На сайте Тинькофф в открытом доступе выложена запись разговора сотрудника банка с личными данными клиента
В открытых источниках обнаружил ссылку на сайт в домене *.tinkoff.ru. По этой ссылке размещена аудиозапись разговора сотрудника банка с близким родственником одного из клиентов.
Несколько важных деталей о находке
Аудиозапись содержит имена, номера телефонов, информацию о финансовых, личных, семейных трудностях в жизни клиента, обсуждение условий обслуживания и кредитных обязательств перед банком.
Самое ужасное, что аутентификация для прослушивания и скачивания не требуется. Запись в буквальном смысле в открытом доступе.
По понятным причинам запись и ссылку на неё не публикую. Однако, чтобы не быть голословным, прикладываю скриншот, который подтверждает факт наличие записи в открытом сторадже банка.
Попытка урегулирования
Утром 24 мая я сообщил о кейсе в поддержку Тинькофф в социальных медиа в личные сообщения ВК. Рассказал всё, но не дал ссылку на запись. Сейчас объясню, почему.
У меня есть вопросы по работе команды поддержки и качеству обслуживания, которые долгое время не решаются. Я получаю отписки и шаблоны, вместо решения проблем и конструктивного диалога.
Поэтому я предложил банку связаться со мной по телефону. Добавил, чтобы это был не сотрудник поддержки, который работает по скриптам, а ответственный сотрудник, уполномоченный решать такие кейсы.
Я хотел обсудить голосом проблемы, которые сейчас возникают и не решаются поддержкой, а в свою очередь, дал бы ссылку на опубликованную аудиозапись и возможность банку исправиться.
Попытка провалена
Сегодня 31 мая. Прошла неделя с момента репорта. 5 рабочих дней.
За это время со мной по телефону из банка никто не связался. Запись всё также доступна по ссылке.
От поддержки Тинькофф в ВК я получаю только общие отписки, что вопрос в работе и нужно больше времени.
Такой подход я считаю непозволительным пофигизмом, когда в банке инцидент информационной безопасности и клиент готов помочь исправить проблему в обмен на щепотку эмпатии и решение проблемы по качеству обслуживания.
Пора действовать
В последние месяцы куча компаний «потеряли» личные данные своих клиентов. Похоже, что Тинькофф не стал исключением раз может себе позволить игнорировать этот кейс.
Сейчас написал обращение в Роскомнадзор, так как именно он является уполномоченным органом по защите прав субъектов персональных данных, на который также возлагается обеспечение контроля и надзора за соответствием обработки персональных данных.
Также попросил их подключить ЦБ РФ, если они усмотрят в действиях банка не только нарушение ФЗ №152 «О персональных данных», но и нарушение ФЗ №395-1 «О банках и банковской деятельности».
Вместо итога
Обсуживаюсь в Тинькофф много лет. Пользуюсь кучей продуктов: кредитка, дебетовка, сим-карта, инвестиции премиум, лайфстайл, секретарь Олег и т.д. Позвал десятки друзей в банк, в том числе на премиальные продукты.
Очень обидно, что банк не готов решать проблемы до обращения клиента к регулятору и в социальные медиа.
Желаю, чтобы ваши личные данные, оставались таковыми и не утекали наружу из-за ситуаций, как эта.
Почему пост заминусован?
У тинькова команда ботов работает, поставлено на поток https://vc.ru/claim/428687-tinkoff-strahovanie-otpravilo-cheloveka-s-bolyu-v-gospital-za-100-km-a-po-priezde-zayavilo-oplachivayte-sami?comment=4393154
чур я бот
чур я тогда тоже бот
Если нужна прямая ссылка для доступа, где утечка? Или ссылка предсказуемая? Ссылка распространялась сотрудниками банка или третьим лицом? Вам удалось найти другие записи?
Такие вещи, как записи звонков, не должны лежать в открытую. Какой бы ни была ссылка, почти любую можно подобрать.
Цели искать другие записи и копать глубже не было. Не исключаю, что запись может быть не одна.
Ну это почти как сказать - любой пароль подобрать можно.
Задайтесь вопросом . Что важнее вы для банка ? Или банк для вас ? Сразу станет проще трактовать результат взаимодействия .
Приветствуем! Наши специалисты связывались с вами по электронной почте. Сейчас мы остановились на разборе другой ситуации, которую вы направили ответным письмом. Решить и проанализировать описанную тут ситуацию мы можем быстрее, если получим ссылку на эту запись.
Как способ связи по этой ситуации, я просил использовать звонок. По каким причинам было выбрано общение по e-mail? Тогда уж голубем нужно было.
Сейчас мы остановились на разборе другой ситуации, которую вы направили ответным письмом.Ваши коллеги багхантеры запросили у меня информацию по уязвимости, которая мне известна. Я рассказал им про уязвимость при доставке кодов подтверждений по СМС и предложил внедрить 2FA TOTP. Какое это имеет отношение к записи звонка на сайте и почему вы решили вдруг разбирать эту уязвимость, мне не ясно.
Решить и проанализировать описанную тут ситуацию мы можем быстрее, если получим ссылку на эту запись.Мы это уже проходили. Я сообщал вам об уязвимости с доп.картами 17 марта 2021 года. Но вместо благодарности вы ограничили мне выпуск доп.карт в тот же день. Неплохой подход, правда?
После такого отношения, готов дать ссылку после звонка ответственного сотрудника и решения проблем по ранее оставленным обращениям.
Уточним эти моменты у коллег и позже вернемся.
Здравствуйте.
Связались с вами по телефону и уже проводим расследование. Спасибо. Дополнительно рассказали о программе Bug Bounty – в которой мы платим деньги за найденные уязвимости и приглашаем всех присылать их на [email protected]