«Тинькофф» массово перевыпускает карты без оснований
Данная ситуация произошла неделю назад, 5 сентября.
Мне приходит пуш, что к моему счёту выпущена дополнительная карта. Никаких запросов на выпуск карты я не подавал, потому как можно скорее иду в приложение и блокирую её, также сообщаю об этом в чат.
В чате, кажется, вообще не понимают на первой линии что происходит, потому отвечают типовым шаблоном, что «мы просто вас информируем о готовности карты»
После выражения явного непонимания в адрес поддержки начались сдвиги: меня выбросило из личного кабинета. С точки зрения безопасности — ок, однако сразу после я получил смс с блокировкой карт, которых у меня точно никогда и не было.
Сразу же после этого я пытаюсь зайти в приложение: ввожу номер телефона, код из СМС. Далее банк просит меня задать новый пароль (надеюсь, в целях безопасности?) и ввести номер карты, чтобы подтвердить мою личность.
После авторизации я пишу в чат, что меня выбросило из приложения и мне пришли вышеупомянутые СМС. В ответ мне лишь ответ, что со мной свяжутся. Параллельно запрашиваю логи по активным устройствам, с которых осуществлялся вход.
Спустя какое-то время мне действительно позвонили, однако в звонке было постоянное «уточняю информацию, мне потребуется ещё время». Ещё чуть позже звонок просто был сброшен со стороны банка, меня разлогинило из приложения, а также вновь приходят смс с блокировкой неизвестных мне карт в количестве пяти штук.
Я повторяю всё те же действия со входом: телефон, код, новый пароль и номер карты. Вновь сообщаю, что звонок прервался. Вновь мне звонит тот же сотрудник, сообщает что он «уточняет информацию и ему требуется больше времени». Вновь сброс звонка со стороны банка, вновь меня выбрасывает из приложения и вновь я получаю ещё пять блокировок неизвестных мне карт.
Я снова возвращаюсь в чат и сообщаю обо всём случившимся, ведь нормальным такое точно назвать нельзя.
Спустя какое-то время мне всё же перезванивает тот же оператор, сообщающий мне, что обращение уже заведено и всё, что он может мне предложить — закрыть доступ к моему личному кабинету. Разумеется, соглашаюсь на его предложение, ведь в случае возможного мошенничества все способы обезопасить себя хороши. Сообщаю, что мне нужно заранее вывести часть своих средств на жизнь, ведь неизвестно сколько продлится данная проблема.
Параллельно я замечаю, что у меня действительно появились ещё неизвестные мне карты. Иду проверять их реквизиты: срок действия 09/30. Понимаю, что это точно никакой не баг и карты действительно существуют и привязаны к моим счетам. Начинаю самостоятельно блокировать карты, также сообщаю оператору об этом. Параллельно понимаю, что раз я смог без проблем посмотреть реквизиты любых карт, значит, соответственно, и злоумышленник мог их также посмотреть и скопировать. Вместе с оператором начинаем выставлять все лимиты, отключать покупки в интернете и замораживать карты.
Кажется, к тому моменту мы уже закончили и доступ в личный кабинет мне отключили. Теперь оставалось только ждать. На всякий случай решаю проверить свой смартфон на наличие неизвестных мне приложений: пусто. Проверяю разрешения на доступ к звонкам и СМС: есть только у встроенных приложений сообщений и звонков. Рут-прав и подобного также не имею.
Спустя время начинаю анализировать проблему: либо у Тинькофф есть крупная дыра в безопасности, либо кто-то из сотрудников выпускал карты с мыслью, что не заметят (дальнейшие варианты могут быть самыми разными), либо какой-то сотрудник решил «подебажить на проде». Ведь не может быть так, что я, каждый раз после сброса всех авторизаций, ввожу код из СМС, устанавливаю новый пароль и ввожу номер карты, а злоумышленник с другой стороны запросто обходит все методы защиты.
Спустя некоторое время я получаю от банка таблицу с входами в личный кабинет. Вижу свой основной смартфон, вижу свой дополнительный смартфон (который уже пару недель как разряжен). Пролистав входы за месяц не нахожу ничего подозрительного, как вдруг вижу вход в личный кабинет через API как раз в день произошедшего, а также с серого IP-адреса. Получается, мои выводы были верны? Кто-то из контура банка, из его VPN сети, производил неизвестные манипуляции.
Сегодня уже восьмой день с произошедшего, однако банк не торопится давать ответ, хотя и любому понятно, что ситуация с приоритетом Critical. Хранить деньги в Тинькофф действительно стало опасно, раз в банке допускают такой исход событий.
Изначально данную проблему я начал решать с банком в Твиттере, оригинальную переписку можно найти по ссылке
Добрый день.
Заявку на карту *6437 вы подавали 26 января 2022 года. Мы не смогли сразу одобрить ее по техническим причинам. Смогли сделать это только 5 сентября, о чем и проинформировали вас в смс.
Так как вы сообщили, что карту не оформляли, мы сбросили доступ к личному кабинету и мобильному приложению для всех устройств в целях безопасности. Когда мы сбрасываем доступ, одновременно в автоматическом режиме перевыпускаем все виртуальные карты, о чем также направляли последующие смс. Вынуждены были сделать сброс несколько раз, так как в процессе диалога с оператором звонок прерывался. Простите, пожалуйста, за ситуацию.
IP-адрес, который вы видите в таблице - технический. С этого адреса вход в приложение или личный кабинет не осуществляли.
В консультациях мы не допускали ошибок и направляли все усилия, чтобы помочь вам решить вопрос как можно скорее.
И вам доброго дня! Давайте разберём подробно вами написанное:
1. Предположим, что я действительно мог подать заявку 26 января на виртуальную карту. Что значит не смогли «сразу одобрить её»? Это же не открытие нового кредитного договора или чего-то подобного. И вообще, вам не кажется странным, что у вас где-то застряла в очереди виртуалка на 9 месяцев практически? Звучит как какой-то бред, согласитесь.
2. Окей, при сбросе вы говорите, что перевыпускаете все виртуалки. А почему тогда перевыпускались не все? Опять недоговариваете.
3. Я прекрасно понимаю, что адрес не внешний, а из внутренней сети, однако даже таблица, которую вы мне прислали, называется «IP-адрес входа в приложение». И почему-то только в день произошедшего там произошёл неизвестный вход. Вновь лукавите, получается.
Подготовим ответ по каждому вашему вопросу и вернемся с информацией.
Разобрали ситуацию.
1. Разобраться по какой именно ошибке карту не выпустили сразу мы сейчас уже не можем, так как изначальные логи не сохранились. Но выпустили в рамках заявки 26 января.
2. Из-за конфликта программы лояльности и тарифного плана с дизайнами, карты не могли перевыпустить. После смены дизайна такого больше не должно повторяться.
3. Скорее всего, это вход через один из наших акционных проектов. На пример этого - https://auto.tinkoff.ru/zavozin/ или иных других. Сотрудники не могут войти в личный кабинет клиента, так как данных, необходимых для входа просто у них нет. Полные номера карт для сотрудников скрыты, а доступа к СМС с кодами у них нет.
1. А вы забавные, конечно. Почему же тогда другие банки хранят подобные логи от года и дольше? Некоторые и вовсе перестраховываются и хранят все пять лет.
2. Накидать бы вашему бэкендеру тогда тасок по исправлению в ближайший спринт, потому что баг реально туповат.
3. Ну а почему тогда не указать действительно более понятное название для метода входа? Кстати, судя по истории браузера, в этот день я вообще не ходил на связанные сайты.
Кстати, уважаемый SMM-специалист банка, подскажите, можете ли вы компенсировать финансово время, которое я не мог пользоваться ДБО?
Уточним эти моменты и немного позже вернемся к вам с ответом.
Здравствуйте.
Не сможем подсказать по срокам хранения логов, так как это внутрення информация. Связались с вами, чтобы пояснить детали по методу входа. Простите, что ранее ввели вас в заблуждение. В качестве извинений, начислили вам небольшой бонус.
Проанализировав сейчас ситуацию становится только забавнее, что сотрудник мне ответил, что работа через API вообще не должна была попасть в лог входов.
А вот от компенсации в 500 рублей я вовсе офигел, уж извините. Конечно лучше чем ничего, но вы перед всеми так отмазываетесь?
По работе API уточним детали.
Мы начислили бонус в качестве компенсации за неудобства, а не "отмазывались".
Здравствуйте. Мы данные логи удаляем перед отправкой, так как они фактически не являются входами в личный кабинет, мобильное приложение.