С «Тройки», привязанной к личному кабинету приложения «Метро Москвы», украли деньги
У меня на смартфоне было установлено приложение "Метро Москвы". В личном кабинете больше года были зарегистрированы карта "Тройка" 395145ХХХХ и мобильный билет (sim с nfc) 399620XXXX.
На балансе карты "Тройка" 395145ХХХХ было 2748 рублей. На балансе мобильного билета (sim с nfc) 399620XXXX было 1004 рубля. Балансы приблизительные и могут отличаться от реальных, т.к. карты заблокированы, из личного кабинета пропали и баланс в личном кабинете я посмотреть не могу. На картинке ниже показаны суммы, как они отображаются при считывании карт с помощью приложения Яндекс.Метро.
В один прекрасный день в конце октября / начале ноября я зашел в личный кабинет в приложении "Метро Москвы" и обнаружил, что ранее привязанные карты пропали из личного кабинета.
На мой отзыв на Play Маркет разработчики приложения решили не отвечать.
От службы поддержки я узнал, что с привязанных карт баланс переведен на какую-то другую карту.
Дистанционно служба поддержки помочь ничем не смогла и рекомендовала обратиться в Сервисный центр «Московский транспорт» по адресу г. Москва, ул. 1905 года, д. 25.
5 ноября я обратился Сервисный центр «Московский транспорт» по адресу г. Москва, ул. 1905 года, д. 25 с заявлением в котором описал ситуацию, пояснив что предполагаю, что деньги с моих карт были списаны либо в результате технической ошибки (багов в проложении "Метро Москвы"), либо в результате действий злоумышлеников, которые нашли уязвимости (баги в проложении "Метро Москвы") в системе безопасности и получили доступ к моему личному кабинету. Так же попросил разобраться в данном инциденте, разблокировать две мои старые карты и вернуть на них деньги, либо вернуть деньги на новую карту "Тройка".
24 ноября я получил ответ, что мои карты заблокированы и деньги переведены в штатном режиме.
В итоге имеем, что использование личного кабинета в приложении "Метро Москвы" может привести к потере всех денег, которые есть на карте "Тройка".
Как такое могло произойти?
К сожалению, судя по отписке, Департамент Транспорта оказался не заинтересован в расследовании ситуации с пропажей денег из личного кабинета и поиску причин произошедшего.
Я предполагаю, что среди разработчиков приложения "Метро Москвы", имеющих доступ к данным, есть преступники, которые находят в базе номера "Троек", смотрят 2 последние станции прохода в метро, привязывают карты к своему личному кабинету и переводят деньги себе.
Вывод из этой истории - не пользуйтесь личным кабинетом приложения "Метро Москвы", если не хотите однажды лишиться своих денег и остаться с заблокированной "Тройкой".
P.S. В ближайшие дни планирую написать заявление в полицию, но боюсь, что полиция запросит данные из Департамена Транспорта и не найдет причин не доверять их ответу, который будет копией ответа на мое заявление.
Всегда удивлялся, кто эти бесстрашные люди, которые не только заводят аккаунты в гос приложениях типа метро или транспорт, но и даже привязывают там свои карты (даже тройки)
Ведь каждый знает, что «гос» - синоним «дырявый»
Плюс отслеживание перемещений
Бесстрашные добровольцы
Ну то есть по вашему надо не регаться на тех же госуслугах и вместо электронной очереди например в гаи (и оплаты госпошлины со скидкой) ехать туда рано утром в надежде успеть взять талон на сегодня, затем искать терминал для оплаты госпошлины (в гаи стоит втб). Или записываться к врачам прибегая к открытии поликлинники?) Смешно.
Да отслеживание перемещений это страшно! Всем так интересно где вы бываете (нет).
Про то, что «гос» - синоним «дырявый» я не знаю.
Знаю только то, что приложение Метро Москвы дырявое и считаю, что среди разработчиков/поддержки есть преступники, ворующие данные о Тройках и затем ворующие деньги с этих Троек.
Разработчики транспорта Москвы заняты переименовыванием автобусных маршрутов второй раз за год, секьюрность это для слабаков.
Фигасе. Живу в Москве, даже не знал, что у нас есть приложение Метро Москвы.
Может оно и к лучшему.
Да. Если узнаете, что ещё приложение может активировать баланс, не прислоняя к жёлтому кругу, вообще офигеете
еще вот есть https://lk.mosmetro.ru/profile
Так же есть приложение от ВТБ, для смартфонов с NFC - https://play.google.com/store/apps/details?id=ru.bm.transport
Возможна запись билетов, если правильный чип NFC в телефоне.
Не очень понятно, как это может помочь: "не пользуйтесь личным кабинетом"? Мошенники будут привязывать чужую карту в своем кабинете.
Если не заводить там аккаунт, то и уводить неоткуда
смекалочка. jpg
Очень тревожная инфо, считаю нужен максимальный репост - на ВК себе выложу.
Слишком палевно, скорее всего запросы записываются в журнал. Проще подсмотреть номер тройки и проехать с владельцем до выхода из метро около 18-19 часов. С большой вероятностью, станция выхода будет предыдущей станцией входа за день. Защита конечно ни о чем, но и сумма потерь, к счастью, ограничена.
Вы серьезно? 🤦♂️
Слишком палевноПодавляющее большинство преступлений совершают идиоты. И то что они многие годы находятся на свободе - просто полиция не успевает работать (или не умеет, или ленится или всё сразу).
КРАДУТ ДЕНЬГИ И БЕЗ ЛИЧНОГО КАБИНЕТА. Сотрудники мосметро карты привязывают к пустым «тройкам», потом продают в телеграмм за пол цены. Им копейка на гречку и на ипотеку, а людей грабят. МЕТРОПОЛИТЕН ПОКРЫВАЕТ МОШЕННИКОВ! Проблему решать никто не будет! ОНИ ВОРУЮТ В ШТАТНОМ РЕЖИМЕ, ОПГ!!! А потерпевшим хамят и на кассе и в их центре. Они прекрасно знают про уязвимость троек, но люд не вымрет, выручка будет у них всегда. Любой может купить карту в телеграмм где-то или ещё в какой-то дыре анонимной, карту с балансом более 2 тыс (украденных у тех кто платил реально), и купить их за 1 тыс. а мошенники из метрополитена себе с воздуха по 10 тыс в день или кто знает сколько они прибыли получают наличными. Последние копейки отбирают. Монополисты мос метро не стеснялись и стариков обкрадывать на 100 рублей когда в ковид им отключали проезд по соц картам и те тройки покупали. Мать родную продадут, люди, нас обворовывают все кому не лень. Безнаказанно.
Можно добавить туда карту и вместо указания 2 последних станций можно подтвердить пополнением кажется на 50р.
Если вдруг пополняли карту на 50р, то это потенциальный прямой вектор атаки. Пара "номер" + пополнение на 50р даёт доступ у привязке-отвязке.
Было бы интересно узнать если вы делали что-то подобное.
PS Не очень понимаю как это работает, но выглядит как "знаем номер, пополняем на 50р, перевязываем, PROFIT!"
PPS
> не пользуйтесь личным кабинетом приложения "Метро Москвы",не очень понимаю как это поможет. Выглядит так, что уязвима любая карта. Любую карту можно добавить в любой интернет-банк и смотреть по ней баланс.
Вроде бы для привязки "пополнением" нужно завершить пополнение на желтом валидаторе или на смартфоне с nfc?
Т.е. нужно иметь физический доступ к карте.
Да, если деньги украли перепривязав карты, то "неиспользование" личного кабинета действительно не поможет(
У меня не привязана тройка, просто в какой-то момент перестала работать. На счету 1,5к. Надо сдавать на проверку, а тут то нерабочие дни, то сам на карантине.
Решил, что проще не имеет на счету более 500р. В таком виде карта жила насколько лет, без сбоев
У меня тоже на каждой карте было больше 1000 рублей.
Наверное сотрудник ДепТранса раз в неделю прогоняет sql скрипт, который выбирает все карты с балансом > 1000, перепривязывает их к своему кабинету и угоняет с них деньги.
Подмосковная Стрелка в этом плане лучше защищена - при продаже снабжается пин-кодом, и идентифицировать на паспорт можно только один раз. Потом только перенос баланса и блокировка, причем на то же самое лицо.
Аналогичный случай и у меня тоже 06.10.2021 и тоже отписка из департамента транспорта.
15 декабря получил письмо от ГУП "Московский Метрополитен". Обещали разблокировать мои карты и восстановить баланс.
Надо купить новую и обязательно подключить биометрию, тогда точно не украдут.
Ну да, ну да.)
Аналогичная история была. Писал обращение, решение было принято карту разблокировать, средства вернуть. Вчера в офисе все сделали, ещё и компенсацию дали - два одноразовых билетика в метро
Значит в Департаменте Транспорта решение принимают случайным образом)
А у вас, случаем, все поездки не по какому-нибудь популярному маршруту, вроде Выхино-Пушкинская?
Если бы я захотел получить доступ к чужим "тройкам", то первое что приходит на ум - перебирать номера троек по порядку, пытаясь их привязать через такие вот популярные станции
У меня одной из троек была сим карта с модулем nfc. К турникету я прикладывал смарфон и номер карты подсмотреть было невозможно. Но и с этой карты баланс украли.
Пушкинская? Как пересадочная норм, как конечная врят ли..
А как с тройки вывести деньги? Придти в кассу и их выдадут? Или есть еще варианты?
Ну как вариант перевести на карту и перепродать с рук.
-
Комментарий удален модератором
Комментарий удален модератором
Комментарий недоступен
А я там даже зарегистрироваться не могу,по смс ничего не падает....только тройка стоит ,с нее и проездной пополняю.
Может быть это награда от Метро Москвы за мое участие в тестировании их дырявого приложения в 2020 году?)
#MoscowITDepartment
#ДПиИР
#Город
#Тройка
У нас с женой так же установлены приложения Метро Москвы, ей постоянно приходят письма с кодом подтверждения в личный кабинет, а мне по несколько раз в день приходят смс с кодом доступа. Написал в поддержку, получил отписку: "Добрый день!Вероятнее всего, кто-то пытается получить доступ к вашему аккаунту. Никому не сообщайте пришедший код. Поменяйте пароль от личного кабинета на более сложный. Ваши данные надежно сохранены.Также Вы можете обратиться в службу технической поддержки с подробным описанием проблемы по электронному адресу [email protected]"
Мне в последние дни тоже стали приходить смс с кодами
Аналогично, на последней неделе пошли смс с кодом от лк Тройка.
С официальной почты внятного ответа нет.
15 декабря получил электронное письмо от ГУП "Московский Метрополитен".
В письме сказано, что для разблокировки двух моих карт и восстановления баланса я могу обратиться к сотруднику по указанному в письме номеру телефона или адресу электронной почты.
Сегодня получил новые карты "Тройка" с общим балансом на них в размере 4000 рублей.
Без решения суда не интересно.
— Встать! Суд идет!
— Да здравствует наш суд, самый гуманный суд в мире!
— Прошу садиться. Садитесь, садитесь.
— Спасибо, я постою.