Николай Ж.
Тем не менее, банк вполне мог усомниться в легитивности крупных списаний сразу после восстановления доступа к личному кабинету, которое, вероятно, и проводили злоумышленники. Первый же крупный перевод/формирование QR на крупную сумму могли заблокировать и позвонить для подтверждения происходящих операций. Да, "клиент" вероятно, висел на линии и подтверждал их тут же. Но в банке безопасники зря свой хлеб едят? Почему в модели угроз нет такого сценария, когда злоумышленники звонят сразу и клиенту и в банк? Так что это именно банк облажался, что целых ЧЕТЫРЕ урока успели преподать их клиенту. Видимо, уроки заключались в том, что Тинькофф не защищает своих клиентов. Клиенты не обязаны быть специалистами в информационной безопасности, а вот банк обязан.
Неплохо с безопасностью?
паспортные данныеПокупаются на любого человека за 900 р. прямо из системы Роспаспорт. Это уже не говоря о том, что скан паспорта или снимок у вас делают везде начиная от салона связи и заканчивая почтой.
номер картыМожет узнать огромное количество людей, в т.ч. любой кассир. Или также покупается через "пробив". Номер карты вообще не относится к секретной информации и его считается безопасным передавать кому угодно.
последние операции по счетуВидны при оплате через PayPass, например. Или можно точно также купить:
https://habr.com/ru/post/461745/
какой тарифный план у меня в Тинькофф-мобайлеИх минимальное количество и это можно легко даже просто угадать (а ведь при ошибке просят вспомнить и перезвонить, так что у злоумышленников не одна попытка).
Таким образом все эти данные не являются конфиденциальными и их можно засветить даже в одном единственном месте, где вы платили картой и показывали паспорт. Или купить в пределах нескольких т.р.
Так что там с безопасностью?
Кстати, про почту это 100% так. Почту сейчас можно нормально защитить, а банк это доступ по паспортным данным, восстановление всего и вся по смс и т.д. и т.п.
Раньше Тинькофф славился своей службой ИБ, а теперь какое-то дно.
"Из соображений безопасности мы не называем какие именно вопросы задавали. Этот список может меняться, а вопросы - это не только паспортные данные, но и сведения по обслуживанию в Тинькофф"
Если безопасность у вас базируется на секретности списка вопросов, которые вы задаёте, то всё очень плохо. Во-первых, это банальное "security through obscurity". Во-вторых, вы всерьез думаете, что группе злоумышленников будет сложно оставить с десяток заявок на вашем сайте, получить по ним десяток звонков от вас и очертить список из 95% вопросов, которые вы задаёте? Или узнать их список у вашего бывшего сотрудника.
Я как ваш клиент после всей этой истории и ваших ответов всерьез задумываюсь хочу ли я продолжать доверять вам сохранность моих средств.
Спасибо за взгляд изнутри. CVV код, очевидно, я ввёл от своей текущей карты, т.к. посчитал, что сохранена именно она. Думаю, CVV не валидируется банком отдельно и push/смс подтверждения высылаются вне зависимости от его правильности (что, в общем-то понятно и правильно с точки зрения защиты от его брутфорса).
А сохранение карт по-умолчанию это скотство, конечно.
С чего вы взяли, что драйвер действительно выгружен? С того, что вам это показали в GUI? По тому же принципу руткитов просто не существует, т.к. они не видны средствами ОС.
Треть кода формируется нейросетями, при этой нейросети обучают на публичных репозиториях с этим же кодом. Рекурсия.
Всё, что происходит программно, тем более, на таком тривиальном уровне, не даёт никаких гарантий, что устройство на самом деле отключено. Вам в ОС может отображаться всё, что угодно.
Например, код в Intel ME выполняется вообще на отдельном процессоре и даже тогда, когда компьютер выключен (но не обесточен). Операционная система и знать не знает, что там происходит. Что ему ваши диспетчеры устройств?
https://ru.wikipedia.org/wiki/Intel_Management_Engine
У меня был Sony Ericsson K750 с такой шторкой камеры. Отличный был аппарат. Но потом пришел эпл и стал в презентациях восхвалять -0,1 мм к толщине телефона и понеслось.
А физическое отключение микрофона есть, просто крайне редко. Например, у ноутбуков и телефонов Purism Librem:
https://puri.sm/products/
У меня Matebook D16 и в нём камера именно в "кнопке" F-ряда клавиатуры. Народ жалуется, что ракурс не тот, но мне нравится, т.к. я камерой пользуюсь крайне редко, но получаю экран с тонкими рамками и приватность по-умолчанию.
А я удивлялся куда мой плюс пропал, вот оно что.
Т.е. вы думаете мне и почту взломали и почистили? :) Там двухфакторка. Феерический взлом с такой странной потенциальной выгодой получился бы.
В истории заказов на ozon тоже смотрел. А вот истории входов и списка активных сессий на самом сайте, почему-то, нет.
Я обновил статью и опубликовал свой ответ со ссылкой на комментарий озона, но... я не могу понять как на vc.ru можно закрепить ответ :) Гугл не помог.
Я исходил из такого гипотетического сценария (который не подтвердился): OZON выкатил новую версию сайта и из-за ошибки пользователям выдавались чужие карты. Оплатить такой картой что-либо было бы, скорее всего, сложно, т.к. требуется ещё CVV код (хотя я и не уверен, что во всех случаях) и, по крайней мере, зачастую, подтверждение от банка. Но это мы говорим про взаимодействие обычного пользователя с сайтом через браузер. А что если эта ошибка вдобавок позволяла бы создать вручную особый запрос и скачать больше информации, чем видно обычному пользователю? И т.д. и т.п. Поэтому у меня не было идеи оставить это "как есть".
Возможно, я не совсем ясно описал в посте, но у меня и не было мыслей о том, что кто-то взломал аккаунт, это были идеи подержки и комментаторов. Мои предположения изначально были об ошибке на сайте и я полность согласен в сами в том, что подобный взлом выглядит весьма бессмысленным.
Спасибо, что разобрались и здорово, что всё оказалось не так серьезно. Вероятно, это была старая виртуальная карта, которая была аннулирована, поэтому формальный срок её действия ещё не истёк, хоть она уже давно и недействительна. Думаю, её стоит удалить. Я отредактирую пост.
Отправил.
Старый, с 2018 года.
Выше отвечал, что неизвестных мне входов в аккаунт и заказов, судя по уведомлениям на почту, не было.
Последний раз я оплачивал заказ на OZON.ru 13 сентября. С тех пор, судя по сообщениям в почте, других входов в аккаунт не было. Заказов, соответственно, тоже.
Вход в аккаунт происходит по смс на номер телефона. Телефон Google Pixel с актуальными обновлениями. Кроме того, я намного серьезнее среднестатистического даже не пользователя, IT специалиста, отношусь к безопасности своих устройств. Так что всё это тоже выглядит весьма сомнительным.
Она не сохранилась. Оператор поддержки сама подтвердила, что сохренённых карт в моём аккаунте нет. Что ещё раз намекает на баг. И с чего вы решили, что ранее с этой картой что-то происходило в моём аккаунте?
Вы делаете очень странные выводы.
С чего вы решили, что эта карта имеет ко мне какое-то отношение кроме того, что она отобразилась в моём личном кабинете на OZON.ru? На ней не отображается моё имя, она просто предлагалась для оплаты.
У меня есть только те, что видны на скриншоте: последние 4 цифры и срок действия.
"Проверили систему мониторинга, ошибок не было. Принципы работы системы - это внутренняя информация, которую мы не можем раскрывать."
Потрясающе. Вы в каждой теме ссылаетесь на то, что не можете раскрывать какую-то информацию, даже банальный список вопросов, которые задаёте для подтверждения операций. При этом система пропустила платежи на 600 т.р. и... ошибок не было. Вы всерьез это пишете вообще? У вас безопасность только на "security through obscurity" базируется и больше ни на чем?
Какие выводы из ситуации, что система пропустила такую сумму платежей? Что вы собираетесь делать, чтобы предотвратить такие ситуации в будущем?