Дыра в безопасности Тинькофф

На днях обнаружил, что для восстановления доступа в мобильное приложение Тинькофф достаточно иметь SIM-карту, на которую приходит код подтверждения, и знать номер банковской карты.

То есть представим негативную ситуацию, вероятность которой не то чтобы нулевая - вас ограбили, при этом сильно избили, возможно до бессознательного состояния - то есть какое-то продолжительное время вы не можете никуда позвонить, в том числе в банк для блокировки карты.

За то время, пока вы в таком беспомощном состоянии находитесь, преступники, завладев вашим телефоном и банковской картой, смогут получить доступ ко всем вашим деньгам - и на карте, и на вкладах - и никакие лимиты по тратам, которые вы установили, будучи продвинутым человеком, вам не помогут. Преступники получат SMS с кодом подтверждения и введут номер вашей карты точно так же, как это сделали бы вы, если бы забыли пароль.

Конечно, если телефон в момент ограбления заблокирован и SIM-карта запаролена (у вас стоит пароль на SIM-карту?), то задача для преступников уже не становится такой простой. Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянии, и в таком состоянии его после этого всё время поддерживали, то реализация описанного выше сценария ставится вполне возможной.

Способ решения проблемы уже давно известен и активно применяется в разных сервисах - это восстановление пароля не только по коду, присылаемому в SMS и номеру карты, но и по правильному ответу на контрольные вопросы, которые клиент сам выбрал при регистрации в банке.

1616
78 комментариев

Паяльник в одно место и вы ответите на контрольные вопросы, откроете дома сейф и подкинете бандитов до их машины, как было с женой покойного градского.

27

К сожалению, вынужден плюсануть.

Но есть важный нюанс. Паяльник значит, что это не какие-то случайные карманники или наркоманы, а сработавшаяся бригада, которая целенаправленно занимается этой деятельностью, заранее готовая к разным сценариям, в том числе к подобным блокировкам и даже некоторым способам самообороны жертвы. Тут конечно никакие контрольные вопросы не помогут.

Но если это именно случайное ворьё включая случаи, когда человек просто потерял-забыл телефон, а его нашёл вор, то эти контрольные вопросы неплохо отсекут этих рандомщиков.

Поэтому хоть это и не абсолютная защита, но процент защищённости немного, да повысит.

3

Только ли Тинькова? У других сильно иначе?

16

Давно известная дыры тинькоффа. Большие суммы там нельзя хранить.

Больше всего бесит что нельзя зайти на сайт банка и увидеть документацию на то как "работает безопасность". Например узнать по каким данным восстанавливается доступ, по каким меняется номер, по каким меняется доступ в веб версию, восстанавливается ли доступ по дополнительным картам и т.п. Т.е. подробную и исчерпывающую документацию на абсолютно весь функционал.

Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянии

или насильно приложили палец жертвы и разблокировали телефон с отпечатком.

5

Это не дыра в Тиньке, это принцип работы современного дбо. Увы.

Сбер с симкой вы так же восстановите, попробуйте. И втб..


Пароль на разблокировку, пин на симку и не лазить по улице, как идиот с включённым экраном (раз нужна безопасность финансов).
А вариант с тем, что выхватят разблокированный такая же, как если вместе с разбоем «попросят» сделать все своими руками.

13

На полном серьёзе и без рофлов поошу подсказать надежный банк без дыр в безопасности

Потому что надо сим карту паролить пин кодом.
Я свои давно запаролил.

6