Огромная дыра в безопасности счетов Тинькофф Банка. UP: Тинькофф пока не видит привязку 😡 (UP: 4 дополнения к отзыву)
Попробовал я работу СБПэй. Для этого привязал счет Тинькофф и оплатил покупку. Все прошло хорошо. Но только в приложении Тинькофф отвязать счет от СБПэй нельзя. Там даже не видно, что с этого счета есть разрешения на оплату через СБПэй.
Сценарий кражи денег очень простой. Привязываем чужой счет клиента Тинькофф к СБПэй. Для этого нужен его номер счета и телефон. Вводим смскод. Либо просто крадем телефон клиента, на котором установлен СБПэй. Дальше можем спокойно пользоваться деньгами клиента. Отвязать СБПэй от своего счета он не сможет. Блокировка и перевыпуск карт бесполезны - СБПэй привязывается к счету, а не карте. Клиент даже может забыть, что к его счету привязан СБПэй - Тинькофф это в приложении не показывает. Лимиты при оплате по СБПэй не установить. Карточные не действуют.
В других банках хотя бы можно наплодить кучу рублевых счетов, привязать СБПэй к ним, а потом просто закрыть счет. Но в Тинькофф только один счет на одну дебетовку.
UP: я уверен, что слово Тинькофф можно заменить на название других банков, например Альфа-Банк или Сбер.
UP2: поддержка в чате банка предложила мне зайти в раздел "Еще" и выбрать пункт "Быстрая оплата". Такого пункта там нет. Когда скинул скрин, поддержка в чате ответила, что у меня нет активных подписок СБП. Но счет то все еще привязан. Банк сам не знает, что счет клиента куда-то привязан.
UP3: А в ответе на обращение банк официально обманывает, что привязки нет
UP4: Другую проблему поддержка очень быстро и оперативно решила в чате штатными сотрудниками. Причем по безопасности там отработали очень даже хорошо - как доп. подтверждение просили видеосвязь.
Привязываем чужой счет клиента Тинькофф к СБПэй. Для этого нужен его номер счета и телефон. Вводим смскод. Либо просто крадем телефон клиента, на котором установлен СБПэй.
ничего себе дыра. просто огроменная ДЫРЕНЬ
это же что получается - нельзя терять свой телефон иначе у тебя украдут деньги? тс просто гений. пойди заявись на нобелевскую премию. окда?
Проблема в другом. Потом банк даже отвязать счет от чужого СБПэй не сможет. И даже этой привязки не видит. А еще бесполезна блокировка карты. И лимиты не распространяются. Связка напрямую со счетом в банке в обход карт. И этого не видит.
Как себе видят киберкрайм обыватели ))) Поржал знатно с материала! Спасибо!
Автор, прошу, если видите косяки, то не надо врубать из себя спеца с сертами CISA, опытом в черном ремесле десяток лет и тд, расписывая тут сценарии кабздеца. У проф специалистов такое только смех вызовет.
PS: косяк интерфейсный очевиден, с безопасностью там всё ок, если юзер совсем не лох. Последний, как известно - не мамонт и его вообще ничего от кидалова не убережёт!
Ну давайте проведем эксперимент. В ЛС мне номер телефона и номер счета. Потом смскод на согласие привязки его к СБПэй. После пробуете отвязать, блокируете карты и т.д. Но деньги оставляете на счете. Потом говорите мне, я иду в магазин и покупаю еду.
просто Михаилу не дали метал карту, когда он её очень хотел, иногда он гоняется за какими то монетками в приложении иногда за кешбеком в 10% через геморный сбпэй, но его всегда триггерит заветное слово на т
Из интереса привязал счет тиньков к спбпей. И что вы думаете? В приложении спбпей во вкладке счета появился счет тиньков, где его можно удалить либо настроить ограничения. Автор истеричка
Попробуйте это сделать не из приложения СБП. Потеряли вы телефон. Или кто-то другой привязал. Как удалить?
Пока счет привязан спросите в чате банка как его отвязать. Вам скажут, что у вас ничего не привязано.