Обнаружил уязвимость в безопасности приложения «Альфа-Банка»
Обладатели «Альфа-Карт» заметили, что теперь в приложении предлагается создать статичный пин-код для незначительных действий.
Провел эксперимент с женой. На моем телефоне давно установлено приложение альфа-банка, счета мои. Создаю этот статичный пин-код.==> жена ставит приложение альфы вводит данные карты и этот пин-код, входит в аккаунт, где ей сразу предлагается изменить его, что она и делает. Мне приходит смс о том, что на МОЕМ телефоне лк ограничен, тк выполнен вход на другом устройстве.
После этого я пытаюсь совершить оплату в интернете и попап с пин-кодом приходит на телефон жены, т.е. код подтверждения транзакции ушёл "мошеннику". Мне вообще ничего не пришло.
Альфа-банк, я считаю это дырой в безопасности.
П. С. Бонус так сказать, на прошлой неделе пришли % по накопительным альфа-счетам по каким-то счетам пришло 7%, по каким-то 6%. В оферте указано, что ставка 7%. По этому поводу я попросил разъяснений в чате, но там робот сказал позвонить по телефону, после 2х сеансов "Луи Армстронга" по 40минут я забил. В случае кражи денег, я так же не смогу дозвонится?
Михаил, а как вы поняли, что "на МОЕМ телефоне лк ограничен"? Мне альфа присылала смску с текстом "вы авторизовались в приложении с >модель телефона< в >время авторизации<. На этом устройстве временно действуют ограничения".
Если вам пришло то же самое, то вы ошиблись: ограничения там, где вы только что авторизовались, а не там, куда смска пришла.
Так в чём заключается "дыра в безопасности", если вы самостоятельно слили пин-код для авторизации на другом устройстве?
Пин-код не должен авторизовывать в приложении на другом устройстве без третьего фактора.
на другом устройстве авторизация происходит с помощью смс. тут выше писали, тот "пин-код" хранится на устройстве.
Челик сказал жене номер карты и код из смс для привязки нового устройства, но здесь написал по-другому и под кликбейтным заголовком