Начало здесь.
Что-то никто не захотел играть в угадайку. Ну да ладно. Правильные ответы под катом.
- Когда разные клиенты указывают один и тот же контактный номер телефона, Сбербанк начинает от этого нипадецки плющить и колбасить. Там и сям вылазят косяки в различных сервисах. Но несмотря на это, смотри пункт 2.
- При регистрации новых клиентов не делается вообще никакой проверки на уникальность номера телефона. Не выдается никакого предупреждения, ничего. То есть мою маму как клиента совершенно спокойно завели в систему.
- Наплевав на все отказы, мобильный банк моей маме подключили, но не сразу, а через два месяца после выпуска карты. Почему, зачем - а пёс его знает. Назначили тариф "эконом", то есть все не-транзакционные СМСки - бесплатно.
- Да, у мамы, то есть у нового клиента, интернет-банк подключился без проблем. И работал он после этого вполне корректно, в отличие от...
- бабушкиного, который после этого "переклинило". Залогиниться-то туда удалось, только вот сразу после логина интерфейс стал верещать "а подключите мне мобильный банк, без него работать больше не буду!". Пытаешься подключить - хренушки. Говорит, "неизвестная ошибка, попробуйте позже" (гы-гы-гы, кто бы сомневался). Также он начал настаивать на том, чтобы "создать логин-пароль". Но для этого нужно SMS-подтверждение. А вот SMS-ки для бабушкиного логина...
- больше не приходят. Точнее, не так. Приходят, но далеко не всякие. Ведь теперь "мобильный банк" на данный телефонный номер подключен к маминому аккаунту. Чтосукахарактерно, порулить какими-то услугами в бабушкином интернет-банке я таки смог. А некоторые другие операции подтвердить уже невозможно. То есть какие-то СМСки бабушке по-прежнему приходят, а какие-то - уже нет.
- Спишется конечно же с маминой карточки. Но сам факт, что управляющее устройство авторизуется исключительно по телефонному номеру (номеру SIM-карты), который совершенно не обязан быть уникальным в контексте клиента, доставляет.
Резюмируя вышесказанное. До какого-то момента у Сбербанка было два независимых сервиса с использованием сетей сотовой связи: информирование (SMSки о транзакциях, служебные SMSки, подтверждение операций и 3D-Secure) и управление (отдача команд на перевод средств, оплата, блокирование карт и т.п.). С какого-то момента неизвестному злому гению в пустую голову пришла мысль объединить их в один. Только вот если для предоставления услуг информирования совершенно не требуется взаимно-однозначного соответствия клиента и номера телефона (связь "один-к-одному"), то для процедур управления выполнение такого условия становится уже жизненно необходимым.
Мало того, что в Сбебранке не смогли корректно провести объединение вышеупомянутых сервисов (информирование и управление), дык и при активации новых клиентов номер телефона не проходит никакой проверки на уникальность. Я уж промолчу о том, что ни IMSI, ни тем более телефонный номер совершенно не годятся на роль единственного и достаточного ключа аутентификации. Потому как телефон можно потерять или украсть. К тому же, чисто технически возможно сделать клон SIM-карты.
Вообще, любые банк-клиенты, интерфейс которых основан исключительно на USSD-командах и/или SMS-ках есть суть открытые ворота. "Защититься" при таком раскладе можно только ну от очень-очень честного вора. Но Сбебранк пошёл ещё дальше: он не стал даже закреплять столбы этих ворот, так что они иногда падают сами по себе на голову незадачливому легальному клиенту.