Ничего не предвещало. Вечером 13.11.2021 легла спокойно спать, никаких смс и уведомлений ни от банка, ни от Билайна. Утро 14.11.2021 тоже началось спокойно. В 10:00 решила позвонить маме, на что Билайн мне говорит, что мой номер заблокирован (хотя баланс положительный) и для разблокировки необходимо ввести команду *213#.
Ввожу эту команду, номер разблокируют и всё ок. Через минут 10 приходит уведомление в приложении Тинькофф о том, что контактный номер изменён, если это сделали не Вы, то звоните на номер 88005551010, тут же звоню, спрашиваю кто и на каком основании меняет мой номер.
Приходит ещё одно уведомление «кодовое слово изменено», пока общаемся с девушкой из Тинькофф, пытаюсь зайти в приложение, все данные изменены, пока всё обратно меняем, номер телефона и пр. с кредитной карты улетают все деньги (105 000 руб) на какую-то левую карту. Возмущению нет предела! Почему нельзя сразу заморозить операцию? Ведь понятно же что это мошеннические действия!!!
В итоге поговорив с тремя операторами, которые пытались что-то выяснить за 40 минут, кроме того что зафиксировали моё обращение и сказав «ждите рассмотрения», больше ничего! После общения с Тинькофф, звоню в Билайн… 20 минут ожидания и Аллилуйя!!! оператор берет трубку. Возникает логичный вопрос: ПОЧЕМУ НЕ ПРИХОДИЛО УВЕДОМЛЕНИЕ, ЧТО НОМЕР ЗАБЛОКИРОВАН?? (Как выяснилось он был заблокирован ещё 13го вечером)
Ведь даже о балансе приходят смски, а тут Блокировка!!! На что девушка мне ответила, что номер я заблокировала лично ну или мои родные, которые знают данные паспорта…. Вы серьёзно??? Ребята из Тинькофф и Билайн, может это у вас проблемы со службой безопасности, что мои данные были раскрыты???
Вопроса два: Билайн, зная, что я пользуюсь этой симкой больше десяти лет, я не заслужила коротенького уведомления о том, что мой номер заблокирован? Тинькофф, вы так гордитесь своей службой безопасности и, при переводе такой крупной суммы, вы даже не удосужились позвонить подтвердить перевод? Да и кстати почему документы по мошенническому переводу невозможно открыть.
П.С. лучше обратно на свой старенький проверенный годами Сбер
Настя, вас искренне жаль. Конечно, Тинькофф и Билайн в этой ситуации сработали не очень, мягко говоря. Но только с чего вы взяли что Билайн или Тинькофф ваши паспортные данные слили? Вы больше никогда, никуда, никому ваши паспортные данные не давали и номер телефона не указывали?
Понимаете, дело не в том, кому и какие свои персональные данные передала или не передала автор. А в том, что согласно имеющейся информации банк авторизовал третьих лиц в качестве автора и дал им доступ к средствам автора. То есть банк не исполнил надлежащим образом свои обязанности по идентификации клиента при предоставлении доступа к личному кабинету и совершении операций, а также не обеспечил надлежащих мер безопасности и сохранности денежных средств.
С этим, конечно, согласен. Просто Настя написала "Ребята из Тинькофф и Билайн, может это у вас проблемы со службой безопасности, что мои данные были раскрыты??" - но они не раскрыли ее данные - Тинькофф виноват в том, что реализовал небезопасную процедуру удаленного смены номера, при котором любой может завладеть личным кабинетом, а Билайн - небезопасную процедуру удаленного управления сим картой. И это, да, конечно, проблемные места со стороны банка и оператора.
Так автор даже не утверждает, что это именно у них проблемы, а просто резонно ответила оператору на голословное обвинение, что якобы номер заблокировала именно автор или ее родные.
Удручает, что банки и операторы прекрасно все знают, но по-прежнему ничего не меняют. Потому что даже некоторые электронные кошельки уже давно ввели 4-факторную авторизацию - сначала вход в личный кабинет по логину и паролю, а потом подтверждение КАЖДОЙ операции платежным кодом, кодом на электронную почту и кодом аутентификатора.
Вы же понимаете что "банк авторизовал третьих лиц в качестве автора и дал им доступ к средствам автора" это просто утверждение, ничем не подкрепленное кроме слов автора. И таких утверждений в интернете выше крыши. Если бы мы обсуждали юридический кейс с вынесенным решением - тогда да. Тут же все наивно полагают что у банка нет дополнительных алгоритмов для верификации кроме паспортных данных и кодового слова. ЦБ вот не называет все защитные пункты при проверки купюры на подлинность, почему нужно думать что у банка аналогично нет таких пунктов и алгоритмов? Где критическое мышление которое так ценится в аналитике фактов? Люди порой хотят не решения своего кейса легальными возможностями а продавливания своего видения ситуации, которое как правило к результатам не приводит, если кейс сложный.
Так в теме представлены в том числе и юридические кейсы. И банки в них не демонстрируют какие-то сверхкрутые алгоритмы безопасности.
Люди полагают, что у банка нет дополнительных алгоритмов для верификации, на основании совокупности совместно собранной и изложенной в теме информации и статистики, а не только со слов автора. В же наверняка не все 500 с лишним комментариев данной темы прочитали, прежде чем сделать соответствующие выводы и ответить мне?
В предыдущей громкой теме банк публично признал, что считает достаточной авторизацию при входе в приложение. А последующие четыре операции по выпуску QR кодов, каждый на 145 тыс. рублей, банк не считает необходимым отдельно авторизовывать. Какие еще вам нужны основания для сомнений людей в надежности систем безопасности банка?)
Я прочитал все 500 комментариев, кейсы есть да, почему этот должен быть таким же? QR кода выпускались из кабинета, какая авторизация вы уже авторизовались в кабинете. Значит нужно не допускать чужой авторизации в личном кабинете. Для этого нужно соблюдать приватность своих данных и не вестись на социальную инженерию. Чтобы делать выводы надо иметь статистику расследованных и изученных кейсов и соотношение вины банка и вины пользователя, без этого это все эмоции и разговоры в интернете. Сколько таких случаев, сколько изученных и как распределяется ответственность. Это если изучать не посты в интернете и домыслы в комментах. При всем уважении...
Да, вы правильно написали: не нужно допускать чужой авторизации в личном кабинете. Только это относится и к банку, у которого дыра в этом плане, так как после входа клиента он перестает по активной сессии авторизовывать и подтверждать КАЖДУЮ расходную операцию. Поэтому любое третье лицо может под видом клиента подключиться к активной сессии клиента через бэк-прокси и от имени клиента совершить без подтверждения выпуск кодов. Клиент при этом вообще не будет ни о чем знать и ничего видеть, как и было в случае автора жалобы про QR коды. Там уже подробно в одной из веток разобрали всю эту схему с выпуском кодов через не защищенную банком сессию и бэк-прокси.
В любом нормальном международном электронном кошельке уже давным-давно идет 2-3 факторная авторизация на КАЖДУЮ операцию, которую нужно ОТДЕЛЬНО подтвердить платежным пин-кодом/паролем, известным только клиенту, кодом подтверждения с электронной почты и кодом из гугл-аутентификатора.
Вот это - надежная система. И вины банка не будет, если пройдет оплата через подобную систему. Потому что это будет означать только что конкретного клиента либо заставили угрозой или обманом осуществить перевод, либо, что менее вероятно, тотально взломали все его устройства, почту и подсмотрели платежный пин-код.
Вы не сможете соблюдать приватность данных своего паспорта и любых данных, которые хотя бы раз кому-то передавались в иных целях. Для идентификации подходят только уникальные данные, известные ТОЛЬКО клиенту, к которым имеет доступ ТОЛЬКО клиент и крайне желательно ОДНОРАЗОВЫЕ, с ограниченным временем действия.
В идеале банк обязан идентифицировать клиента ТОЛЬКО по критериям, ОДНОЗНАЧНО подтверждающим личность человека. Грубо говоря, банк должен ВИДЕТЬ, что к нему обращается ИМЕННО сам клиент. Как в отделении, когда работник банка своими глазами видит, что это клиент, а не Вася Пупкин.
И Тиньков тоже уже наконец догадался, к примеру, про селфи в режиме реального времени и начал его сейчас вводить как новый способ подтверждения. Посмотрите, что пишет по этому поводу сам банк:
https://www.tinkoff.ru/about/news/29062021-tinkoff-super-app-new-features/
https://www.tinkoff.ru/about/news/06042021-take-selfie-tinkoff-launched-new-way-confirm-payments/
То есть банк сам прекрасно понимает, что его текущие методы идентификации и авторизации клиентам ненадежны и небезопасны. И я рад, что банк все-таки пытается улучшить свою систему безопасности.
Я не совсем понимаю, к чему вы пишете про изучение кейсов и т.д. Вы тем самым предлагаете заниматься неким частным расследованием и data science'ом. Но это не цель данного ресурса. Здесь пользователи и клиенты банка делятся личным опытом, строят предположения на основе имеющейся информации, предупреждают друг друга о различных рисках, думают и обсуждают, что с этим всем можно сделать. Никто здесь не претендует на истину в последней инстанции и абсолютно точную информацию. Никто здесь не проводит расследования - это функция правоохранительных органов, которые, кстати, обычно не особо хотят этим заниматься и отделываются шаблонными отписками.