«Тинькофф» массово перевыпускает карты без оснований
Данная ситуация произошла неделю назад, 5 сентября.
Мне приходит пуш, что к моему счёту выпущена дополнительная карта. Никаких запросов на выпуск карты я не подавал, потому как можно скорее иду в приложение и блокирую её, также сообщаю об этом в чат.
В чате, кажется, вообще не понимают на первой линии что происходит, потому отвечают типовым шаблоном, что «мы просто вас информируем о готовности карты»
После выражения явного непонимания в адрес поддержки начались сдвиги: меня выбросило из личного кабинета. С точки зрения безопасности — ок, однако сразу после я получил смс с блокировкой карт, которых у меня точно никогда и не было.
Сразу же после этого я пытаюсь зайти в приложение: ввожу номер телефона, код из СМС. Далее банк просит меня задать новый пароль (надеюсь, в целях безопасности?) и ввести номер карты, чтобы подтвердить мою личность.
После авторизации я пишу в чат, что меня выбросило из приложения и мне пришли вышеупомянутые СМС. В ответ мне лишь ответ, что со мной свяжутся. Параллельно запрашиваю логи по активным устройствам, с которых осуществлялся вход.
Спустя какое-то время мне действительно позвонили, однако в звонке было постоянное «уточняю информацию, мне потребуется ещё время». Ещё чуть позже звонок просто был сброшен со стороны банка, меня разлогинило из приложения, а также вновь приходят смс с блокировкой неизвестных мне карт в количестве пяти штук.
Я повторяю всё те же действия со входом: телефон, код, новый пароль и номер карты. Вновь сообщаю, что звонок прервался. Вновь мне звонит тот же сотрудник, сообщает что он «уточняет информацию и ему требуется больше времени». Вновь сброс звонка со стороны банка, вновь меня выбрасывает из приложения и вновь я получаю ещё пять блокировок неизвестных мне карт.
Я снова возвращаюсь в чат и сообщаю обо всём случившимся, ведь нормальным такое точно назвать нельзя.
Спустя какое-то время мне всё же перезванивает тот же оператор, сообщающий мне, что обращение уже заведено и всё, что он может мне предложить — закрыть доступ к моему личному кабинету. Разумеется, соглашаюсь на его предложение, ведь в случае возможного мошенничества все способы обезопасить себя хороши. Сообщаю, что мне нужно заранее вывести часть своих средств на жизнь, ведь неизвестно сколько продлится данная проблема.
Параллельно я замечаю, что у меня действительно появились ещё неизвестные мне карты. Иду проверять их реквизиты: срок действия 09/30. Понимаю, что это точно никакой не баг и карты действительно существуют и привязаны к моим счетам. Начинаю самостоятельно блокировать карты, также сообщаю оператору об этом. Параллельно понимаю, что раз я смог без проблем посмотреть реквизиты любых карт, значит, соответственно, и злоумышленник мог их также посмотреть и скопировать. Вместе с оператором начинаем выставлять все лимиты, отключать покупки в интернете и замораживать карты.
Кажется, к тому моменту мы уже закончили и доступ в личный кабинет мне отключили. Теперь оставалось только ждать. На всякий случай решаю проверить свой смартфон на наличие неизвестных мне приложений: пусто. Проверяю разрешения на доступ к звонкам и СМС: есть только у встроенных приложений сообщений и звонков. Рут-прав и подобного также не имею.
Спустя время начинаю анализировать проблему: либо у Тинькофф есть крупная дыра в безопасности, либо кто-то из сотрудников выпускал карты с мыслью, что не заметят (дальнейшие варианты могут быть самыми разными), либо какой-то сотрудник решил «подебажить на проде». Ведь не может быть так, что я, каждый раз после сброса всех авторизаций, ввожу код из СМС, устанавливаю новый пароль и ввожу номер карты, а злоумышленник с другой стороны запросто обходит все методы защиты.
Спустя некоторое время я получаю от банка таблицу с входами в личный кабинет. Вижу свой основной смартфон, вижу свой дополнительный смартфон (который уже пару недель как разряжен). Пролистав входы за месяц не нахожу ничего подозрительного, как вдруг вижу вход в личный кабинет через API как раз в день произошедшего, а также с серого IP-адреса. Получается, мои выводы были верны? Кто-то из контура банка, из его VPN сети, производил неизвестные манипуляции.
Сегодня уже восьмой день с произошедшего, однако банк не торопится давать ответ, хотя и любому понятно, что ситуация с приоритетом Critical. Хранить деньги в Тинькофф действительно стало опасно, раз в банке допускают такой исход событий.
Изначально данную проблему я начал решать с банком в Твиттере, оригинальную переписку можно найти по ссылке
Добрый день.
Заявку на карту *6437 вы подавали 26 января 2022 года. Мы не смогли сразу одобрить ее по техническим причинам. Смогли сделать это только 5 сентября, о чем и проинформировали вас в смс.
Так как вы сообщили, что карту не оформляли, мы сбросили доступ к личному кабинету и мобильному приложению для всех устройств в целях безопасности. Когда мы сбрасываем доступ, одновременно в автоматическом режиме перевыпускаем все виртуальные карты, о чем также направляли последующие смс. Вынуждены были сделать сброс несколько раз, так как в процессе диалога с оператором звонок прерывался. Простите, пожалуйста, за ситуацию.
IP-адрес, который вы видите в таблице - технический. С этого адреса вход в приложение или личный кабинет не осуществляли.
В консультациях мы не допускали ошибок и направляли все усилия, чтобы помочь вам решить вопрос как можно скорее.
И вам доброго дня! Давайте разберём подробно вами написанное:
1. Предположим, что я действительно мог подать заявку 26 января на виртуальную карту. Что значит не смогли «сразу одобрить её»? Это же не открытие нового кредитного договора или чего-то подобного. И вообще, вам не кажется странным, что у вас где-то застряла в очереди виртуалка на 9 месяцев практически? Звучит как какой-то бред, согласитесь.
2. Окей, при сбросе вы говорите, что перевыпускаете все виртуалки. А почему тогда перевыпускались не все? Опять недоговариваете.
3. Я прекрасно понимаю, что адрес не внешний, а из внутренней сети, однако даже таблица, которую вы мне прислали, называется «IP-адрес входа в приложение». И почему-то только в день произошедшего там произошёл неизвестный вход. Вновь лукавите, получается.
Как всегда красавчики. То автоматически назначают рассрочку после просмотра сторис с предложением о ней в приложении. То списывают миллионы со счетов, после операций конвертирования, то вводят конские комиссии за переводы валюты. За последний год одни зашквары, хорошо что в свое время я выбрал другой банк.
много читала кстати про такие истории( поэтому выбрала другой банк
От тинькофф банка почти ушел, закидывая иногда деньги с альфы, чтобы воспользоваться предложением партнеров. Хранить там свои деньги нереально стремно, особенно после таких историй.
Комментарий недоступен
А куда сейчас кроме тинька можно перейти? Что посоветуете? Серьезно. Я тоже рассматривал вариант сменить банк, но реально удобных для себя альтернатив пока не нашел.
И как много это людей задело? 0.0001% или 0.00001%? Рейтинг в Google Play 4.8. У того же Сбера выше 4.6 я не помню. 25 млн человек не просто так стали клиентами Тинькофф с ростом по 40+% в год
Так что давайте не строить из мухи слона.
Какой, если не секрет ?
Они с ВБ забились, кто больше накосячит.
а если ты хоть рубль заработал законно на конвертации согласно курса банка - сразу становишься мошенником и на тебя подадут в суд)
Может государство пообещало банкам бонусы за количество выпущенных карт МИР, и жульническая натура решила выпустить втихаря кучу карт, а тут произошёл сбой и пришла инфа клиенту.
Попробовал перейти в райф. В первый же день потребовалось оплатить ростелеком и нате вам - комиссия 50р. В тиньке такого говна не было.
Причем "массово" - это в пределах счетов одного пользователя)
Предложите лучше и кратко)
Согласен, что отчасти кликбейтно звучит, но на момент публикации не придумал лучше)
critical из той же серии. был некоторый опыт с багтрекером не самого мелкого банка, critical там это авария на проде когда какой то функционал не работает вообще никак у кучи людей.
Комментарий недоступен
Мы не оставим без ответа
Ваш зов о помощи в стихах.
Помочь клиентам — наше кредо,
Мы видим боль в ваших словах.
Вы ФИО нам в лс пришлите,
Чтоб мы проверили ваш кейс,
О всем подробно расскажите
Все там же — нам в лс.
Блудниц, альков...
Здравствуйте.
Мы очень серьезно относимся к вопросу безопасности.
Уже разбираемся в описанной вами ситуации. По итогу вернемся с ответом.
Вы уже вторую неделю так говорите. Где результат хоть какой-то?
нет, вы относитесь несерьезно.
видите, вон человеку карт навыпускали.
Комментарий удален модератором
Именно поэтому у вас на пару с красным банком самый дешёвый слив личных данных?
Насколько безопасно то что сотрудники поддержки из дома видят информацию о пользователе?
Не позорьтесь, удалите комментарий)
Мадамы/мадмуазели /пол третьего лица, но согласитесь, что мерзостные правила, правда?
Храню в Тинькофф только заблокированные денежные средства и ценные бумаги, поэтому никакие хакеры мне не страшны!
Попробуй в отделение банка сходить и разобраться. А, стоп, подожди...
отделения всегда были дичью, я клиент нескольких банков, и Альфа и Сбер, и ВТБ успели очень отличиться во время личного визита, Тинькофф косячил, однако вопросы решал адекватнее той троицы
ПРОДВИГАЙТЕ ПОДОБНЫЕ ПОСТЫ КОММЕНТАМИ И КАРМОЙ.
Такие ситуации действительно опасны для ваших денег. Желтый как всегда говно собачье
А у меня сегодня сняли плату за оповещение карты, которой у меня нет.. Но после обращения в тех. поддержку деньги вернули. Вот прикол такого я ни в одном банке еще не видел
Зато вернули. А УБРиР сам включает оповещения даже после ручного отключения, списывает оплату и отказывается возвращать, то есть просто мошенники.
Тинёк накосячил и обосравшись спрятался в кустах.
Вообще неприемлю эту организацию в качестве банка.
Это не косяк. Это намеренный тест. Как только отладят - запустят на всех клиентов. Вас история изменений в Тинькофф ничему не учит)
Бежать надо из этого "банка", одна дыра на другой.
Куда? Объективно, особо нет нормальных альтернатив
Нет ни одного банка который бы не косячил. Единственный плюс у остальных это наличие офисов. А так шило на мыло ещё и условия хуже
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Если не похуесосил Тинькофф - считай день прошёл зря.
Ща почитаем.
Тинькофф, вы там охуели что ли? В стране чипов для карт не хватает, Сбер вон выковыриванием занимается, а вы на одного клиента десятки карт вешаете.
Это расточительство на грани государственной измены.
Комментарий недоступен
Надо полагать это андроид?
А да, автор подтвердил.
Судя по IP — это локальная сеть,
Получается автор сидит в бесплатном / незащищенном WiFi и кто-то просто подключается локально по API банка, считаясь при этом авторизованным в клиента независимо от количества смены паролей.
В айфоне для этого есть отдельная настройка в privacy “Local Network” где можно выключить локальный доступ приложениям если оно попросило, и ты вдруг по пьяни дал не подумав.
Вот почему не люблю андроид, приложение может тупо не запуститься, пока ты ему не дашь доступ ко всем своим трещинкам.
Честно говоря, какую-то дичь написали. Адрес локальный, в том-то и дело и в данном случае его реально получить только из контура банка. Причем тут открытые сети и Android? Открытыми сетями не пользуюсь, права выдаю приложениям только необходимые.
Не позорьтесь, серьезно.
Автор @Пол Финч а ты чего сразу порвался то? Выходи на диалог сначала
Вау, а с каких пор на андроиде рандомное устройство из подключенной сети (trusted/untrusted) может получить доступ к приложениям или подключаться напрямую к их API через устройство пользователя? Под рутом то такое невозможно (хоть с самого устройства, хоть извне), неговоря уже о девайсе на стоке.
Комментарий недоступен
Охохо, похоже, вскрылась кипа левых карт , через которые проворачиваются темные делишки.
Комментарий недоступен
А до этого Олега в интернете прям все любили )
Сотрудники тинька как всегда быстрые и резкие, как понос.
Как только „ушел“ Олег, ну, вы поняли..
Почитайте отзывы на банки.ру хоть. Проблем было всегда навалом. Я лично постоянно помогал друзьям, например, с Тинькофф Инвестициями.
Мне в какой-то момент написали из Тинькоффа, что некоторые операции по карте заблокированы. Пишу, спрашиваю в чем дело, внятного ничего не отвечали. Уже и я с ними общалась, и муж. В итоге кое-как добились, что непонятно мол как деньги на карте берутся.
Присылаю скрины все, все выписки (деньги переводит муж, обычные нормальные деньги, со своей зарплатной карты, ничего криминального). В итоге еще неделя "общения", где операторы не врубаются особо в суть происходящего и "по итогам проверки вам рекомендовано закрытие счета".
Клиентоориентированность уровень бог. Куда еще ниже???
Вот здесь соглашусь: конкретно операторам стоило бы больше вникать в суть проблем клиентов.
Здравствуйте. Мы не устанавливаем ограничения без причины, при этом всегда действуем в рамках законодательства и условий договора. Пожалуйста, напишите ваши ФИО и дату рождения в ЛС, проверим причины нашего решения.
Ну как главнокомандующий подписал указ про борьбу с терроризмом, все к этому и шло. Даже банально скинуть деньги на квартиру при открытии счета в новом банке для клиента, может вызывать подозрения для центробанка. Мол попытка вывести деньги из страны или скрыться от уплаты налогов. Думаю банкам было бы в кайф даже хранить на счетах любые средства за любую деятельность, но государство душит
Если читать статьи на vc.ru, то выглядит так, как-будто все, кто продолжает пользоваться потребительскими (не бизнес) услугами "Тинькофф Банка" усиленно борются за обладание премией Дарвина.
Я юзаю Тинькофф банк и/несколько лет и проблем никаких не было. Даже кешбэк нормальный вернули недавно. Может, дело не в банке?
Как вы там пишете: «у Тиньков дыра в безопасности» как по мне, так у вас дырявый Андройд, на каком нибудь дырявом Самсунг, с доступами к дырявым общественным вайфай сетям. Вот и смейтесь потом над айфонами и IOS 😂
Ух ты, тебе напомнить, как устройства на твоей дырявой ИОС пачками вырубали через BTLE? Напомни, с каких пор Android даёт любому рандому из подключенной сети доступ к приложениям на устройстве или позволяет использовать себя как "пропуск" для авторизации в их API? Я то под root такое не могу, а ты тут предлагаешь на стоке всё провернуть, при том, что в сеть Android светит только двумя портами. И даже если такое возможно, то почему вдруг не отобразилось устройство, а какой-то API gateway?
Остается пожелать удачи автору
Тинькофф иди на хуй
С каждым разом все хуже и хуже, а раньше так радовался, что подобный банк открылся у нас в России, много деньжат даже поднял, потому что всех друзей и знакомых пригласил. Желаю автору удачи в разрешении ситуации
Комментарий недоступен
Тинькофф пробивает очередное дно! Гниет уже изнутри, как Потанинские резервуары с отходами, дальше катастрофа, хорошо, что не экологическая, а просто эволюция банка в помойку!
Можете написать в чем дно? Как много клиентов пострадало?
У вас есть точная статистика? А если нету, то зачем здесь обсираете Тинькофф за неимением данных. Пока я вижу рейтинг на Google Play и он стабильно показывает 4.8. Так что со своими мыслями, пожалуйста, к врачу
Тинькофф со "сменой" руководства скатился до 0. Мне и многим моим знакомым в итоге отказали в обслуживании по 115 ФЗ, причём массово. Между собой не были связаны финансово.
А так очень удобно устроились. Не заблокированных банков в РФ с полноценными приложениями - по пальцам пересчитать. Тинькофф тут гегемон среди всех, потому что есть дистанционный выпуск. Вот так под шумок и стали одними из монополистов...
Как будто 115 вообще банк придумал)) Блочили всех, кто по мнению цб подозрительно выполнял операции по их регламенту. Мне как обычному клиенту все ок было, зп на их карте и оплата авто через дилера тоже через их счет и все ок
Автор ты не одинок. Мне тоже мультивалютную визу блокнули. Видимо, КПИ по картам МИР выполняют. В понедельник утром с заблокированной картой было весело оказаться, мусорка да и только, а не банк.
Здравствуйте. Хотели бы разобраться в ситуации. Напишите, пожалуйста, ФИО и дату рождения нам в лс.
Комментарий недоступен
Светились не все. Светилась самая первая, по которой пришел пуш, и всё.
После уже появились и те, что на последнем скрине с смс, которые я сам блокировал (они были перевыпущены взамен моих старых, как понял после. Если что, то у меня просто несколько платежных счетов и на каждом из них что-то перевыпускалось, потому и такое количество).
Единственное, что есть у других банков, так это офис, который находится почти в каждом городе. Другими словами вас могут "послать" в пешее путешествие лично в лицо. Но... это на любителя...
В отделении они вызов сбросить не смогут хотя-бы, и в отделение можно вызвать полицию по признакам мошенничества, это сильно отрезвляет менеджеров и увеличивает их желание решить возникшие проблемы.
А я думаю, почему перестали прилетать вакансии от Тинькофф в gmate, видать набрали местных синьоров xD
тоже недавно ни с того ни с сего 3 мира виртуальных вывалились, но учитывая их косяк когда они мне как то вывалили 20 виртуалок разом, которые я пытался создавать они не создавались а через полгода решили создаться разом, уже просто забил, ничего там серьёзного по деньгам давно не держу, просто транзит банк
Здравствуйте.
Напишите, пожалуйста, нам в личку ваши ФИО и дату рождения. Выясним, откуда взялись виртуальные карты, которые вы не оформляли.
Господа, вроде же можно как-то выключить было API? Давайте лучше опубликуем способ.
Без Олега и топов стало печально
Фиксирую информацию...
Как же людям нравится жрать говно, репутации Тинькова и всего, что связано с этим именем было мало априори, но как только покатилась лавина подобных "занимательных" новостей вы продолжаете ровно сидеть на жопе и ждать, пока у вас отнимут все ваши деньги.
кек
Ребят, да когда же вы уже все уйдете из тинька? Постоянно с ним какие-то скандалы, сенсации, расследования. Есть же другие банки, между прочим в России их больше 300.
Подтверждаю, 5 сентября была ровно такая же история с выпущенными картами без моего ведома!
Расскажете подробнее?
Здравствуйте. Хотели бы разобраться в ситуации. Напишите, пожалуйста ФИО, дату рождение, а также краткое описание ситуации нам в лс.
Здравствуйте. Мы не допускали ошибок в работе. Позвонили вам для сброса логина и пароля от личного кабинета. Также рекомендовали обратиться в полицию для решения этого вопроса.
Скриншот последнего входа однозначно говорит о том, что выпустивший карту сидел в одной приватной подсети с API gateway банка (т.е., не за NAT). Основания подозревать дыру в безопасности есть.
Очень похоже на работу банковского трояна. Вся вредоносная работа ведется прямо с вашего устройства, поэтому никакие смены пароля и сбросы авторизаций тут не помогают. Нужно было первым делом его выключить и поменять пароли и тд с нового устройства. Запросить какие-то логи с банка и обратиться в полицию )
Вот и помогай после этого людям )
Сегодня с утра звонки от Тинькофф с просьбой перезвонить или написать в чат. В итоге вечером дозвонился сотрудник и настойчиво требовал подтвердить мою личность путём видеозвонка и включением микрофона в телефоне - через ссылку. Ничего в итоге не понял, сотрудник твердил одно и то же не слушая мои вопросы. Сказал, что меня не смогут полноценно проконсультировать в поддержке, пока не проделаю данную операцию. В первый раз сталкиваюсь с подобным. У кого нибудь было подобное ?
Здравствуйте. Ситуация возникла из-за ограничений обслуживания в целях безопасности, которые мы установили после обращения другого человека, который позвонил нам и представился вами. Чтобы снять ограничения, вам нужно пройти процедуру подтверждения личности с сотрудником службы безопасности. Для этого, пожалуйста, напишите нам в чате или позвоните по телефону 8 800 555-77-78 и сообщите нам номер телефона, удобную дату и время звонка для связи с вами.
Здравствуйте!
Напишите, пожалуйста, ФИО и дату рождения в лс. Хотим проверить вашу ситуацию.
А были случаи Таких вот Юагов В пользу клиента
Проснулся Таа утром и обнаружил что счёт твой в рублях (хотя бы) 999999999₽ и пошёл обналичил пару девяток с 6нулями И чтоб без судов гелентвагенов с бритыми парнями и поездками в багажнике и так далее А спокойно поехал жить в анапу
Были такие случаи ??
На днях новость проскакивала - австралийке по ошибке перечислили в крипте вместо 100 баксов 10 лямов. Ну, она накупила себе там домов охуенных, тачек и всё такое. И если бы не аудит криптобиржи, который прошёл только спустя полгода или даже больше, то так бы и дальше кайфовала.
с обменом долларов на рубли был баг что можно было менять туда обратно зарабатывая деньги
ребята опять хакают KPI в духе Олега-пулехода (Олег, привет тренеру!).
У меня так было в альфе - переводила себе деньги по номеру карты (тогда это еще без дикой комиссии было) а оказалось, что к счету привязана какая-то еще карта. Заблокировала ее, заблокировались обе, пришлось новую заводить..
... и это только ещё цветочки...
а что так можно было? по какому запросу они предоставляют такого рода данные?
По запросу в чат предоставили
IP локальный, значит обращения идут из сетки тинька. Возможно, кто-то на проде в каком-нибудь постмане апи тестит
Автор, у Вас достаточно уникальные ФИО? Есть ли шанс на тёзок? Если очень коротко, достаточно давно описывали, что некоторые пользователи получали доступ к чужим ЛК из-за проблемы полного совпадения ФИО. Очень похоже, что когда вас блочат, блочат и второго человека.
На всю страну максимум человек пять было
Никогда не нравился Тинькофф, а с новым руководством стал ещё хуже и наглее.
Фух, ну хоть где-то всё стабильно, редко захожу на vc, но радует что тут по прежнему в первых же постах поливают говном Тинька, значит мир еще не рухнул! Выдохнул.
Автор, а вы на банки.ру писали? Чую, здесь мы ответа от банка не дождемся.
На банки не писал, ибо фактически там они тоже умеют забивать. Здесь же крупный охват и толку больше
Превентивно попрощался с Тиньковым. Перешёл на Альфу.
#ТинькоффГДЕЗП
Пользовался ВТБ и Сбером. Постоянно были проблемы. Как хорошо, что я от них ушёл. Последней каплей в Сбере были непонятные номера карт, появившиеся в личном кабинете и 45 суток на разбор кто это сделал, после чего была просто отписка без указания виновных лиц, что дескать карты успешно закрыли по моему желанию. Кто их открывал до сих пор не ясно.
В продолжение: госслужащий, зарплатный счет на @ВТБ. пару месяцев назад несколько раз в день стали "долбить" мошенники, знающие мои имя и фамилию, с сообщениями о "только что одобренном кредите", "сменой телефонного номера владельца карт", которые нужно подтвердить или опровергнуть сообщив АйДи клиента или данные карты (кончено с CCV и датой). Просто заблокировал карту, счет, само собой, остался. Поступившие деньги (зарплата, аванс, премии) через СБП переводятся на другую карту. В телефоне тишина. Никто никакие "кредиты" не оформляет. Интересно .в случае с "Тинькофф" такое возможно - оставить счет для поступления и перечисления денег, заблокировав все физические и виртуальные карты?
Здравствуйте. Вы можете заблокировать все карты и пользоваться только счетом.
имхо: аккаунт в тиньке пытались юзать как дропа, налепив кучу карт для работы, а вот когда и откуда ушла утечка личных данных - вот это вопрос.
сам банк очень круто придумал, на самом деле очень умные люди 😂
посадили на телефоны самых «одаренных» сотрудников, наверное, для них придумали специальный кастинг, чтобы у верхнего звена, было больше времени заниматься своими делами, пока горячая линия профессионально тупит. Гениальная система!
У меня со Сбером такое было. Пришла смс, что карта выпущена. Звоню - не получается связаться (отдельный идиотизм с личным менеджером, в вх ты не можешь с банком связаться О_о оказывается). Начала одеваться в банк, вспомнила про чат. Написала, долго мозги делали, типа это ошибка и нормально, мол сейчас решим. Я уже думала меня обносят и деньги тю-тю. Ни извините, ничего. После этого тоже задумалась.
Не смогла остановится читать комментарии-прекрасно все, спасибо