Дыра в безопасности Тинькофф
На днях обнаружил, что для восстановления доступа в мобильное приложение Тинькофф достаточно иметь SIM-карту, на которую приходит код подтверждения, и знать номер банковской карты.
На днях обнаружил, что для восстановления доступа в мобильное приложение Тинькофф достаточно иметь SIM-карту, на которую приходит код подтверждения, и знать номер банковской карты.
Приветствуем!
Контрольные вопросы есть, можем спросить ответ на них при регистрации с чужого устройства. Помимо этого у нас есть современная система мониторинга операций, которая срабатывает, если клиент делает не характерные для него действия в личном кабинете. Если система сработает, то действия по счету приостановим и свяжемся с клиентом, чтобы подтвердить операции. В звонке уже зададим вопросы, ответы на которые знает только клиент.
А где это у вас документировано? Сегодня вы говорите что "можете спросить ответ на вопрос", а завтра решите перестать спрашивать. Как я узнаю об этом?
Комментарий недоступен
> у нас есть современная система мониторинга операцийСудя по отзывам она почти всегда прохлопывает раздербанивание счёта вполне нетипичными способами типа переводов "не себе".
Есть ли какой-то способ дать банку 3 указания
— максимальный набор подтверждений про сбросе доступа к ДБО или добавлении устройства.
(нужна кнопка "я не дебил и не собираюсь забывать доступ к ДБО")
— я не собираюсь ничего забирать из банка больше условных 100к
— я не собираюсь брать у вас кредит
?
если случается что-то из этого списка — максимальный уровень подтверждений.
Я считаю что лучше максимально параноидальный уровень подтверждений при снятии который пригодится в 0.1% случаев чем по любой причине их потерять из-за ..(тут куча причин)..
" можем спросить ответ на них при регистрации с чужого устройства."
У меня в посте речь прежде всего про случай, когда устройство то же самое, но находится уже в руках у грабителей.
Только почему-то все интернет завалены отзывами о том как ваша безопасность лажает