Николай Ж.
Тем не менее, банк вполне мог усомниться в легитивности крупных списаний сразу после восстановления доступа к личному кабинету, которое, вероятно, и проводили злоумышленники. Первый же крупный перевод/формирование QR на крупную сумму могли заблокировать и позвонить для подтверждения происходящих операций. Да, "клиент" вероятно, висел на линии и подтверждал их тут же. Но в банке безопасники зря свой хлеб едят? Почему в модели угроз нет такого сценария, когда злоумышленники звонят сразу и клиенту и в банк? Так что это именно банк облажался, что целых ЧЕТЫРЕ урока успели преподать их клиенту. Видимо, уроки заключались в том, что Тинькофф не защищает своих клиентов. Клиенты не обязаны быть специалистами в информационной безопасности, а вот банк обязан.
Неплохо с безопасностью?
паспортные данныеПокупаются на любого человека за 900 р. прямо из системы Роспаспорт. Это уже не говоря о том, что скан паспорта или снимок у вас делают везде начиная от салона связи и заканчивая почтой.
номер картыМожет узнать огромное количество людей, в т.ч. любой кассир. Или также покупается через "пробив". Номер карты вообще не относится к секретной информации и его считается безопасным передавать кому угодно.
последние операции по счетуВидны при оплате через PayPass, например. Или можно точно также купить:
https://habr.com/ru/post/461745/
какой тарифный план у меня в Тинькофф-мобайлеИх минимальное количество и это можно легко даже просто угадать (а ведь при ошибке просят вспомнить и перезвонить, так что у злоумышленников не одна попытка).
Таким образом все эти данные не являются конфиденциальными и их можно засветить даже в одном единственном месте, где вы платили картой и показывали паспорт. Или купить в пределах нескольких т.р.
Так что там с безопасностью?
Кстати, про почту это 100% так. Почту сейчас можно нормально защитить, а банк это доступ по паспортным данным, восстановление всего и вся по смс и т.д. и т.п.
Раньше Тинькофф славился своей службой ИБ, а теперь какое-то дно.
"Из соображений безопасности мы не называем какие именно вопросы задавали. Этот список может меняться, а вопросы - это не только паспортные данные, но и сведения по обслуживанию в Тинькофф"
Если безопасность у вас базируется на секретности списка вопросов, которые вы задаёте, то всё очень плохо. Во-первых, это банальное "security through obscurity". Во-вторых, вы всерьез думаете, что группе злоумышленников будет сложно оставить с десяток заявок на вашем сайте, получить по ним десяток звонков от вас и очертить список из 95% вопросов, которые вы задаёте? Или узнать их список у вашего бывшего сотрудника.
Я как ваш клиент после всей этой истории и ваших ответов всерьез задумываюсь хочу ли я продолжать доверять вам сохранность моих средств.
Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.
С чего вы взяли, что драйвер действительно выгружен? С того, что вам это показали в GUI? По тому же принципу руткитов просто не существует, т.к. они не видны средствами ОС.
Треть кода формируется нейросетями, при этой нейросети обучают на публичных репозиториях с этим же кодом. Рекурсия.
Всё, что происходит программно, тем более, на таком тривиальном уровне, не даёт никаких гарантий, что устройство на самом деле отключено. Вам в ОС может отображаться всё, что угодно.
Например, код в Intel ME выполняется вообще на отдельном процессоре и даже тогда, когда компьютер выключен (но не обесточен). Операционная система и знать не знает, что там происходит. Что ему ваши диспетчеры устройств?
https://ru.wikipedia.org/wiki/Intel_Management_Engine
У меня был Sony Ericsson K750 с такой шторкой камеры. Отличный был аппарат. Но потом пришел эпл и стал в презентациях восхвалять -0,1 мм к толщине телефона и понеслось.
А физическое отключение микрофона есть, просто крайне редко. Например, у ноутбуков и телефонов Purism Librem:
https://puri.sm/products/
"Проверили систему мониторинга, ошибок не было. Принципы работы системы - это внутренняя информация, которую мы не можем раскрывать."
Потрясающе. Вы в каждой теме ссылаетесь на то, что не можете раскрывать какую-то информацию, даже банальный список вопросов, которые задаёте для подтверждения операций. При этом система пропустила платежи на 600 т.р. и... ошибок не было. Вы всерьез это пишете вообще? У вас безопасность только на "security through obscurity" базируется и больше ни на чем?
Какие выводы из ситуации, что система пропустила такую сумму платежей? Что вы собираетесь делать, чтобы предотвратить такие ситуации в будущем?