Mechazilla
Краш-тест
Японская робозмея
Google Pixel 9a
Дорожка для аквабега
«Игровые» Google Maps
Роботы и брейк-данс

«Тинькофф» массово перевыпускает карты без оснований

Данная ситуация произошла неделю назад, 5 сентября.

Мне приходит пуш, что к моему счёту выпущена дополнительная карта. Никаких запросов на выпуск карты я не подавал, потому как можно скорее иду в приложение и блокирую её, также сообщаю об этом в чат.

Первый тревожный звоночек
Первый тревожный звоночек

В чате, кажется, вообще не понимают на первой линии что происходит, потому отвечают типовым шаблоном, что «мы просто вас информируем о готовности карты»

Первое обращение в чат
Первое обращение в чат

После выражения явного непонимания в адрес поддержки начались сдвиги: меня выбросило из личного кабинета. С точки зрения безопасности — ок, однако сразу после я получил смс с блокировкой карт, которых у меня точно никогда и не было.

Блокировка неизвестных двух карт
Блокировка неизвестных двух карт

Сразу же после этого я пытаюсь зайти в приложение: ввожу номер телефона, код из СМС. Далее банк просит меня задать новый пароль (надеюсь, в целях безопасности?) и ввести номер карты, чтобы подтвердить мою личность.

После авторизации я пишу в чат, что меня выбросило из приложения и мне пришли вышеупомянутые СМС. В ответ мне лишь ответ, что со мной свяжутся. Параллельно запрашиваю логи по активным устройствам, с которых осуществлялся вход.

Спустя какое-то время мне действительно позвонили, однако в звонке было постоянное «уточняю информацию, мне потребуется ещё время». Ещё чуть позже звонок просто был сброшен со стороны банка, меня разлогинило из приложения, а также вновь приходят смс с блокировкой неизвестных мне карт в количестве пяти штук.

Очередные неизвестные мне пять заблокированных карт
Очередные неизвестные мне пять заблокированных карт

Я повторяю всё те же действия со входом: телефон, код, новый пароль и номер карты. Вновь сообщаю, что звонок прервался. Вновь мне звонит тот же сотрудник, сообщает что он «уточняет информацию и ему требуется больше времени». Вновь сброс звонка со стороны банка, вновь меня выбрасывает из приложения и вновь я получаю ещё пять блокировок неизвестных мне карт.

Вновь блокировки неизвестных мне карт
Вновь блокировки неизвестных мне карт

Я снова возвращаюсь в чат и сообщаю обо всём случившимся, ведь нормальным такое точно назвать нельзя.

Спустя какое-то время мне всё же перезванивает тот же оператор, сообщающий мне, что обращение уже заведено и всё, что он может мне предложить — закрыть доступ к моему личному кабинету. Разумеется, соглашаюсь на его предложение, ведь в случае возможного мошенничества все способы обезопасить себя хороши. Сообщаю, что мне нужно заранее вывести часть своих средств на жизнь, ведь неизвестно сколько продлится данная проблема.

Параллельно я замечаю, что у меня действительно появились ещё неизвестные мне карты. Иду проверять их реквизиты: срок действия 09/30. Понимаю, что это точно никакой не баг и карты действительно существуют и привязаны к моим счетам. Начинаю самостоятельно блокировать карты, также сообщаю оператору об этом. Параллельно понимаю, что раз я смог без проблем посмотреть реквизиты любых карт, значит, соответственно, и злоумышленник мог их также посмотреть и скопировать. Вместе с оператором начинаем выставлять все лимиты, отключать покупки в интернете и замораживать карты.

Ещё пачка неизвестных карт
Ещё пачка неизвестных карт

Кажется, к тому моменту мы уже закончили и доступ в личный кабинет мне отключили. Теперь оставалось только ждать. На всякий случай решаю проверить свой смартфон на наличие неизвестных мне приложений: пусто. Проверяю разрешения на доступ к звонкам и СМС: есть только у встроенных приложений сообщений и звонков. Рут-прав и подобного также не имею.

Спустя время начинаю анализировать проблему: либо у Тинькофф есть крупная дыра в безопасности, либо кто-то из сотрудников выпускал карты с мыслью, что не заметят (дальнейшие варианты могут быть самыми разными), либо какой-то сотрудник решил «подебажить на проде». Ведь не может быть так, что я, каждый раз после сброса всех авторизаций, ввожу код из СМС, устанавливаю новый пароль и ввожу номер карты, а злоумышленник с другой стороны запросто обходит все методы защиты.

Спустя некоторое время я получаю от банка таблицу с входами в личный кабинет. Вижу свой основной смартфон, вижу свой дополнительный смартфон (который уже пару недель как разряжен). Пролистав входы за месяц не нахожу ничего подозрительного, как вдруг вижу вход в личный кабинет через API как раз в день произошедшего, а также с серого IP-адреса. Получается, мои выводы были верны? Кто-то из контура банка, из его VPN сети, производил неизвестные манипуляции.

Неизвестный вход
Неизвестный вход

Сегодня уже восьмой день с произошедшего, однако банк не торопится давать ответ, хотя и любому понятно, что ситуация с приоритетом Critical. Хранить деньги в Тинькофф действительно стало опасно, раз в банке допускают такой исход событий.

Изначально данную проблему я начал решать с банком в Твиттере, оригинальную переписку можно найти по ссылке

348348
реклама
разместить
242 комментария

Добрый день.

Заявку на карту *6437 вы подавали 26 января 2022 года. Мы не смогли сразу одобрить ее по техническим причинам. Смогли сделать это только 5 сентября, о чем и проинформировали вас в смс.

Так как вы сообщили, что карту не оформляли, мы сбросили доступ к личному кабинету и мобильному приложению для всех устройств в целях безопасности. Когда мы сбрасываем доступ, одновременно в автоматическом режиме перевыпускаем все виртуальные карты, о чем также направляли последующие смс. Вынуждены были сделать сброс несколько раз, так как в процессе диалога с оператором звонок прерывался. Простите, пожалуйста, за ситуацию.

IP-адрес, который вы видите в таблице - технический. С этого адреса вход в приложение или личный кабинет не осуществляли.

В консультациях мы не допускали ошибок и направляли все усилия, чтобы помочь вам решить вопрос как можно скорее.

И вам доброго дня! Давайте разберём подробно вами написанное:

1. Предположим, что я действительно мог подать заявку 26 января на виртуальную карту. Что значит не смогли «сразу одобрить её»? Это же не открытие нового кредитного договора или чего-то подобного. И вообще, вам не кажется странным, что у вас где-то застряла в очереди виртуалка на 9 месяцев практически? Звучит как какой-то бред, согласитесь.

2. Окей, при сбросе вы говорите, что перевыпускаете все виртуалки. А почему тогда перевыпускались не все? Опять недоговариваете.

3. Я прекрасно понимаю, что адрес не внешний, а из внутренней сети, однако даже таблица, которую вы мне прислали, называется «IP-адрес входа в приложение». И почему-то только в день произошедшего там произошёл неизвестный вход. Вновь лукавите, получается.

3

Как всегда красавчики. То автоматически назначают рассрочку после просмотра сторис с предложением о ней в приложении. То списывают миллионы со счетов, после операций конвертирования, то вводят конские комиссии за переводы валюты. За последний год одни зашквары, хорошо что в свое время я выбрал другой банк.

83

много читала кстати про такие истории( поэтому выбрала другой банк

19

От тинькофф банка почти ушел, закидывая иногда деньги с альфы, чтобы воспользоваться предложением партнеров. Хранить там свои деньги нереально стремно, особенно после таких историй.

18
Раскрывать всегда
Альфа-банк ответит за убытки клиента

Верховный суд рассмотрел спор о взыскании убытков с банка за неисполнение поручения клиента.

Альфа-банк ответит за убытки клиента
2222
22
11
реклама
разместить
Правительство разрешило добывать криптовалюту в регионах, где введён запрет на майнинг — но генерировать электричество надо самим

Майнинг запрещён в 13 регионах России.

Источник: Thegeekpub
1515
Как пополнить Тонкипер с банковской карты: 4 лучших способа пополнения

Ищете способы, как пополнить Тонкипер? В статье вы найдете простые инструкции, как пополнить кошелек Tonkeeper с банковской карты через обменники, биржи, P2P и внутри самого приложения. Узнайте, как быстро и безопасно пополнить счет и начать пользоваться TON.

Как пополнить Тонкипер с банковской карты: 4 лучших способа пополнения
Честно о бизнесе: Что я понял, владея сетью вендинговых аппаратов с кофе. Прибыль — это хорошо, но где рентабельность?

Реальный опыт предпринимателя, который не один год занимается вендинговым бизнесом. Вся правда из первых уст.

Честно о бизнесе: Что я понял, владея сетью вендинговых аппаратов с кофе. Прибыль — это хорошо, но где рентабельность?
1919
44
22
11
130 лет мы писали сценарии, снимали людей и монтировали, пока не пришла нейросеть

Первый кадр фильма показывает человека с плакатом, протестующего против пришельцев. Этот репортаж прямо с улицы, мы прямо на пикете.

1010
11
11
11
Российские и европейские компании в частном порядке обмениваются активами: санкции санкциями, а бизнес есть бизнес

Пока политики грозят друг другу пальцем и вводят все новые пакеты санкций, компании по обе стороны баррикад нашли остроумный способ обойти ограничения и разморозить хотя бы часть своих активов. Да, речь идет о бартере, но не о банальной "нефти в обмен на матрешки", а о более изощренных схемах.

55
Как маркетинговые агентства зарабатывают на вас – и как не стать их жертвой?
Как маркетинговые агентства зарабатывают на вас – и как не стать их жертвой?
Китайская Baidu оказалась в центре скандала — 13-летняя дочь топ-менеджера «сливала» данные пользователей, которые критиковали корейскую поп-звезду

Компанию заподозрили в нарушении конфиденциальности данных.

Источник фото: Kr Asia
2626
99
55
22
22
Дочь совсем уже *@%*&. Думает что она типо крутая может что-то. Не понравилось ей что-то. Да пошла ты *****
Пошаговый гайд по созданию лендинга с помощью AI

________________
Время создания сайта: 40 минут
Стоимость: 1000 руб
________________

▪— Планирование и структура
▪— Генерация сайта в Durable
▪— Наполнение контентом
▪— Кастомизация
▪— Публикация сайта

Пошаговый гайд по созданию лендинга с помощью AI
4141
1313
88
11
реклама
разместить
Создаёте контент, но не зарабатываете? Вся правда о монетизации в Telegram!

Зарабатывать на небольших Telegram-каналах сложно. Почти 80% владельцев каналов зарабатывают на них менее 60 тыс. руб. в месяц. Telegram как платформа быстро растет, но привлечь аудиторию сложно. Что делать?

Игорь Монахов, Михаил Захаренков
1010
22
11
11
Одни запрещают, другие просят: компании начали искать «вайб-кодеров» — разработчиков, которые «оркестрируют кодом с помощью ИИ»

«Никакой возни с синтаксисом — только промпты, итерации и вайб».

Источник фото: Getty Images
2525
1919
33
"благодаря ИИ команда из десяти разработчиков может создать то, для чего раньше понадобилось бы 50-100 человек" - превратить проект в неподдерживаемое легаси за неделю?
Instagram* начал тестировать возможность оставить комментарий, предложенный ИИ

Появится ли функция у всех пользователей, неизвестно.

Варианты комментариев от ИИ к селфи: «Симпатичная гостиная», «Нравится уютная атмосфера», «Отличное место для фото». Источник: Jonah Manzano
100
1414
55
33
11
11
А когда уже можно будет запостить фотку предложенную ии, чтоб люди вообще не нужны были?
[]