Comments 72
В Альфа-банке Украина в 2014 году отношение к уязвимостям было немного лучше, хоть и со второго обращения только закрыли.
Там тоже идёт речь об украинском Альфа-Банке) А вот ещё одна статья про них же, от того же автора: Как я племянника с Днем рождения поздравлял
Обязательная регистрация с личными данными и выдача кода.
То есть, силовики смогут и без вас лазить по вашим банкам, как в этом случае. Как менять имей коды известно давно.
при этом обязать телеком-компании собирать персональные данные всех без исключения пользователей. В этом же документе предлагается возродить практику ведения базы уникальных идентификаторов IMEI-кодов. Как пишет в пояснительной записке к законопроекту Госспецсвязи, отсутствие системы регистрации абонентов и уникальных кодов мобильных устройств усложняет проведение мероприятий по нацбезопасности «в условиях кибернетических угроз».
Как пишет в пояснительной записке к законопроекту Госспецсвязи, отсутствие системы регистрации абонентов и уникальных кодов мобильных устройств усложняет проведение мероприятий по нацбезопасности «в условиях кибернетических угроз». «Кроме того, требует внимания ситуация с использованием разнообразного конечного оборудования (айфоны, айпады, коммуникаторы, смартфоны, мобильные телефоны и так далее) на фоне растущего спектра предоставления услуг на базе телекоммуникаций, так как неконтролируемое количество конечного оборудования в обороте содействует распространению „мобильного мошенничества“ и других кибернетических преступлений», — говорится в записке. По задумке Госспецсвязи, у других ведомств с момента принятия закона будет только три месяца на адаптацию своих нормативных актов.
То есть, силовики смогут и без вас лазить по вашим банкам, как в этом случае. Как менять имей коды известно давно.
при этом обязать телеком-компании собирать персональные данные всех без исключения пользователей. В этом же документе предлагается возродить практику ведения базы уникальных идентификаторов IMEI-кодов. Как пишет в пояснительной записке к законопроекту Госспецсвязи, отсутствие системы регистрации абонентов и уникальных кодов мобильных устройств усложняет проведение мероприятий по нацбезопасности «в условиях кибернетических угроз».
Как пишет в пояснительной записке к законопроекту Госспецсвязи, отсутствие системы регистрации абонентов и уникальных кодов мобильных устройств усложняет проведение мероприятий по нацбезопасности «в условиях кибернетических угроз». «Кроме того, требует внимания ситуация с использованием разнообразного конечного оборудования (айфоны, айпады, коммуникаторы, смартфоны, мобильные телефоны и так далее) на фоне растущего спектра предоставления услуг на базе телекоммуникаций, так как неконтролируемое количество конечного оборудования в обороте содействует распространению „мобильного мошенничества“ и других кибернетических преступлений», — говорится в записке. По задумке Госспецсвязи, у других ведомств с момента принятия закона будет только три месяца на адаптацию своих нормативных актов.
Надо заметить, что Альфа в РФ тупо игнорирует письма типа «Дайте контакты ваших безопасников, дабы сообщить о проблеме». Правда, так сделали 6 из 7 банков, куда я писал. Один единственный ответил через 4 дня.
И как вы предлагаете исправить «уязвимость»?
и она присутствует в любом другом банке
и она присутствует в любом другом банке
Хотя да, полное ФИО можно заменить неполным
В нескольких других украинских банках (про РФ не знаю) такой ошибки нет: в одном банке исправили после моего обращения в течении дня, в другом — в течении нескольких месяцев, после чего выплатили вознаграждение, в третьем — ФИО не показываются.
Изначально я предлагал не передавать поля с ФИО при операции, совершаемой в мобильном приложении (или маскировать, как это сделано на шаг ранее). После того, как было выяснено, что теперь ФИО видны и при незавершённой операции, проводимой в обычном ИБ, — нужно скрывать их и здесь.
Изначально я предлагал не передавать поля с ФИО при операции, совершаемой в мобильном приложении (или маскировать, как это сделано на шаг ранее). После того, как было выяснено, что теперь ФИО видны и при незавершённой операции, проводимой в обычном ИБ, — нужно скрывать их и здесь.
Ну обычно пишут имя и фамилию, даже при незавершенных операциях (сбер, тинков), это нужно для того, чтобы удостовериться, что перевод не ошибочный, потому что возврат средств практически невозможен. А то, что ФИО показывается полностью, скорее всего да, бага.
Уже много времени Приватбанк позволяет через оформление перевода на карту ПБ узнать полное ФИО по номеру карты, который в принципе несложно перебрать.
Согласен, что если предоставляется функция сокрытия персональных данных, то она должна работать корректно и синхронно независимо от платформы.
Но сомнительна сама идея сокрытия этих данных в таком виде. Работая в банке лично видел полное совпадение первых букв ФИО и даты рождения с коллегой из соседнего офиса(а у нас система логинов была построена на комбинации этих данных), полного совпадения ФИО и разницей всего в одной цифре номера телефона у клиентов и прочее-прочее. Тут скорее надо бы ограничить метод перебора ФИО по подставлению номеров телефона. Выше товарищи правильно описали, что операция р2р достаточно рисковая и нужно точно знать кому ты отправляешь средства (ошибиться в номере карты или номере телефона может и получатель, предоставляя их). И если банк предоставляет возможность каким-то образом идентифицировать получателя дабы отправитель смог убедиться в верности реквизитов — то лучше это делать в явном виде.
Но сомнительна сама идея сокрытия этих данных в таком виде. Работая в банке лично видел полное совпадение первых букв ФИО и даты рождения с коллегой из соседнего офиса(а у нас система логинов была построена на комбинации этих данных), полного совпадения ФИО и разницей всего в одной цифре номера телефона у клиентов и прочее-прочее. Тут скорее надо бы ограничить метод перебора ФИО по подставлению номеров телефона. Выше товарищи правильно описали, что операция р2р достаточно рисковая и нужно точно знать кому ты отправляешь средства (ошибиться в номере карты или номере телефона может и получатель, предоставляя их). И если банк предоставляет возможность каким-то образом идентифицировать получателя дабы отправитель смог убедиться в верности реквизитов — то лучше это делать в явном виде.
Это не уязвимость, а просто несинхронная работа мобильной и web версии. Меня устраивает, что я вижу ФИО получателя полностью. Особенно когда приходится переводить приличные суммы.
В статье указано: 07 июля… Во время проверки обнаруживается, что теперь ошибка не зависит от платформы и воспроизводится также и в web-версии: теперь для получения ФИО владельца по номеру телефона одновременно использовать приложение и сайт не нужно — узнать ФИО клиента без перевода средств можно просто в интернет-банкинге.
Вам непонятно, почему выдача ФИО по номеру телефона является уязвимостью?
Альфа в рф не сильно лучше. Закрыли пару детских косяков, но проблему с няшным чатиком, через который можно узнать логин, марку телефона и читать чужие сообщения игнорят, хотя писали даже от имени компании.
Ушел от них и знакомым советую…
Ушел от них и знакомым советую…
Пост написать не хотите? Или упомянуть тут? Они есть на Хабре, последнее время часто пишут.
UFO just landed and posted this here
UFO just landed and posted this here
Хочу. Как только в другую страну перееду — так и напишу =)
Но если серьезно, то писать со своего аккаунта желания правда нет. Во-первых, трудно быть услышаным, во-вторых, очевидно, вероятность не совсем той реакции.
Отправлять безопаснее от имени юрлица. Вот устроюсь безопасником — подарю работадателю всё найденное =)
Но если серьезно, то писать со своего аккаунта желания правда нет. Во-первых, трудно быть услышаным, во-вторых, очевидно, вероятность не совсем той реакции.
Отправлять безопаснее от имени юрлица. Вот устроюсь безопасником — подарю работадателю всё найденное =)
Если я правильно понимаю о чём вы, то это уже давно закрыли.
Альфа в РФ не сильно лучше. При переводе по номеру телефона происходит не только раскрытие ФИО, но и адреса прописки.
ого, это баг или фича? можно подробнее? о_О
Банк был поставлен в известность, если не фича?
если это баг, то наверняка они могут за него не иллюзорно выхватить по закону о защите персональных данных, конечно если это то, о чём я подумал.
Банк был поставлен в известность, если не фича?
если это баг, то наверняка они могут за него не иллюзорно выхватить по закону о защите персональных данных, конечно если это то, о чём я подумал.
Я сегодня смогу проверить вечером ;-)
Отпишитесь здесь, интересно.
Не, не заметил такого. ФИО и даже телефон частично скрыты.
Ясно. А у pansa выше что-то не пофиксили.
Делаем перевод, в мобильном приложении платёжку в виде pdf… Вуа-ля!
А можете подробней рассказать об этом? Где именно раскрывается адрес прописки? И полное ФИО? У нас в системах везде отображается маскированное ФИО.
К сожалению, данная проблема (слив ФИО клиента без его желания по номеру телефона) не нова, Сбер например поправил ситуацию отображая 1 букву фамилии, так же сделал «приватный» режим в приложении, чтоб люди имеющие твой номер телефона у себя не могли идентифицировать тебя как клиента сбера и не узнали о тебе лишней информации, а вот в рокет-банке всё серьезней :(
Если у тебя есть карта рокет-банка, ты можешь вводить номера телефонов в свою записную книжку, затем открыть приложение рокета и видеть там ФИО людей, на этих номерах… и на данный момент никак этому не противостоять.
Но видимо ввиду того что большинство клиентов Рокета —школьники … хипстеры? я не знаю как назвать их, ни в коем случае нет цели кого-то обидеть, просто назовём этих людей «медийные личности», которые наоборот стараются выкладывать информацию о себе всюду и «им нечего скрывать, захотят найти — найдут, ну и что что мои фио будут у кого угодно» — никого это не беспокоит.
(хотя в защиту банка они что-то обещали поправить, вероятно в новой версии приложения)
Если у тебя есть карта рокет-банка, ты можешь вводить номера телефонов в свою записную книжку, затем открыть приложение рокета и видеть там ФИО людей, на этих номерах… и на данный момент никак этому не противостоять.
Но видимо ввиду того что большинство клиентов Рокета —
(хотя в защиту банка они что-то обещали поправить, вероятно в новой версии приложения)
UFO just landed and posted this here
Вообще, российский Альфа-банк вызывает очень странные чувства. Они стабильно «сливают» имена и отчества всех клиентов в регионе, при этом отвечают, что там не все клиенты (!) и это не является персональными данными. Не то, что это было бы опасно, но это странно. И на мои письма о подделке писем от них не реагировали, пока я не опубликовал информацию. Хотя сейчас это тоже исправили не до конца.
как то раз, оформил дебетовую карту альфы на номер телефона, который более 5 лет был резервным (для сигнализации и уведомлений, т.е. этот номер кроме меня никто не знал, на него не звонил и т. п.), всё было замечательно несколько лет, но потом у меня сменился пакет услуг и мне выдали карту категорией выше, после чего на этот номер начали сыпаться звонки от всякого рода «брокерских агентств» обещающих золотые горы.
И можно бы было подумать что это холодный обзвон, если бы не обращение по имени отчеству…
а с учетом того что номер изначально оформлен не на меня — напрашиваются печальные выводы.
поначалу эти звонки удивляли, затем они злили — стал добавлять номера в черный список, теперь же, по настроению, если они пробиваются через черный список, я стал тратить их время — 40 минутные разговоры с «успешными менеджерами» забавляют, особенно когда они уже ждут согласия, а ты такой — ну что-то я не до конца понял, давайте начнем сначала, вот дам я вам денег и что и что будет, расскажите!
многих там прям слышно как разрывает от негодования :D звонить почти перестали, часто просто бросают трубку, видимо понимая куда позвонили )
И можно бы было подумать что это холодный обзвон, если бы не обращение по имени отчеству…
а с учетом того что номер изначально оформлен не на меня — напрашиваются печальные выводы.
поначалу эти звонки удивляли, затем они злили — стал добавлять номера в черный список, теперь же, по настроению, если они пробиваются через черный список, я стал тратить их время — 40 минутные разговоры с «успешными менеджерами» забавляют, особенно когда они уже ждут согласия, а ты такой — ну что-то я не до конца понял, давайте начнем сначала, вот дам я вам денег и что и что будет, расскажите!
многих там прям слышно как разрывает от негодования :D звонить почти перестали, часто просто бросают трубку, видимо понимая куда позвонили )
За статью не осуждаю, но я тебе лично писал, что пофиксим в ближайшем релизе в июле или начале августа.
Хотфиксом не было возможможности это исправить.
Релиз уже собран… на неделе зальем.
P.S.: когда пишешь во все возможные инстанции есть возможность получить всевозможные ответы ;)
Хотфиксом не было возможможности это исправить.
Релиз уже собран… на неделе зальем.
P.S.: когда пишешь во все возможные инстанции есть возможность получить всевозможные ответы ;)
Привет. Верно, но конец июля прошёл, начало августа наступило…
Не хотелось тебя втягивать и беспокоить, плюс показалось, что ты морозишься — я тебе несколько раз задавал вопросы, на которые ты не отвечал (не только по этому поводу), поэтому я продолжил писать на ту почту, которую использовал изначально.
Не хотелось тебя втягивать и беспокоить, плюс показалось, что ты морозишься — я тебе несколько раз задавал вопросы, на которые ты не отвечал (не только по этому поводу), поэтому я продолжил писать на ту почту, которую использовал изначально.
Признаюсь честно — в пятницу в 17:39 я уже думал не о багах…
Это понятно. Но вопрос же был не про пятницу.
спойлер
«Зафиксированное предложение передается в профильное подразделение для рассмотрения и включения в план дальнейших действий. Реализация зафиксированного предложения зависит от разных факторов: ресурсов, сложности реализации, проектов, которые находятся уже в реализации. По предложениям, которые поступают на банк, обратная связь не предоставляется»
«Отдел разработки не считает, что предоставленная Вами информация повлияет на уязвимость интернет-сервиса, но приняли ее во внимание».
«Отдел разработки не считает, что предоставленная Вами информация повлияет на уязвимость интернет-сервиса, но приняли ее во внимание».
Возможно, чтобы что-то исправить, нужно 100500 согласований. И пока деньги явно не утекают, то никто особо не чешется.
К примеру, я уже ровно месяц долблю техподдержку Билайна, и безуспешно. В прошлом месяце поменяли условия тарифов, как я понимаю скопом на нескольких архивных тарифах. В публикациях на сайте нет новости и какой либо другой информации об изменениях в тарифе, и служба поддержки не может предоставить ссылку на такую информацию. Более того, на сайте в данный момент размещены и доступны для скачивания не измененные условия тарифа.
При этом тарификация происходит по другим условиям, тариф за 800р стал стоить внезапно 900р.
За месяц написал уже более полусотни обращений. Один раз подумал, что преодолел ботоподобную первую линию поддержки, и мне даже ответил сотрудник «да действительно проблема есть», но ничего не изменилось. И вопросы вида «мне же уже ответили, что проблема есть, вот цитата из переписки» расшибались об ответы вроде «Если Вам не подходят условия тарифа-Вы можете выбрать другой. Сейчас много новых популярных тарифов.», а то и вовсе «уточните номер телефона» или «уточните, на кого зарегистрирован номер».
Хотя суть заявки в том, что информация о тарифе, размещенная на сайте, не соответствует реальным списаниям.
Я к чему — техподдержки крупных сервисов всеми силами делают вид, что проблемы нет, даже если они есть. У них по регламенту положено объяснить клиенту, про «проблема с клиентом, а не с сервисом». Всем реально начхать. Что уж говорить про то, что они могут засветить фио своих клиентов с привязкой к телефону третьим лицам
К примеру, я уже ровно месяц долблю техподдержку Билайна, и безуспешно. В прошлом месяце поменяли условия тарифов, как я понимаю скопом на нескольких архивных тарифах. В публикациях на сайте нет новости и какой либо другой информации об изменениях в тарифе, и служба поддержки не может предоставить ссылку на такую информацию. Более того, на сайте в данный момент размещены и доступны для скачивания не измененные условия тарифа.
При этом тарификация происходит по другим условиям, тариф за 800р стал стоить внезапно 900р.
За месяц написал уже более полусотни обращений. Один раз подумал, что преодолел ботоподобную первую линию поддержки, и мне даже ответил сотрудник «да действительно проблема есть», но ничего не изменилось. И вопросы вида «мне же уже ответили, что проблема есть, вот цитата из переписки» расшибались об ответы вроде «Если Вам не подходят условия тарифа-Вы можете выбрать другой. Сейчас много новых популярных тарифов.», а то и вовсе «уточните номер телефона» или «уточните, на кого зарегистрирован номер».
Хотя суть заявки в том, что информация о тарифе, размещенная на сайте, не соответствует реальным списаниям.
Я к чему — техподдержки крупных сервисов всеми силами делают вид, что проблемы нет, даже если они есть. У них по регламенту положено объяснить клиенту, про «проблема с клиентом, а не с сервисом». Всем реально начхать. Что уж говорить про то, что они могут засветить фио своих клиентов с привязкой к телефону третьим лицам
Ну а про массовый слив персональных данных есть тоже любопытная история. Про то, как сами люди сливают всю возможную информацию о себе компаниям, с которыми у них нет никаких договорных отношений.
Речь идет про страховые компании. В свете того, что сейчас массово страховщики отбрыкиваются от ОСАГО (его нельзя сделать даже в офисе компаний под всякими благовидными и неблаговидными предлогами), остается вариант в еОСАГО. Который работает довольно забавно.
От еОСАГО страховщики тоже отбрыкиваются, всякими разными способами. Но сначала предлагают заполнить полную информацию: данные ПТС и СОР авто, полную информацию с ВУ, данные паспорта владельца и страховщика, с местом и датой рождения, местом выдачи и т.д. и т.п. Email и телефон (коды подтверждения приходят и туда и туда) В некоторых случаях пишут «проверка не пройдена», и предлагают загрузить сканы/фото паспорта, ВУ, документов на авто. В общем все возможные нужные и не нужные данные собирают, разве что номера счетов в банке не просят. А в конце, после заполнения десятков полей результат один — «по техническим причинам» страховка не срабатывает. ВСК например сделал вообще красивый финт — присылают в конце код подтверждения (того, что хочешь оформить полис) по СМС вида hHf62U*sebR, его нужно ввести в поле на сайте. А в поле его нельзя вставить, ивент что-то вроде «on paste return false». То есть возможность вставить выпилена сознательно, и приходится этот бредовый код набирать. А при вводе 100% правильного кода из СМС выдается ошибка, что код неправильный! А через некоторое время происходит таймаут ввода кода, и все.
В итоге, чтобы сделать страховку ОСАГО я ввел свои персональные данные на сайтах 5 или 6 страховых компаний, вплоть до предоставления им сканов ВУ, паспорта и ПТС. А договор ОСАГО получил только от одной. Остальные просто получили все мои данные. Я им сам их дал, максимально подробные. Что там они с ними будут делать — отдельная история.
Речь идет про страховые компании. В свете того, что сейчас массово страховщики отбрыкиваются от ОСАГО (его нельзя сделать даже в офисе компаний под всякими благовидными и неблаговидными предлогами), остается вариант в еОСАГО. Который работает довольно забавно.
От еОСАГО страховщики тоже отбрыкиваются, всякими разными способами. Но сначала предлагают заполнить полную информацию: данные ПТС и СОР авто, полную информацию с ВУ, данные паспорта владельца и страховщика, с местом и датой рождения, местом выдачи и т.д. и т.п. Email и телефон (коды подтверждения приходят и туда и туда) В некоторых случаях пишут «проверка не пройдена», и предлагают загрузить сканы/фото паспорта, ВУ, документов на авто. В общем все возможные нужные и не нужные данные собирают, разве что номера счетов в банке не просят. А в конце, после заполнения десятков полей результат один — «по техническим причинам» страховка не срабатывает. ВСК например сделал вообще красивый финт — присылают в конце код подтверждения (того, что хочешь оформить полис) по СМС вида hHf62U*sebR, его нужно ввести в поле на сайте. А в поле его нельзя вставить, ивент что-то вроде «on paste return false». То есть возможность вставить выпилена сознательно, и приходится этот бредовый код набирать. А при вводе 100% правильного кода из СМС выдается ошибка, что код неправильный! А через некоторое время происходит таймаут ввода кода, и все.
В итоге, чтобы сделать страховку ОСАГО я ввел свои персональные данные на сайтах 5 или 6 страховых компаний, вплоть до предоставления им сканов ВУ, паспорта и ПТС. А договор ОСАГО получил только от одной. Остальные просто получили все мои данные. Я им сам их дал, максимально подробные. Что там они с ними будут делать — отдельная история.
По поводу еОСАГО. Есть набор данных который необходим для расчета премии, и есть набор данных для прохождения проверки РСА (проверяются данные собственника ТС, страхователя, ТС, водителей). еОСАГО нельзя оформить без этих проверок. А страховая заранее не может знать результатов проверки. Сканы документов нужны для того что бы исправить некорректные данные в РСА. Но это не отменяет того что прежде чем запрашивать эти данные страховая должна получить от вас согласие на обработку ПД. А самое согласие вы потом можете отозвать.
UFO just landed and posted this here
Несоответствие тарифов опубликованной на сайте информации — это серьёзное нарушение:
— информирования об оказании услуг;
— закона о рекламе;
— собственно порядка оказания услуг.
Зарегистрируйте заявление в Роспотребнадзор с описанием проблемы (возможно не поможет, это не самое действенное). Но есть вероятность, что всем должны в принципе будут пересчитать все тарифы согласно опубликованной на сайте информации. :)
Т.к. сайт Билайна вполне себе является СМИ, а информация о тарифах вполне себе информация которую можно считать рекламной, то зарегистрируйте жалобу в ФАC.
Суть претензии, что реклама не соответствует оказанию услуги (да-да, этим занимается именно ФАС), почему очень высока вероятность, что сработает этот вариант: https://www.yandex.ru/yandsearch?text=ФАС%20оштрафовала%20билайн&lr=2&clid=9582
При следующем обращении в Билайн дайте им номера входящих жалоб в роспотребнадзор и ФАС, есть вероятность, что если не сработает государство — то сам Билайн внезапно быстро всё поправит (во избежание проблем).
Обратится в оба органа и оформить жалобу, очень просто.
Можно написать через Госуслуги, ещё есть варианты по почте или даже через веб-формы на сайте.
Роспотребнадзор: http://rospotrebnadzor.ru/feedback/new.php
ФАС: http://fas.gov.ru/contacts/requests/poryadok-obrashheniya.html
— информирования об оказании услуг;
— закона о рекламе;
— собственно порядка оказания услуг.
Зарегистрируйте заявление в Роспотребнадзор с описанием проблемы (возможно не поможет, это не самое действенное). Но есть вероятность, что всем должны в принципе будут пересчитать все тарифы согласно опубликованной на сайте информации. :)
Т.к. сайт Билайна вполне себе является СМИ, а информация о тарифах вполне себе информация которую можно считать рекламной, то зарегистрируйте жалобу в ФАC.
Суть претензии, что реклама не соответствует оказанию услуги (да-да, этим занимается именно ФАС), почему очень высока вероятность, что сработает этот вариант: https://www.yandex.ru/yandsearch?text=ФАС%20оштрафовала%20билайн&lr=2&clid=9582
При следующем обращении в Билайн дайте им номера входящих жалоб в роспотребнадзор и ФАС, есть вероятность, что если не сработает государство — то сам Билайн внезапно быстро всё поправит (во избежание проблем).
Обратится в оба органа и оформить жалобу, очень просто.
Можно написать через Госуслуги, ещё есть варианты по почте или даже через веб-формы на сайте.
Роспотребнадзор: http://rospotrebnadzor.ru/feedback/new.php
ФАС: http://fas.gov.ru/contacts/requests/poryadok-obrashheniya.html
В ФАС не обращался, но обращался в Роскомнадзор и в Роспотребнадзор с жалобами на Билайн схожего характера (Билайн изменил условия тарифа, изменив состав включенных в тариф услуг, а изменения на сайте сделал примерно через пол года, тогда же опубликовал новость об изменениях).
В обоих случаях получил ответы, суть которых, как я ее понял для себя: «если нарушение имеет место, и вас это не устраивает — обращайтесь в суд, так как имеете право». То есть смысла от этих обращений не так уж много.
Если интересно ознакомиться с обращением и/или ответом, то можно тут https://trublast.ru/2017/01/09/roskomnadzor/
Там я конечно немного «косякнул», обратившись с Билайн с претензией типа «об изменениях объявили только сейчас, а не работает уже пол года, услуга не предоставлялась в объеме, заявленном в тарифе, верните деньги». Сейчас ситуация несколько иная, тарификация одна, а в тарифе ПРЯМО СЕЙЧАС указана другая информация. Но на результат обращения в надзорные органы я думаю не сильно повлияет.
«Верните деньги» — условно стандартная формулировка. В обращении должно быть требование, чего конкретно я хочу. Хотеть вернуть мне не предоставленные по тарифу минуты или там мегабайты (которые должны быть предоставлены) — несколько глупо. Поэтому требую возвращать абонентскую плату.
В обоих случаях получил ответы, суть которых, как я ее понял для себя: «если нарушение имеет место, и вас это не устраивает — обращайтесь в суд, так как имеете право». То есть смысла от этих обращений не так уж много.
Если интересно ознакомиться с обращением и/или ответом, то можно тут https://trublast.ru/2017/01/09/roskomnadzor/
Там я конечно немного «косякнул», обратившись с Билайн с претензией типа «об изменениях объявили только сейчас, а не работает уже пол года, услуга не предоставлялась в объеме, заявленном в тарифе, верните деньги». Сейчас ситуация несколько иная, тарификация одна, а в тарифе ПРЯМО СЕЙЧАС указана другая информация. Но на результат обращения в надзорные органы я думаю не сильно повлияет.
«Верните деньги» — условно стандартная формулировка. В обращении должно быть требование, чего конкретно я хочу. Хотеть вернуть мне не предоставленные по тарифу минуты или там мегабайты (которые должны быть предоставлены) — несколько глупо. Поэтому требую возвращать абонентскую плату.
Только не закидывайте меня помидорами. В чем все таки уязвимость?
Юридически нельзя, что за закон? Как можно навредить абоненту (даже потенциально), узнав его ФИО через телефон?
Или обсуждается нравственный аспект. Т.е. навредить нельзя, просто нехорошо это. К слову про нравственный аспект, не так давно была возмущена сайтом поиска ФИО по телефону. Возмутило то, что писк выдает список личных социальных аккаунтов, номер телефона в которых заведен, НО скрыт для всех. Тем не менее, сайт, как видите, жив здоров.
Юридически нельзя, что за закон? Как можно навредить абоненту (даже потенциально), узнав его ФИО через телефон?
Или обсуждается нравственный аспект. Т.е. навредить нельзя, просто нехорошо это. К слову про нравственный аспект, не так давно была возмущена сайтом поиска ФИО по телефону. Возмутило то, что писк выдает список личных социальных аккаунтов, номер телефона в которых заведен, НО скрыт для всех. Тем не менее, сайт, как видите, жив здоров.
Как можно навредить абоненту (даже потенциально), узнав его ФИО через телефон?
Можно позвонить этому абоненту, назвать его по имени-отчеству, представиться работником банка и убедить совершить какие-либо действия с картой или счетом. Социальная инженерия, google://Кевин_Митник
не так давно была возмущена сайтом поиска ФИО по телефону. Возмутило то, что писк выдает список личных социальных аккаунтов, номер телефона в которых заведен, НО скрыт для всех.
Тут, немного другая ситуация, человек использующий социальные сети и введя свой номер телефона — дважды ССЗБ, ввиду того что он, дважды, своими собственными руками выложил свои же персональные данные в сеть, по своему желанию. А как мы знаем — что в сеть упало,
Мы же ведем речь о том (допустим с рокетбанком), что рандомный человек не использующий социальные сети в принципе, не важно по какой причине, хоть даже клинической паранойи, вынужден столкнутся с тем, что заключив договор с банком его фио с привязкой к номеру может быть получено практически любым человеком, в не зависимости от желания человека, в не зависимости на кого у него оформлена симка и т.п.
А что до применения связки фио+актуальный номер телефона, думаю не секрет что многие ребята собирают большие базы данных, которые затем продают/меняют тем же «успешным менеджерам» из «супер крутых брокерских компаний» и компаний по продаже пылесосов — в лучшем случае, в худшем — эти базы попадают к более сообразительным ребятам, которые с помощью этих актуальных вводых могут пойти дальше, позвонив, к примеру, родителям человека из базы, которые о чудо тоже есть в этой же базе — «такой-то такой-то ваш(а) сын(дочь)? Вы знаете… я бы не хотел вас волновать понапрасну, уточню еще — номер же у него(неё) вот такой, я не ошибся? а в бумажнике была карта такого-то банка..? Сожалею… я такой-то, такой-то, вынужден сообщить что… и вам надо перевести столько-то туда-то, чтобы всё было хорошо»…
Примеров, которыми сволочи без моральных принципов разводят пенсионеров в сети куча, а наличие персональных данных по сути в открытом доступе, против воли владельца этих персональных данных, очень облегчает им жизнь, что просто не может не беспокоить многих.
Отличная возможность узнать, является ли номер телефона клиентом банка + его ФИО бонусом. Вам никогда не приходили мошеннические смс якобы от банка с суммой списания и просьбой че-то там сделать? Мне вот приходили (привет, Бинбанк). Но ладно мне, а если это бабулька какая-то?
У них там xss везде, где только можно, даже на главной https://alfabank.ua/search?query=%22%3E%3Cimg%20src=x%20onerror=prompt(%27OPENBUGBOUNTY%27)%3E
в украинском отп банке, если позвонить на городской номер, который указан для карте держателя и ввести для проверки баланса номер карты, узнаешь баланс любой карты их клиентов. Звонил на горячую линию и спрашивал, почему так, ведь это дает возможность совершить противозаконные действия — банк не видит в этом ничего такого
tennalian, Бинбанк тут при чем? Бинбанк нормальный серьезный стабильный банк такой фигней не занимается. Если что и шлет, то только клиентам и только со своего официального номера. А это все мошенники, о которых неплохо бы уведомлять банк, например сообщением в группу vk.com/binbank, чтобы СБ взяло мошенников на карандаш
Fixed.
Мы видим наглядно халатное отношение к продукту в компаниях постсоветского пространства. Человек сам нашел уязвимость, отписал о ней, а в итоге не то, что благодарность, даже нормального отношения к своему запросу не получил. Обидно, честное слово.
Так в чем уязвимость?
Подобьем все неизвестные в уравнении «Как узнать ФИО клиента Альфа-Банка»:
1. Нужно залогиниться в приложение и не сделать транзакцию до конца.
2. Нужно залогиниться в ИБ и зайти в историю операций.
3. Нужно точно знать, что клиент Альфа-Банка — клиент Альфа-Банка.
Где утечка инфы?
Подобьем все неизвестные в уравнении «Как узнать ФИО клиента Альфа-Банка»:
1. Нужно залогиниться в приложение и не сделать транзакцию до конца.
2. Нужно залогиниться в ИБ и зайти в историю операций.
3. Нужно точно знать, что клиент Альфа-Банка — клиент Альфа-Банка.
Где утечка инфы?
На текущий момент что-нибудь известно от банка??
По факту же, да уязвимость, но некритичная. Если бы ещё XSS раскопали, да инфу о балансе — вот тогда да.
Эту уязвимость исправили; XSS, найденную w9w — не знаю.
Sign up to leave a comment.
Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона