Пополняю счет в этом банке я регулярно, через кассира-операциониста, никаких особых сложностей не испытывая. Интересно и то, что при внесении денег от вносителя обычно не требуют документов — достаточно знать ФИО получателя и тип карточки (могут спросить номер, но такого я не упомню). В особо запущенных случаях (если получателя зовут Кузнецов Иван Иванович) могут еще спросить дату рождения. Не секьюрности ради, а чтобы ошибку не допустить и получателей не перепутать.
Так вот, подхожу я к кассиру, называю свою фамилию, тип карточки, сумму, вношу деньги и ухожу довольный. И уже дома вижу, что на выданном мне приходном ордере помимо ФИО и реквизитов счета гордо красуются мои паспортные данные. Версия, что кассир узнаёт меня в лицо, была отвергнута и в мою душу начали закрадываться смутные сомнения…
«Мы не сделали скандала...» (с). Сначала был проведен тест. Я пошел в другой офис банка и пополнил карточку своего товарища (клиента того же банка). Сработало, мой паспорт даже не спросили, а на ордере красовались паспортные данные друга. Повторив трюк в других офисах (чтобы исключить человеческую ошибку и некомпетентность кассиров) мы стали думать — что делать дальше.
Сначала было вежливое послание с описанием бага на info@<сайт банка> и фразой «Для департамента безопасности» в теме письма. Тишина. Потом такая же цидуля ушла в ИТ-департамент. Тот же результат. И я решился отправить заявление в свободной форме через интернет-банк.
Тут начинается главная хохма. Не поленюсь и частично процитирую переписку…
<...> Довожу до вашего сведения информацию об имеющейся недоработке в ПО банка, позволяющей получить доступ к персональным данным клиента банка. А именно: при пополнении счета клиента вносителем в приходном ордере печатаются паспортные данные клиента. Таким образом можно узнать паспортные данные любого владельца счета в банке <...>. Для этого достаточно обратиться в любой офис банка и попросить пополнить счет интересующего лица, назвав его ФИО. После выполнения операции кассир выдаст приходный ордер, в котором будут указанные паспортные данные владельца счета. <...> Интересно, что при обычном пополнении счета (от его владельца) на ордере указывается точно такая же информация. Это позволяет предположить, что в ПО банка просто не предусмотрен отдельный сценарий пополнения счета от вносителя и кассиры проводят эту операцию так, как будто деньги вносит владелец счета. Прошу изыскать возможность в кратчайшие сроки ликвидировать эту уязвимость, поскольку может произойти утечка данных и, как следствие этого — иски в адрес банка от пострадавших лиц <...>
Ответили мне в традиции государственных учреждений.
Уважаемый <...>! Для проведения третьим лицом пополнения Картсчета, вносителю необходимо, кроме того, чтобы передать денежные средства, также назвать полностью ФИО владельца Картсчета, а также при необходимости сообщить сотруднику Банка номер карты или номер Картсчета клиента. Указанная информация может быть получена только у владельца счета с его согласия. С уважением, ОАО АКБ <...>
То есть если я сам даю вносителю номер карточки — значит верю ему как самому себе. Ага, и ключ от квартиры… Я несколько обозлился, поскольку такие отписки можно получать от районной поликлиники, на худой конец — от Почты России, но не от коммерческой организации.
Похоже, вы не уловили суть проблемы. Если я, как владелец карты даю ее номер третьему лицу, чтобы оно осуществило пополнение, я, естественно, делаю это добровольно. Но я НЕ ХОЧУ чтобы после завершения операции пополнения это третье лицо получило еще и мои паспортные данные. А на практике так и происходит (они печатаются на приходном ордере). Получается, что третье лицо получает от банка мои паспортные данные, притом что я разрешения на эту передачу не давал. Налицо утечка персональной информации по вине банка.
И в конце концов мы вроде бы приходим к желаемому консенсусу.
При внесении денежных средств на Ваш счет в офисе Банка от третьих лиц в приходно-кассовом ордере будут отражаться паспортные данные вносителя.
Я вроде бы обрадовался, но глаз зацепился за фразу «внесении на ВАШ счет...». В любом случае, новую фичу необходимо протестировать. Засылаю супругу положить 50 рублей на мою карточку и с замиранием сердца жду результата. И здесь начинается натуральное шапито.
Обычно операция пополнения занимает максимум десять минут. Через 10 минут на телефон падает смска о пополнении, однако жена не возвращается. Проходит полчаса и я уже начинаю напрягаться — а вдруг ее повязали за незаконное финансирование чужих счетов? Наконец, супруга возвращается и с диким смехом рассказывает мне, что произошло.
После того, как она назвала ФИО получателя и дала деньги, счет сразу пополнили. И выдали ей приходный ордер с моими паспортными данными (т.е. все как раньше). Но внезапно кассирша занервничала, что-то стала читать на мониторе и попросила вернуть ордер. Далее операцию сторнировали (это я потом увидел в выписке) и провели заново. Результатом стал еще один приходный ордер, но уже с паспортными данными вносителя, как и было обещано.
PROFIT? Нет. Уязвимость закрыли, просто поставив сообщение на моем счете. Думаю, что оно выглядит примерно так: «Клиент — зануда, при внесении на счет печатать в ордере паспортные данные вносителя».
Но изначальная уязвимость-то не закрыта! И любой мошенник, зная ФИО человека и располагая сведениями о том, что он имеет счет в этом банке, может получить его паспортные данные. А если повезет — еще и адрес прописки, поскольку иногда при внесении денег кассир произносит его вслух и спрашивает: «Этот адрес, верно?». В общем, радость моя была недолгой, хотя собственные личные данные я вроде как защитил.
Вот и вся история.
P.S. Вопрос к юристам — а засудить за такое банк можно? Если да, то по какой статье и куда жаловаться?
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий