klink0v (klink0v) wrote,
klink0v
klink0v

Про Сбебранк, продолжение

Начало здесь.

Что-то никто не захотел играть в угадайку. Ну да ладно. Правильные ответы под катом.


  1. Когда разные клиенты указывают один и тот же контактный номер телефона, Сбербанк начинает от этого нипадецки плющить и колбасить. Там и сям вылазят косяки в различных сервисах. Но несмотря на это, смотри пункт 2.

  2. При регистрации новых клиентов не делается вообще никакой проверки на уникальность номера телефона. Не выдается никакого предупреждения, ничего. То есть мою маму как клиента совершенно спокойно завели в систему.

  3. Наплевав на все отказы, мобильный банк моей маме подключили, но не сразу, а через два месяца после выпуска карты. Почему, зачем - а пёс его знает. Назначили тариф "эконом", то есть все не-транзакционные СМСки - бесплатно.

  4. Да, у мамы, то есть у нового клиента, интернет-банк подключился без проблем. И работал он после этого вполне корректно, в отличие от...

  5. бабушкиного, который после этого "переклинило". Залогиниться-то туда удалось, только вот сразу после логина интерфейс стал верещать "а подключите мне мобильный банк, без него работать больше не буду!". Пытаешься подключить - хренушки. Говорит, "неизвестная ошибка, попробуйте позже" (гы-гы-гы, кто бы сомневался). Также он начал настаивать на том, чтобы "создать логин-пароль". Но для этого нужно SMS-подтверждение. А вот SMS-ки для бабушкиного логина...

  6. больше не приходят. Точнее, не так. Приходят, но далеко не всякие. Ведь теперь "мобильный банк" на данный телефонный номер подключен к маминому аккаунту. Чтосукахарактерно, порулить какими-то услугами в бабушкином интернет-банке я таки смог. А некоторые другие операции подтвердить уже невозможно. То есть какие-то СМСки бабушке по-прежнему приходят, а какие-то - уже нет.

  7. Спишется конечно же с маминой карточки. Но сам факт, что управляющее устройство авторизуется исключительно по телефонному номеру (номеру SIM-карты), который совершенно не обязан быть уникальным в контексте клиента, доставляет.

Резюмируя вышесказанное. До какого-то момента у Сбербанка было два независимых сервиса с использованием сетей сотовой связи: информирование (SMSки о транзакциях, служебные SMSки, подтверждение операций и 3D-Secure) и управление (отдача команд на перевод средств, оплата, блокирование карт и т.п.). С какого-то момента неизвестному злому гению в пустую голову пришла мысль объединить их в один. Только вот если для предоставления услуг информирования совершенно не требуется взаимно-однозначного соответствия клиента и номера телефона (связь "один-к-одному"), то для процедур управления выполнение такого условия становится уже жизненно необходимым.

Мало того, что в Сбебранке не смогли корректно провести объединение вышеупомянутых сервисов (информирование и управление), дык и при активации новых клиентов номер телефона не проходит никакой проверки на уникальность. Я уж промолчу о том, что ни IMSI, ни тем более телефонный номер совершенно не годятся на роль единственного и достаточного ключа аутентификации. Потому как телефон можно потерять или украсть. К тому же, чисто технически возможно сделать клон SIM-карты.

Вообще, любые банк-клиенты, интерфейс которых основан исключительно на USSD-командах и/или SMS-ках есть суть открытые ворота. "Защититься" при таком раскладе можно только ну от очень-очень честного вора. Но Сбебранк пошёл ещё дальше: он не стал даже закреплять столбы этих ворот, так что они иногда падают сами по себе на голову незадачливому легальному клиенту.

Tags: банки, идиотизмы, сбер
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments