Комментарии 39
Если обратить внимание, то ЦБ только сейчас и только в форме «рекомендаций» высылает банкам данную информацию.
Дело в том, что коммерческие банки в России работают по принципу норм и требований законодательства, а не введения инноваций в области защиты информации. Особенно это касается организаций, которые нацелены в основном на целевое кредитование, иначе называемые кредиты «на чайники». Там решение и оформление кредита должно занимать 5 минут, и то что верифицируют хотя бы телефон — уже победа. Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.
Ну а то что e-mail не верифицируются и используются как средства связи и разглашения информации — эта ответственность лежит на стороне клиента с точки зрения договора.Так же в случае предоставления некорректного почтового адреса или смены номера мобильного телефона без информирования банка об этом.
На верификацию будет уходить гораздо больше времени, что повлечёт дополнительные операционные затраты, ну и естественно затраты на разработку самой системы.
Согласен, есть и такие случаи. Ради продаж многое могут делать недобросовестные сотрудники, но пока законодательной ответственности не будет — это есть норма.
Ко всему прочему, понимание людей о персональных данных у нас в стране пока что очень скудное. Те же e-mail если и есть у людей, то используются в основной массе для регистрации на различных сервисах. Многие забивают на чтение и чистку, и, соответственно не относятся к нему как к коммуникационному инструменту.
Судя по опыту общения — у них по сути две ступени авторизации при использовании каналов поддержки — первый это просто проверяется совпадение e-mail/телефона (или даже не проверяются), могут отвечать на вопросы (в том числе вида — что за бред не работает — но попросят им показать например скриншот), принять заявку и так далее а второе — если нужно через те же каналы техподдержки что-то сделать что однозначно требует не только доступа к данным аккаунта но и сообщить их клиенту или что-то поменять в аккаунте — уйдет СМС на мобильный телефон и попросят сказать код, либо позвонят на этот же телефон. При этом отличать ситуацию когда по телефону с ними говорит НЕ клиент (даже если говорящий знает все данные) — они умеют.
Графический ключ и смс при подтверждении почты вроде бы ни разу не видел. Везде уникальная ссылка идёт.
> On 31/12/2019 digiPIN devices will be discontinued and you will need to enable SMS OTP via web banking in order to be able to make transactions.
Как раз после осени 19-го.
Однако ответы на эти вопросы бывали с подробными обзорами, как и у кого из Б4 переадресация СМС возможна.
В таком случае почему переадресация СМС не запрещена громко и публично, как давно предупреждают о суточной блокировке СМС после любой замены СИМ?
Занятно, но после смены сим карты, т.е. изменения IMSI, сбер заблочил мне все смски, пока я не обратился в техпод. Совпадение? Не думаю. Но почти наверняка есть разные ситуации и, если, например, перевыпуск сим банк "палит", то вот переадресацию может и не запалить.
Уже лет десять, если не больше, при перевыпуске симки сотовый оператор извещает банк.
Если у банка есть договор с этим сотовым оператором. Последний раз, когда я поменял симку, пчелайн просто сообщил мне, что в течение суток я не буду получать вообще никаких смс от банков.
Работает это так:
SMS-центр делает вид, что собирается послать вам SMS. По номеру вашего телефона можно смаршрутизировать запрос в вашу сеть: «Куда сейчас направлять SMS для этого адресата?» В ответе вашей сети, содержащем сведения о вашей SIM-карте, сообщаются все вышеназванные сведения. SMS-центр сохраняет эти данные, а саму посылку SMS не производит.
перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту…
… клиент уведомляется об этом событии по телефону или лично
Эээ ну т.е. их не смущает, что этим они рассказывают непойми кому, что «у нас в банке есть клиент с таким-то email-адресом»?
Выводы: зачем нужен банк? Храните ваши денежки наличкой под матрасом. Целее будут.
что твой номер телефона уже в базеПросто говоришь «он всё-таки мой», вводишь код из СМС, и всё. Система подтвердилась, что номером действительно владеешь. Не вижу проблем и противоречий.
С момента подключения могло пройти лет 10. Я сейчас даже не припомню, где мой договор на телефон хранится дома...
Договору 19 лет, чернила подвыцвели, но вполне читаемо. Лежит с кучей других бумаг в известном месте.
Ви таки думаете, что у меня сохранился договор? Тем более, что он был с оператором Ermak, который в дальнейшем влился в РТ, а затем мобильное подразделение РТ стало называться Теле2.
И будь у меня копия договора с Ermak — как банк проверит его подлинность?
В приведенном варианте как раз легче и украсть номер, предъявив договор с уже несуществующим оператором, как якобы реальным.
ЦБ выпустил рекомендации для банков по верификации электронной почты клиентов, чтобы не допускать утечки их данных