Данная ситуация произошла неделю назад, 5 сентября.
Мне приходит пуш, что к моему счёту выпущена дополнительная карта. Никаких запросов на выпуск карты я не подавал, потому как можно скорее иду в приложение и блокирую её, также сообщаю об этом в чат.
В чате, кажется, вообще не понимают на первой линии что происходит, потому отвечают типовым шаблоном, что «мы просто вас информируем о готовности карты»
После выражения явного непонимания в адрес поддержки начались сдвиги: меня выбросило из личного кабинета. С точки зрения безопасности — ок, однако сразу после я получил смс с блокировкой карт, которых у меня точно никогда и не было.
Сразу же после этого я пытаюсь зайти в приложение: ввожу номер телефона, код из СМС. Далее банк просит меня задать новый пароль (надеюсь, в целях безопасности?) и ввести номер карты, чтобы подтвердить мою личность.
После авторизации я пишу в чат, что меня выбросило из приложения и мне пришли вышеупомянутые СМС. В ответ мне лишь ответ, что со мной свяжутся. Параллельно запрашиваю логи по активным устройствам, с которых осуществлялся вход.
Спустя какое-то время мне действительно позвонили, однако в звонке было постоянное «уточняю информацию, мне потребуется ещё время». Ещё чуть позже звонок просто был сброшен со стороны банка, меня разлогинило из приложения, а также вновь приходят смс с блокировкой неизвестных мне карт в количестве пяти штук.
Я повторяю всё те же действия со входом: телефон, код, новый пароль и номер карты. Вновь сообщаю, что звонок прервался. Вновь мне звонит тот же сотрудник, сообщает что он «уточняет информацию и ему требуется больше времени». Вновь сброс звонка со стороны банка, вновь меня выбрасывает из приложения и вновь я получаю ещё пять блокировок неизвестных мне карт.
Я снова возвращаюсь в чат и сообщаю обо всём случившимся, ведь нормальным такое точно назвать нельзя.
Спустя какое-то время мне всё же перезванивает тот же оператор, сообщающий мне, что обращение уже заведено и всё, что он может мне предложить — закрыть доступ к моему личному кабинету. Разумеется, соглашаюсь на его предложение, ведь в случае возможного мошенничества все способы обезопасить себя хороши. Сообщаю, что мне нужно заранее вывести часть своих средств на жизнь, ведь неизвестно сколько продлится данная проблема.
Параллельно я замечаю, что у меня действительно появились ещё неизвестные мне карты. Иду проверять их реквизиты: срок действия 09/30. Понимаю, что это точно никакой не баг и карты действительно существуют и привязаны к моим счетам. Начинаю самостоятельно блокировать карты, также сообщаю оператору об этом. Параллельно понимаю, что раз я смог без проблем посмотреть реквизиты любых карт, значит, соответственно, и злоумышленник мог их также посмотреть и скопировать. Вместе с оператором начинаем выставлять все лимиты, отключать покупки в интернете и замораживать карты.
Кажется, к тому моменту мы уже закончили и доступ в личный кабинет мне отключили. Теперь оставалось только ждать. На всякий случай решаю проверить свой смартфон на наличие неизвестных мне приложений: пусто. Проверяю разрешения на доступ к звонкам и СМС: есть только у встроенных приложений сообщений и звонков. Рут-прав и подобного также не имею.
Спустя время начинаю анализировать проблему: либо у Тинькофф есть крупная дыра в безопасности, либо кто-то из сотрудников выпускал карты с мыслью, что не заметят (дальнейшие варианты могут быть самыми разными), либо какой-то сотрудник решил «подебажить на проде». Ведь не может быть так, что я, каждый раз после сброса всех авторизаций, ввожу код из СМС, устанавливаю новый пароль и ввожу номер карты, а злоумышленник с другой стороны запросто обходит все методы защиты.
Спустя некоторое время я получаю от банка таблицу с входами в личный кабинет. Вижу свой основной смартфон, вижу свой дополнительный смартфон (который уже пару недель как разряжен). Пролистав входы за месяц не нахожу ничего подозрительного, как вдруг вижу вход в личный кабинет через API как раз в день произошедшего, а также с серого IP-адреса. Получается, мои выводы были верны? Кто-то из контура банка, из его VPN сети, производил неизвестные манипуляции.
Сегодня уже восьмой день с произошедшего, однако банк не торопится давать ответ, хотя и любому понятно, что ситуация с приоритетом Critical. Хранить деньги в Тинькофф действительно стало опасно, раз в банке допускают такой исход событий.
Изначально данную проблему я начал решать с банком в Твиттере, оригинальную переписку можно найти по ссылке
Надо полагать это андроид?
А да, автор подтвердил.
Судя по IP — это локальная сеть,
Получается автор сидит в бесплатном / незащищенном WiFi и кто-то просто подключается локально по API банка, считаясь при этом авторизованным в клиента независимо от количества смены паролей.
В айфоне для этого есть отдельная настройка в privacy “Local Network” где можно выключить локальный доступ приложениям если оно попросило, и ты вдруг по пьяни дал не подумав.
Вот почему не люблю андроид, приложение может тупо не запуститься, пока ты ему не дашь доступ ко всем своим трещинкам.
Честно говоря, какую-то дичь написали. Адрес локальный, в том-то и дело и в данном случае его реально получить только из контура банка. Причем тут открытые сети и Android? Открытыми сетями не пользуюсь, права выдаю приложениям только необходимые.
Не позорьтесь, серьезно.
Это локальный IP от роутера ))
Они обычно всегда на 10.x начинаются.
Пул IP адресов локальной сети роутера можно поменять на какой угодно! О чём вы? Каким образом это может являться критерием?
Во первых, слово «обычно» —означает «как правило», следите за контекстом.
А во вторых, мы с автором ещё вчера разобрались что я ошибся. Для этого достаточно было прочитать эту ветку. Но вам же надо высказаться и минус влепить))
Ну ок, я тоже умею.
Если уж общаться в вашей манере, то «как правило» внутренняя сеть в роутерах начинается на 192.
следите за контекстом.Обязательно спрошу у вас, что мне делать в следующий раз.
А во вторых, мы с автором ещё вчера разобрались что я ошибся.И? Раз вы в какой-то ветке пришли к общему мнению, то по вашим понятиям мне не следует выражать свою оценку конкретного комментария? Лимита на комментирование нет.
Ну и понизьте ЧСВ и попейте пустырничка. Нужно учиться адекватно реагировать на негативные оценки.
Внутренняя сеть на роутера начинается не "на 192", а на любой private address согласно rfc1918 куда входят и 10. и 172. (более экзотические варианты с APIPA и туннелированнием опущу).
Специально выделил словосочетание "как правило" в кавычки. Да и личный опыт взаимодействия с роутерами большинства консьюмерских марок говорит, что не все они следуют RFC1918 при выставлении дефолтных настроек, доступных "из коробки".
Чепуху пишете, извините мой французский. 1) Роутер ОБЯЗАН следовать rfc1918, иначе он просто не выйдет в продакшн. Потому что это СТАНДАРТ 2) Ваша оговорка "как правило" должна иметь продолжение "для SOHO" - т.е., продукты, предназначенные для домашнего или мелкоофисного применения. Если вы возьмете корпоративную железку, то с большой долей вероятности никакого 192 вы там по-умолчанию не найдёте.
Чепуху пишете вы.
Роутер ОБЯЗАН следовать rfc1918, иначе он просто не выйдет в продакшн. Потому что это СТАНДАРТРаз уже вы цепляетесь за слова, то и я стану.
Не роутер, а производитель, вендор.
Ваша оговорка "как правило" должна иметь продолжение "для SOHO" - т.е., продукты, предназначенные для домашнего или мелкоофисного примененияЧто в данном случае нарушает вендор, указывая в качестве дефолтного пула IP-адресов для локальной сети диапазон вида 192.xxx.xxx.xxx? Или адрес, начинающийся "на 192" больше нельзя отнести к "private address"?
Моя оговорка ничего никому не должна. Это раз. И была написана в контексте обсуждения данной ветки. Это два. Для меня очевидно, что под термином "роутер" предполагался консьюмерское изделие. Ибо в корпоративном секторе распространены решения, мягко говоря, иного толка. И дома такие решения не стоят поголовно у каждого первого. Да даже у каждого десятого не стоят. Вот и словосочетание "как правило" вновь вполне актуально.
Перечитайте с самого начала, не ленитесь.
"Не роутер, а производитель, вендор" - потрясающе, начались придирки к словам! А в результате следования вендором, что получается? Разве не следование роутером?
"Для меня очевидно, что под термином "роутер" предполагался консьюмерское изделие." - это очевидно только для вас в силу крайне странного толкования термина "консьюмерский" лично вами. Это лично ваши проблема. В контексте треда ОЧЕВИДНО, что речь идёт о корпоративном железе. Которое (открою вам страшную тайну) - тоже "консьюмерское" (о как!).
ЗЫ. Ну не понимаете вы ничего в теме, чего лезете-то?
Рад, что вы заметили. Доёбы к словам начали вы.
то очевидно только для вас в силу крайне странного толкования термина "консьюмерский" лично вамиЯ СПЕЦИАЛЬНО, для особо одарённых, указал "для меня". А вы мне мои же слова в виде предъявы приводите? Это шутка такая?
В контексте треда ОЧЕВИДНО, что речь идёт о корпоративном железе.Забыли добавить "для меня". Ибо ваше "очевидно" - сугубо ваше. И ни капли не истина для кого-либо ещё.
Которое (открою вам страшную тайну) - тоже "консьюмерское" (о как!).Очень страшная, ага. Поясняю: консьюмерское = потребительское. Для вас специально разделил контекст, дополнительно введя термин "корпоративное". Вижу, что не осилили. Жаль
Ну не понимаете вы ничего в теме, чего лезете-то?Нихуя предъявы! Конкретика будет в том, в чём не прав-то? Конструктив, не, не слышали? Вроде, чётко сформулированные вопросы задал. Ну так укажите на ошибку, разверните свой ответ. Не можете? Ну так идите, блядь, мимо, а не хамите.
Конкретно вот это: "«как правило» внутренняя сеть в роутерах начинается на 192." есть чушь.
ЗЫ. За мат отправил жалобу модератору.
Пока вы протранслировали лишь своё мнение, ничем его не подкрепив, свалившись в безосновательную оценку чужого мнения не в лучшем свете.
есть чушь.Ну так ваши слова, ничем не подкреплённые - и есть не меньшая чушь, чем моя.
ЗЫ. За мат отправил жалобу модератору.Ваше право. Ведите диалог без хамства - и не будет мата. Терпеть такую манеру я не готов.
Видимо, вы не только глупый, хамоватый, но ещё и слепой. Так и быть, повторю второй раз: Внутренняя сеть на роутера начинается не "на 192", а на любой private address согласно rfc1918 куда входят и 10. и 172.
Впрочем, если вы готовы предоставить статистику по настройкам десятков миллионов роутеров, подтверждающую ваши слова - велкам. Пока же от вас видно лишь ничем не обоснованное заявление, которое технически безграмотно и слабо кореллирует с реальностью. А свой матерный апломб засуньте куда подальше.
Комментарий удален модератором
Комментарий удален модератором
Комментарий недоступен
<quote>Забыли добавить "для меня". Ибо ваше "очевидно" - сугубо ваше. И ни капли не истина для кого-либо ещё.</quote>
Не "для меня", а для всех нормальных людей, читающих тред. Или у вас подключение к апи шлюзу внутри сети банка - это не корпоративный кейс? А какой? Домашний? Я же говорю: мелете чепуху и не признаете этого. Вас как котенка ткнули носом в лужицу, а вы вместо того, что бы признать неправоту злитесь, как школьник.
Представьте себе: у компаний внутри сети очень часто таким же образом выдаются адреса
А, да. Это же их распечатка. Я тупанул ))
Можно на ты
Можно. Бывает :)
Но я всё равно не люблю андроид )), с этими «дай доступ ко всему иначе приложение на запустится».
Вот так мнительными параноиками и становятся.
это диапазон адресов выделенный для локальных сетей
внешний юзер с такого адреса в банк зайти не мог
Дальше нашу ветку тебя не хватило прочитать? Мы ещё днём порешали. Спасибо ;)