Огромная дыра в безопасности счетов Тинькофф Банка. UP: Тинькофф пока не видит привязку 😡 (UP: 4 дополнения к отзыву)
Попробовал я работу СБПэй. Для этого привязал счет Тинькофф и оплатил покупку. Все прошло хорошо. Но только в приложении Тинькофф отвязать счет от СБПэй нельзя. Там даже не видно, что с этого счета есть разрешения на оплату через СБПэй.
Сценарий кражи денег очень простой. Привязываем чужой счет клиента Тинькофф к СБПэй. Для этого нужен его номер счета и телефон. Вводим смскод. Либо просто крадем телефон клиента, на котором установлен СБПэй. Дальше можем спокойно пользоваться деньгами клиента. Отвязать СБПэй от своего счета он не сможет. Блокировка и перевыпуск карт бесполезны - СБПэй привязывается к счету, а не карте. Клиент даже может забыть, что к его счету привязан СБПэй - Тинькофф это в приложении не показывает. Лимиты при оплате по СБПэй не установить. Карточные не действуют.
В других банках хотя бы можно наплодить кучу рублевых счетов, привязать СБПэй к ним, а потом просто закрыть счет. Но в Тинькофф только один счет на одну дебетовку.
UP: я уверен, что слово Тинькофф можно заменить на название других банков, например Альфа-Банк или Сбер.
UP2: поддержка в чате банка предложила мне зайти в раздел "Еще" и выбрать пункт "Быстрая оплата". Такого пункта там нет. Когда скинул скрин, поддержка в чате ответила, что у меня нет активных подписок СБП. Но счет то все еще привязан. Банк сам не знает, что счет клиента куда-то привязан.
UP3: А в ответе на обращение банк официально обманывает, что привязки нет
UP4: Другую проблему поддержка очень быстро и оперативно решила в чате штатными сотрудниками. Причем по безопасности там отработали очень даже хорошо - как доп. подтверждение просили видеосвязь.
А вот это вряд-ли. У альфы своя альфа-пэй, которая хорошо работает. Если пользоваться нормально сделанными плюшками, то и проблем не будет
Да, тут я согласен. Были комменты, что в других банках все нормально.
С альфа пэй согласен, там почти все как часы.