Для доступа к счету «Альфабанка» нужен только доступ к телефону и имя
В 2015 году у меня была зарплатная карта «Альфабанка». Из конторы уволился, срок действия карты вышел. Выбросил ее и забыл.
Несколько месяцев назад Альфа стала надоедать СМСками - "телеграфируем о кредитной карте".
Звоню в банк (автоинформатор сразу же приветствует по имени(!)), перехожу на оператора:
- Добрый день, перестаньте дониматься СМСками, вашим банком давно не пользуюсь.
- Добрый день. Как вас зовут?
- [Представляюсь]
- А у вас до сих пор открыто два счета.
- Но счета же пустые?
- Нет, на счете есть сумма Х тысяч рублей.
- Для снятия нужно зайти в офис с паспортом?
- Нет, можно поставить приложение. Вход по СМС и номеру счета. Номер счета сейчас пришлю в СМС.
- Спасибо. O_o
Ставлю приложение, авторизуюсь, перевожу деньги в другой банк.
Карта моя, номером пользуюсь более 10 лет, все в порядке. Но получается, что любой человек, получивший доступ к сим-карте, и узнавший имя человека, может получить доступ к деньгам.
Два вопроса к Альфабанку.
1. Звонит человек, который не знает, есть ли на счету деньги. Счетом не пользовались более пяти лет. Почему не возникли подозрения и даже не спросили кодовое слово и номер паспорта?
2. Какой смысл авторизовать клиента в мобильном приложении по связке телефон + номер счета, если номер счета легко узнать в контакт-центре?
Александр, проверили информацию.
Чтобы узнать номер счёта, надо назвать только ФИО, если вы звоните со своего номера. Если звоните с чужого номера, либо если во время звонка нужно сделать какую-нибудь активную операцию — запросим кодовое слово.
Если есть подозрения, что у третьих лиц есть доступ к вашей сим-карте, её нужно сразу заблокировать, позвонив мобильному оператору. После блокировки номера никто не сможет получить доступ к вашим данным.
Для таких ситуаций у нас защитный механизм: если мы видим, что была смена сим-карты, для её обновления запросим кодовое слово и паспортные данные. Таким образом у злоумышленников не останется шансов 👌
со "своего" номера, нам звонят ваши же "службы безопасности".
вам не кажется, что это уже не эталон безопасности? что вам посоветовать? повесить трубку и перезвонить абоненту?
а кодовое слово: "дада, пошел я нахер".
Но смс получить на подменный номер нельзя же
Достаточно уже того, что без всяких СМС была разглашена банковская тайна.
Лично я против банковской тайны, давайте за символическую плату в 100р за каждый запрос буду вам давать информацию об остатке своего счета.. или выписку за месяц.. как вы ее монетизируете?
Твой конкретно счет не интересен. Интересна возможность, пусть даже перебором, найти такой счет, на котором достаточно много средств, чтобы дальнейшие противоправные действия (вымогательство, похищение, грабёж, мошенничество) оправдывали риск.
Собственно, для исключения именно этого и было введено понятие "банковская тайна".
ЗЫ. Хорошая попытка монетизировать свой счёт с парой тысяч остатка по кредитному лимиту.
"Банковская тайна" была введена богатыми чтобы другие люди не могли проверить как они стали богатыми. Имхо.
Теперь про атаку. У сбера такая дыра есть, пару месяцев назвд писали, и кажется ее не закрыли.. либо в сбере нет кого шантажировать, либо это все же не работает.
Это понятие еще в древнем Китае было в ходу, разве что название было иное. А в те времена всем было совершенно начхать, от чего и как.
Ну раньше и крепостное праао было и рабство, а суда не было... давайте вспомним что сейчас 2021ый. Рабство отменено, и далее по списку.. но вот провеить честность трат бюджета например нельзя, типа "тайна"
Тут вы уже частность рассматриваете, а выше обобщенное понятие обсуждается. Так-то, безусловно, определенные вещи сделаны именно по указанной причине