Огромная дыра в безопасности счетов Тинькофф Банка. UP: Тинькофф пока не видит привязку 😡 (UP: 4 дополнения к отзыву)
Попробовал я работу СБПэй. Для этого привязал счет Тинькофф и оплатил покупку. Все прошло хорошо. Но только в приложении Тинькофф отвязать счет от СБПэй нельзя. Там даже не видно, что с этого счета есть разрешения на оплату через СБПэй.
Сценарий кражи денег очень простой. Привязываем чужой счет клиента Тинькофф к СБПэй. Для этого нужен его номер счета и телефон. Вводим смскод. Либо просто крадем телефон клиента, на котором установлен СБПэй. Дальше можем спокойно пользоваться деньгами клиента. Отвязать СБПэй от своего счета он не сможет. Блокировка и перевыпуск карт бесполезны - СБПэй привязывается к счету, а не карте. Клиент даже может забыть, что к его счету привязан СБПэй - Тинькофф это в приложении не показывает. Лимиты при оплате по СБПэй не установить. Карточные не действуют.
В других банках хотя бы можно наплодить кучу рублевых счетов, привязать СБПэй к ним, а потом просто закрыть счет. Но в Тинькофф только один счет на одну дебетовку.
UP: я уверен, что слово Тинькофф можно заменить на название других банков, например Альфа-Банк или Сбер.
UP2: поддержка в чате банка предложила мне зайти в раздел "Еще" и выбрать пункт "Быстрая оплата". Такого пункта там нет. Когда скинул скрин, поддержка в чате ответила, что у меня нет активных подписок СБП. Но счет то все еще привязан. Банк сам не знает, что счет клиента куда-то привязан.
UP3: А в ответе на обращение банк официально обманывает, что привязки нет
UP4: Другую проблему поддержка очень быстро и оперативно решила в чате штатными сотрудниками. Причем по безопасности там отработали очень даже хорошо - как доп. подтверждение просили видеосвязь.
ничего себе дыра. просто огроменная ДЫРЕНЬ
это же что получается - нельзя терять свой телефон иначе у тебя украдут деньги? тс просто гений. пойди заявись на нобелевскую премию. окда?
Проблема в другом. Потом банк даже отвязать счет от чужого СБПэй не сможет. И даже этой привязки не видит. А еще бесполезна блокировка карты. И лимиты не распространяются. Связка напрямую со счетом в банке в обход карт. И этого не видит.
СБПэй имеет не очень внятную внутреннюю API (сказывается в тч и слишком как раз высокие требования к безопасности, а также не очень большой срок работы - еще не все шишки набили), а поддерживающие его распространение инструкции также не позволяют разрабам гулять в выборе опционала взаимодействия своих систем с СБПэй.
Потому СБПэй по всем банкам работает пока в полуавтоматическом режиме и часть действий технарям банков (а до них надо добраться еще через поддержку, которая часто не умнее, а то и тупее GPT) приходится делать в ручную.
Однако описанные Вами риски не сильно высоки и уж точно это не "ДЫРЕНЬ" в безопасности внезапно обнаруженная Вами первым.
Вы мне лучше скажите как счет от СБПэй отвязать. Банк не может. Банк вообще не видит привязки.
Сов верно, просто проблема не в банках. СБПэй так подтупливает, что банки мало какие могут вносить изменения на своей стороне. Даже поменять номер телефона сложно.
Это как раз СБП так предусмотрело "безопасность". Наслушались советов про "ДЫРЕНЬ".
Есть такое правило в любой безопасности, что она не должна мешать жизни ))
Это когда придурковатые ибшники или ИТ-инженеры (зависит на ком ответственность) делают пароль на 20 символов и раздают персоналу. Ну так первое же что сделает офисный планктон - записку с паролем и положет под клавиатуру, а то и сохранит ТХТ документ на раб столе.
Ну как не могут. Могут. Обычный лимит на операции. Дальше отказ по причине нет денег.