На днях обнаружил, что для восстановления доступа в мобильное приложение Тинькофф достаточно иметь SIM-карту, на которую приходит код подтверждения, и знать номер банковской карты.
То есть представим негативную ситуацию, вероятность которой не то чтобы нулевая - вас ограбили, при этом сильно избили, возможно до бессознательного состояния - то есть какое-то продолжительное время вы не можете никуда позвонить, в том числе в банк для блокировки карты.
За то время, пока вы в таком беспомощном состоянии находитесь, преступники, завладев вашим телефоном и банковской картой, смогут получить доступ ко всем вашим деньгам - и на карте, и на вкладах - и никакие лимиты по тратам, которые вы установили, будучи продвинутым человеком, вам не помогут. Преступники получат SMS с кодом подтверждения и введут номер вашей карты точно так же, как это сделали бы вы, если бы забыли пароль.
Конечно, если телефон в момент ограбления заблокирован и SIM-карта запаролена (у вас стоит пароль на SIM-карту?), то задача для преступников уже не становится такой простой. Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянии, и в таком состоянии его после этого всё время поддерживали, то реализация описанного выше сценария ставится вполне возможной.
Способ решения проблемы уже давно известен и активно применяется в разных сервисах - это восстановление пароля не только по коду, присылаемому в SMS и номеру карты, но и по правильному ответу на контрольные вопросы, которые клиент сам выбрал при регистрации в банке.
Давно известная дыры тинькоффа. Большие суммы там нельзя хранить.
Больше всего бесит что нельзя зайти на сайт банка и увидеть документацию на то как "работает безопасность". Например узнать по каким данным восстанавливается доступ, по каким меняется номер, по каким меняется доступ в веб версию, восстанавливается ли доступ по дополнительным картам и т.п. Т.е. подробную и исчерпывающую документацию на абсолютно весь функционал.
Однако, если телефон у жертвы выхватили, пока он был в активном разблокированном состоянииили насильно приложили палец жертвы и разблокировали телефон с отпечатком.
Это не дыра в Тиньке, это принцип работы современного дбо. Увы.
Сбер с симкой вы так же восстановите, попробуйте. И втб..
Пароль на разблокировку, пин на симку и не лазить по улице, как идиот с включённым экраном (раз нужна безопасность финансов).
А вариант с тем, что выхватят разблокированный такая же, как если вместе с разбоем «попросят» сделать все своими руками.