно в Тинькофф.

Кучу примеров других банков можно найти по первым ссылкам в гугле.

И так же примеры как они могут использовать инфу против должников. И другие.

… но то что приложение собирает пользовательские данные — это факт!

* Ну мы же это и не отрицаем. Мы же вчера обсуждали. Это делается для безопасности. Отпечаток клиента. Что в приложение заходит именно клиент.

* Максимум можем вам юридическое подтверждение сделать, что всё это делается законно, ну а то что мы собираем информацию в своих целях.. Ну.. Я конечно не знаю что по этому поводу сказать. Доказать я не смогу, потому что сбор касается безопасности, но банку это не нужно, зачем нам информация из вашего буфера обмена, которую вы скопировали для личных целей.

Но если она вам не нужна, то зачем банк её копирует? Банк должен получать доступ к буферу в тот момент, когда я удерживаю в поле ввода палец и нажимаю «вставить», в этот момент оно должно обращаться к буферу обмена, именно в этот момент, но никак не при входе автоматом.

Предлагаю остановить данный вопрос на том, что мне нужен юридический ответ на каком основании приложение банка собирает данные из буфера обмена и как это обосновывается законом. Если вы говорите, что всё по закону, пусть будет написано на основании чего подробно собирается именно пользовательские данные (там оговорился, потом уточнил в чате). Не идентификатор. Потом мне предложили компенсацию. Пожелания мои не учли, но предлагают 1500руб на карту. Высказал, что это насмешка и издёвка в лицо, своего времени я потратил намного больше. Мне ответили, что эти деньги именно за то, что сотрудник неправильно проконсультировал в первый раз и что не перезвонили когда обещали. Компенсация связана с этим. Объяснил, что делаю работу за отдел контроля качества и специальных людей компании, и 1500руб это просто свист. Договорились обсудить этот вопрос при следующем звонке.

Если провести логическую цепочку, то здесь получилось очень много путаницы. Не собираем - собираем, не храним - ну что-то храним, но не храним, нам инфа не нужна - собираем для безопасности. Ну и куча разных бредятин про безопасность и прочее.

Из данной ситуации можно сделать несколько выводов.

Приложение собирает пользовательские данные в виде информации из буфера обмена, а мы об этом даже и не знаем. Что он с ней делает — неизвестно. Необходимо запускать сниффер и разбирать каждый отдельный исходящий пакет. И не факт, что они будут не обфусцированы. У меня на данный момент нет такой возможности, в т.ч. в виду недостатка знаний в этом вопросе. Если кто сможет сделать такую процедуру — буду очень благодарен, хочется разобраться с этим вопросом и понять что в действительность происходит после запуска приложения.

Даже если есть вероятность того, что в приложении ничего не делается с этими данными и они действительно не сохраняются (вероятнее царь покинет свой пост, чем это), то банк очень много раз соврал и проявил крайнюю некомпетентность в общении. В службу поддержки человек обращается за помощью в вопросе, который он не может решить самостоятельно. Клиент не должен знать всех подробностей и деталей каждого вопроса сервиса, не должен разбираться в этом на уровне гуру. При обращении в поддержку клиент рассчитывает на диалог со специалистом, который разбирается в вопросе и сможет качественно помочь в решении проблем. Специалисты для этого обучаются, зарабатывают за это деньги. А какую качественную поддержку получил я?

1. В чате поддержки мне рассказывали что такое буфер обмена.

2. В чате поддержки меня игнорировали и отвечали на рандомный вопрос из воздуха.

3. По телефону меня обманули со сроками.

4. В чате меня обманули с тем, что за 1 следующий звонок ответят сразу на все вопросы.

5. При первом звонке обманули касательно того, для чего собирается инфа из буфера, предоставив некачественного неспециалиста для общения.

6. При втором звонке обманули ещё раз касательно того, на каком основании собирается информация. И ещё не подготовились к общению и предложили бесплатное обслуживание на год на ту карту, на которой оно уже пожизненно бесплатное (куда смотрят, алло?).

7. При третьем звонке снова не решили вопрос, и если разобраться, то снова можно будет найти несоответствие в словах неспециалиста.

Разве для этого клиент обращается в службу поддержки? Почему мне самостоятельно приходится искать в интернете и разбираться? Так много вопросов, так мало ответов…

Требую от банка тщательного полного разбора всей ситуации на всех этапах. Начиная с первого сообщения в чат поддержки, разбора почему глупый Андрей имел место в диалоге чата поддержки и отвечал мне на несуществующий вопрос, и заканчивая предложенным вами юридическим ответом с полным подробным описанием процедуры сбора пользовательских личных данных с мобильного устройства (буфер обмена), на каком основании собираются эти данные, каким образом преобразуются в отпечаток для идентификации (и что это вообще за отпечаток такой, что за чудо-технология), каким документом регламентируется и т.д. С подробными пояснениями. Всех вопросов общения и статьи (а не выборочно данного абзаца).

Быть может я где-то не прав и действительно такое существует. Но на данный момент это выглядит скрытый сбор информации о пользователях. Ответ приму в электронном виде, но оригинал необходим будет в бумажной форме с подписью и печатью.

Не вынуждайте клиентов делать работу за вас, либо достойно платите им за это как сотрудникам. Своих сил, времени и здоровья (дописываю это в 3:39 ночи) я потратил куда больше, чем жалкие 1500руб.