Огромная дыра в безопасности счетов Тинькофф Банка. UP: Тинькофф пока не видит привязку 😡 (UP: 4 дополнения к отзыву)

Попробовал я работу СБПэй. Для этого привязал счет Тинькофф и оплатил покупку. Все прошло хорошо. Но только в приложении Тинькофф отвязать счет от СБПэй нельзя. Там даже не видно, что с этого счета есть разрешения на оплату через СБПэй.

Огромная дыра в безопасности счетов Тинькофф Банка. UP: Тинькофф пока не видит привязку 😡  (UP: 4 дополнения к отзыву)

Сценарий кражи денег очень простой. Привязываем чужой счет клиента Тинькофф к СБПэй. Для этого нужен его номер счета и телефон. Вводим смскод. Либо просто крадем телефон клиента, на котором установлен СБПэй. Дальше можем спокойно пользоваться деньгами клиента. Отвязать СБПэй от своего счета он не сможет. Блокировка и перевыпуск карт бесполезны - СБПэй привязывается к счету, а не карте. Клиент даже может забыть, что к его счету привязан СБПэй - Тинькофф это в приложении не показывает. Лимиты при оплате по СБПэй не установить. Карточные не действуют.

В других банках хотя бы можно наплодить кучу рублевых счетов, привязать СБПэй к ним, а потом просто закрыть счет. Но в Тинькофф только один счет на одну дебетовку.

UP: я уверен, что слово Тинькофф можно заменить на название других банков, например Альфа-Банк или Сбер.

UP2: поддержка в чате банка предложила мне зайти в раздел "Еще" и выбрать пункт "Быстрая оплата". Такого пункта там нет. Когда скинул скрин, поддержка в чате ответила, что у меня нет активных подписок СБП. Но счет то все еще привязан. Банк сам не знает, что счет клиента куда-то привязан.

Чат с банком
Чат с банком

UP3: А в ответе на обращение банк официально обманывает, что привязки нет

Ответ на обращение
Ответ на обращение

UP4: Другую проблему поддержка очень быстро и оперативно решила в чате штатными сотрудниками. Причем по безопасности там отработали очень даже хорошо - как доп. подтверждение просили видеосвязь.

44
60 комментариев

Привязываем чужой счет клиента Тинькофф к СБПэй. Для этого нужен его номер счета и телефон. Вводим смскод. Либо просто крадем телефон клиента, на котором установлен СБПэй.

ничего себе дыра. просто огроменная ДЫРЕНЬ

это же что получается - нельзя терять свой телефон иначе у тебя украдут деньги? тс просто гений. пойди заявись на нобелевскую премию. окда?

7

Проблема в другом. Потом банк даже отвязать счет от чужого СБПэй не сможет. И даже этой привязки не видит. А еще бесполезна блокировка карты. И лимиты не распространяются. Связка напрямую со счетом в банке в обход карт. И этого не видит.

2

Как себе видят киберкрайм обыватели ))) Поржал знатно с материала! Спасибо!
Автор, прошу, если видите косяки, то не надо врубать из себя спеца с сертами CISA, опытом в черном ремесле десяток лет и тд, расписывая тут сценарии кабздеца. У проф специалистов такое только смех вызовет.
PS: косяк интерфейсный очевиден, с безопасностью там всё ок, если юзер совсем не лох. Последний, как известно - не мамонт и его вообще ничего от кидалова не убережёт!

1

Ну давайте проведем эксперимент. В ЛС мне номер телефона и номер счета. Потом смскод на согласие привязки его к СБПэй. После пробуете отвязать, блокируете карты и т.д. Но деньги оставляете на счете. Потом говорите мне, я иду в магазин и покупаю еду.

просто Михаилу не дали метал карту, когда он её очень хотел, иногда он гоняется за какими то монетками в приложении иногда за кешбеком в 10% через геморный сбпэй, но его всегда триггерит заветное слово на т

Из интереса привязал счет тиньков к спбпей. И что вы думаете? В приложении спбпей во вкладке счета появился счет тиньков, где его можно удалить либо настроить ограничения. Автор истеричка

1

Попробуйте это сделать не из приложения СБП. Потеряли вы телефон. Или кто-то другой привязал. Как удалить?

Пока счет привязан спросите в чате банка как его отвязать. Вам скажут, что у вас ничего не привязано.