Огромная дыра в безопасности счетов Тинькофф Банка. UP: Тинькофф пока не видит привязку 😡 (UP: 4 дополнения к отзыву)
Попробовал я работу СБПэй. Для этого привязал счет Тинькофф и оплатил покупку. Все прошло хорошо. Но только в приложении Тинькофф отвязать счет от СБПэй нельзя. Там даже не видно, что с этого счета есть разрешения на оплату через СБПэй.
Сценарий кражи денег очень простой. Привязываем чужой счет клиента Тинькофф к СБПэй. Для этого нужен его номер счета и телефон. Вводим смскод. Либо просто крадем телефон клиента, на котором установлен СБПэй. Дальше можем спокойно пользоваться деньгами клиента. Отвязать СБПэй от своего счета он не сможет. Блокировка и перевыпуск карт бесполезны - СБПэй привязывается к счету, а не карте. Клиент даже может забыть, что к его счету привязан СБПэй - Тинькофф это в приложении не показывает. Лимиты при оплате по СБПэй не установить. Карточные не действуют.
В других банках хотя бы можно наплодить кучу рублевых счетов, привязать СБПэй к ним, а потом просто закрыть счет. Но в Тинькофф только один счет на одну дебетовку.
UP: я уверен, что слово Тинькофф можно заменить на название других банков, например Альфа-Банк или Сбер.
UP2: поддержка в чате банка предложила мне зайти в раздел "Еще" и выбрать пункт "Быстрая оплата". Такого пункта там нет. Когда скинул скрин, поддержка в чате ответила, что у меня нет активных подписок СБП. Но счет то все еще привязан. Банк сам не знает, что счет клиента куда-то привязан.
UP3: А в ответе на обращение банк официально обманывает, что привязки нет
UP4: Другую проблему поддержка очень быстро и оперативно решила в чате штатными сотрудниками. Причем по безопасности там отработали очень даже хорошо - как доп. подтверждение просили видеосвязь.
ничего себе дыра. просто огроменная ДЫРЕНЬ
это же что получается - нельзя терять свой телефон иначе у тебя украдут деньги? тс просто гений. пойди заявись на нобелевскую премию. окда?
Проблема в другом. Потом банк даже отвязать счет от чужого СБПэй не сможет. И даже этой привязки не видит. А еще бесполезна блокировка карты. И лимиты не распространяются. Связка напрямую со счетом в банке в обход карт. И этого не видит.
Как себе видят киберкрайм обыватели ))) Поржал знатно с материала! Спасибо!
Автор, прошу, если видите косяки, то не надо врубать из себя спеца с сертами CISA, опытом в черном ремесле десяток лет и тд, расписывая тут сценарии кабздеца. У проф специалистов такое только смех вызовет.
PS: косяк интерфейсный очевиден, с безопасностью там всё ок, если юзер совсем не лох. Последний, как известно - не мамонт и его вообще ничего от кидалова не убережёт!
Ну давайте проведем эксперимент. В ЛС мне номер телефона и номер счета. Потом смскод на согласие привязки его к СБПэй. После пробуете отвязать, блокируете карты и т.д. Но деньги оставляете на счете. Потом говорите мне, я иду в магазин и покупаю еду.
просто Михаилу не дали метал карту, когда он её очень хотел, иногда он гоняется за какими то монетками в приложении иногда за кешбеком в 10% через геморный сбпэй, но его всегда триггерит заветное слово на т
Из интереса привязал счет тиньков к спбпей. И что вы думаете? В приложении спбпей во вкладке счета появился счет тиньков, где его можно удалить либо настроить ограничения. Автор истеричка
Попробуйте это сделать не из приложения СБП. Потеряли вы телефон. Или кто-то другой привязал. Как удалить?
Пока счет привязан спросите в чате банка как его отвязать. Вам скажут, что у вас ничего не привязано.
Как можно быть таким баобабом?
@Сбер @Альфа-Банк , (....еще какие банки есть....), заметьте, я уверен слово Тинькофф я могу заменить на название вашего банка. Уверен, что там все также будет. Жду ваши комментарии.
И позовите пожалуйста ваших коллег из остальных банков. Их позиция тоже интересна.
В Альфе хотя бы можно создать отдельный счет. Но вопрос ведь в отвязке СБПэй средствами банка...
Здравствуйте.
Мы ответственно подходим к безопасности денег наших клиентов. Все проверим и вернемся с комментариями.
Пока вы там разбираетесь мне поддержка в чате вначале предложила перейти в несуществующий раздел в приложении. А потом и вовсе сказала, что подписки СБП нет. Но оплата то проходит.
Заметьте, я не называю сотрудников банка некомпетентными. Я лишь даю им возможность полностью раскрыть свой потенциал 😂
Давно подозревал, что виртуальный банк - может делать что хочет. Вроде хотят как лучше, а в итоге страдают люди. Одно радует, что услугами этого банка - пользуются в основном хитрожопые, так как у них имеются свои интересы. Кто то в Тинькове прячется от алиментов, а кто то хочет поиметь красивые бонусы...
Остап Бендер, позавидовал бы аферистам из этого банка...))) А нынешние жулики, рады невероятно тому, какие возможности у них появляются.
Вы приравниваете банк без офисов к какому-то облачному сервису корни которого не сыскать? Тинек хоть и без офисов, но у них все по закону - арест наложат если пристав попросит, деньги с любого банкомата можно снять и тп. удобный банк да и пост вобще о другом, об сбп-пей
Имею подписку СБП в Магнит. Приложение Тинькофф в разделе ЕЩЕ, Быстрая оплата отображается. Привязку можно удалить через приложение банка.
Подозреваю, что версия установленного Вами приложения устарела.
Последняя версия. Это не подписка, а привязка счета. Если хотите проверьте сами через СБПэй. Еще и кэшбэк 10% получать будете за оплату во всяких магнитах. В этот же день реальными деньгами.
Какой то кликбейт в заголовке. Если СБП-pay это аналог Мир pay, то в чем дырень того что нельзя отвязать счет? При оплате Миром нужен отпечаток, плюс потерянный/украденный смартфон можно заблочить это как потеря карты по сути. Еще можно банк указывать как основной при платежах по СБП и вот это реально показывается в разделе "быстрая оплата". если этого нет,то походу у вас какое-то старое приложение, надо бновиться
Привязывается сам счет, а не карта. В этом проблема. Даже карта к счету не нужна.
Нет, это не МИР.
А вот это вряд-ли. У альфы своя альфа-пэй, которая хорошо работает. Если пользоваться нормально сделанными плюшками, то и проблем не будет
Да, тут я согласен. Были комменты, что в других банках все нормально.
С альфа пэй согласен, там почти все как часы.
Вы еще видимо не знаете про куда более жесткую уязвимость связанную с тинькофф джуниор. если кратко, любой мошенник, зная ваш номер телефона, может выпустить себе детскую карту, привязанную к вашему счету. тинькофф уже несколько месяцев не фиксит эту дырищу
Не совсем. Карта будет привязана к счету мошенника. Мошенник лишь сможет принимать деньги от невнимательных людей, которые переводят мне по СБП. Но пока что я СБП не особо активно пользуюсь и меня это не так беспокоит. Но беспокоит. Спасибо, что напомнили.
@Тинькофф когда будем исправлять, о чем написано в комментарии?