У меня на смартфоне было установлено приложение "Метро Москвы". В личном кабинете больше года были зарегистрированы карта "Тройка" 395145ХХХХ и мобильный билет (sim с nfc) 399620XXXX.
На балансе карты "Тройка" 395145ХХХХ было 2748 рублей. На балансе мобильного билета (sim с nfc) 399620XXXX было 1004 рубля. Балансы приблизительные и могут отличаться от реальных, т.к. карты заблокированы, из личного кабинета пропали и баланс в личном кабинете я посмотреть не могу. На картинке ниже показаны суммы, как они отображаются при считывании карт с помощью приложения Яндекс.Метро.
В один прекрасный день в конце октября / начале ноября я зашел в личный кабинет в приложении "Метро Москвы" и обнаружил, что ранее привязанные карты пропали из личного кабинета.
На мой отзыв на Play Маркет разработчики приложения решили не отвечать.
От службы поддержки я узнал, что с привязанных карт баланс переведен на какую-то другую карту.
Дистанционно служба поддержки помочь ничем не смогла и рекомендовала обратиться в Сервисный центр «Московский транспорт» по адресу г. Москва, ул. 1905 года, д. 25.
5 ноября я обратился Сервисный центр «Московский транспорт» по адресу г. Москва, ул. 1905 года, д. 25 с заявлением в котором описал ситуацию, пояснив что предполагаю, что деньги с моих карт были списаны либо в результате технической ошибки (багов в проложении "Метро Москвы"), либо в результате действий злоумышлеников, которые нашли уязвимости (баги в проложении "Метро Москвы") в системе безопасности и получили доступ к моему личному кабинету. Так же попросил разобраться в данном инциденте, разблокировать две мои старые карты и вернуть на них деньги, либо вернуть деньги на новую карту "Тройка".
24 ноября я получил ответ, что мои карты заблокированы и деньги переведены в штатном режиме.
В итоге имеем, что использование личного кабинета в приложении "Метро Москвы" может привести к потере всех денег, которые есть на карте "Тройка".
Как такое могло произойти?
К сожалению, судя по отписке, Департамент Транспорта оказался не заинтересован в расследовании ситуации с пропажей денег из личного кабинета и поиску причин произошедшего.
Я предполагаю, что среди разработчиков приложения "Метро Москвы", имеющих доступ к данным, есть преступники, которые находят в базе номера "Троек", смотрят 2 последние станции прохода в метро, привязывают карты к своему личному кабинету и переводят деньги себе.
Вывод из этой истории - не пользуйтесь личным кабинетом приложения "Метро Москвы", если не хотите однажды лишиться своих денег и остаться с заблокированной "Тройкой".
P.S. В ближайшие дни планирую написать заявление в полицию, но боюсь, что полиция запросит данные из Департамена Транспорта и не найдет причин не доверять их ответу, который будет копией ответа на мое заявление.
Можно добавить туда карту и вместо указания 2 последних станций можно подтвердить пополнением кажется на 50р.
Если вдруг пополняли карту на 50р, то это потенциальный прямой вектор атаки. Пара "номер" + пополнение на 50р даёт доступ у привязке-отвязке.
Было бы интересно узнать если вы делали что-то подобное.
PS Не очень понимаю как это работает, но выглядит как "знаем номер, пополняем на 50р, перевязываем, PROFIT!"
PPS
> не пользуйтесь личным кабинетом приложения "Метро Москвы",не очень понимаю как это поможет. Выглядит так, что уязвима любая карта. Любую карту можно добавить в любой интернет-банк и смотреть по ней баланс.
Вроде бы для привязки "пополнением" нужно завершить пополнение на желтом валидаторе или на смартфоне с nfc?
Т.е. нужно иметь физический доступ к карте.
По моему там не 50 рублей, а рандомная сумма, которую укажет приложение. И да, с физическим доступом
Пробовал, именно 50₽ просило пополнить.
Чтобы подтвердить что это ваш QR код о прививке купите у нас пирожок ровно за 50₽.
Я хз, честно. Наверное полгода назад объединил 5 карт в одну, а бланки билетов сдал в кассу. Как-то всё было не очень сложно и я это всё делал сидя на стуле ровно.
Нет в истории по карте пополнений на небольшие суммы?
Я посмотреть уже не могу, из личного кабинета карты пропали и они заблокированы, т.е. пополнить для привязки уже не получится.
Смог посмотреть историю пополнений одной из карт 395145ХХХХ через приложение Город Тройка.
Два последних пополнения в конце сентября, это я лично пополнял через ЛК банка.
После этого пополнений не было, т.е. привязка мошенниками через пополнения исключается, только привязка по двум последним станциям.
программа лояльности Город не трекает пополнения меньше 100р. (у меня такие пополнения в истории не отображаются).
Также неясно почему вы исключили из круга подозреваемых саму эту программу лояльности. Там оператор ООО с УК 10к. Так ещё и таргетится по станциям умеет, так ещё и при добавлении карты спрашивает 2 станции. Так ещё и там лимита нет на попытки привязки. То есть зная одну станцию через которую вы входили всего за 200 попыток можно сбрутить данные для привязки карты к финансовому ЛК.
Кстати после переноса старый бланк разблокируется через какое-то время (проверьте его баланс и статус через желтые терминалы и в приложении метро снова будет вся история).
Может быть и сотрудники Города Тройки украли.
Но украли через Метро Москвы, а Департамент Транспорта делает вид, что все хорошо.