Як я банку на баги вказував або Про витік даних
Історія ця триває вже півроку і пов'язана з розкриттям персональної інформації одним з московських банків. Оскільки до кінця похибка не ліквідована, я не буду вказувати, який саме банк мається на увазі. З цієї ж причини скани документів тут не викладаю, але «у мене їх є».
Поповнюю рахунок в цьому банку я регулярно, через касира-операціоніста, ніяких особливих складнощів не відчуваючи. Цікаво й те, що при внесенні грошей від вносителя зазвичай не вимагають документів - досить знати ПІБ одержувача і тип картки (можуть запитати номер, але такого я не пригадаю). В особливо запущених випадках (якщо одержувача звуть Кузнецов Іван Іванович) можуть ще запитати дату народження. Чи не секьюрності заради, а щоб помилку не допустити і одержувачів не переплутати.
Так ось, підходжу я до касира, називаю своє прізвище, тип картки, суму, вношу гроші і йду задоволений. І вже вдома бачу, що на виданому мені прибутковому ордері крім ПІБ і реквізитів рахунку гордо красуються мої паспортні дані. Версія, що касир дізнається мене в обличчя, була відкинута і в мою душу почали закрадатися сумніви ...
«Ми не зробили скандалу ...» (с). Спочатку був проведений тест. Я пішов в інший офіс банку і поповнив картку свого товариша (клієнта того ж банку). Спрацювало, мій паспорт навіть не запитали, а на ордері красувалися паспортні дані одного. Повторивши трюк в інших офісах (щоб виключити людську помилку і некомпетентність касирів) ми стали думати - що робити далі.
Спочатку було ввічливе послання з описом бага на info @ і фразою «Для департаменту безпеки» в темі листа. Тиша. Потім така ж цидулі пішла в ІТ-департамент. Той же результат. І я зважився відправити заяву у вільній формі через інтернет-банк.
Тут починається головна хохма. Чи не полінуюся і частково процитую листування ...
Моє перше послання:
<...> Доводжу до вашого відома інформацію про наявну недоробку в ПО банку, що дозволяє отримати доступ до персональних даних клієнта банку. А саме: при поповненні рахунку клієнта вносителем в прибутковому ордері друкуються паспортні дані клієнта. Таким чином можна дізнатися паспортні дані будь-якого власника рахунку в банку <...>. Для цього достатньо звернутися в будь-який офіс банку і попросити поповнити рахунок цікавить особи, назвавши його ПІБ. Після виконання операції касир видасть прибутковий ордер, в якому будуть вказані паспортні дані власника рахунку. <...> Цікаво, що при звичайному поповненні рахунку (від його власника) на ордері вказується точно така ж інформація. Це дозволяє припустити, що в ПО банку просто не передбачений окремий сценарій поповнення рахунку від вносителя і касири проводять цю операцію так, як ніби гроші вносить власник рахунку. Прошу вишукати можливість у найкоротші терміни ліквідувати цю уразливість, оскільки може статися витік даних і, як наслідок цього - позови на адресу банку від постраждалих осіб <...>
Відповіли мені в традиції державних установ.
Питання було про одне, а з банку відповідають про інше:
Шановний <...>! Для проведення третьою особою поповнення Картрахунку, вносителю необхідно, крім того, щоб передати грошові кошти, також назвати повністю ПІБ власника Картрахунку, а також при необхідності повідомити співробітнику Банку номер карти або номер Картрахунку клієнта. Зазначена інформація може бути отримана тільки у власника рахунку з його згоди. З повагою, ВАТ АКБ <...>
Тобто якщо я сам даю вносителю номер картки - значить вірю йому як самому собі. Ага, і ключ від квартири ... Я кілька розлютився, оскільки такі відписки можна отримувати від районної поліклініки, на худий кінець - від Пошти Росії, але не від комерційної організації.
Відповідаю банку:
Схоже, ви не вловили суть проблеми. Якщо я, як власник карти даю її номер третій особі, щоб воно здійснило поповнення, я, природно, роблю це добровільно. Але я НЕ ХОЧУ щоб після завершення операції поповнення це третя особа отримало ще й мої паспортні дані. А на практиці так і відбувається (вони друкуються на прибутковому ордері). Виходить, що третя особа отримує від банку мої паспортні дані, притому що я дозволу на цю передачу не давав. У наявності витік персональної інформації з вини банку.
І врешті-решт ми начебто приходимо до бажаного консенсусу.
З банку пишуть:
При внесенні коштів на Ваш рахунок в офісі Банку від третіх осіб в прибутково-касовому ордері будуть відображатися паспортні дані вносителя.
Я начебто зрадів, але очей зачепився за фразу «внесення на ВАШ рахунок ...». У будь-якому випадку, нову фічу необхідно протестувати. Засилає дружину покласти 50 рублів на мою картку і з завмиранням серця чекаю результату. І тут починається натуральне шапіто.
Зазвичай операція поповнення займає максимум десять хвилин. Через 10 хвилин на телефон падає смска про поповнення, однак дружина не повертається. Проходить півгодини і я вже починаю напружуватися - а раптом її пов'язали за незаконне фінансування чужих рахунків? Нарешті, дружина повертається і з диким сміхом розповідає мені, що сталося.
Після того, як вона назвала ПІБ одержувача і дала гроші, рахунок відразу поповнили. І видали їй прибутковий ордер з моїми паспортними даними (тобто все як раніше). Але раптово касирка занервувала, щось стала читати на моніторі і попросила повернути ордер. Далі операцію сторнували (це я потім побачив у виписці) і провели заново. Результатом став ще один прибутковий ордер, але вже з паспортними даними вносителя, як і було обіцяно.
PROFIT? Ні. Уразливість закрили, просто поставивши повідомлення на моєму рахунку. Думаю, що воно виглядає приблизно так: «Клієнт - зануда, при внесенні на рахунок друкувати в ордері паспортні дані вносителя».
Але початкова вразливість щось не закрита! І будь-який шахрай, знаючи ПІБ людини і маючи в своєму розпорядженні відомості про те, що він має рахунок в цьому банку, може отримати його паспортні дані. А якщо пощастить - ще й адресу прописки, оскільки іноді при внесенні грошей касир вимовляє його вголос і питає: «Ця електронна адреса, вірно?». Загалом, радість моя була недовгою, хоча власні особисті дані я ніби як захистив.
Ось і вся історія.
PS Питання до юристів - а засудити за таке банк можна? Якщо так, то за якою статтею і куди скаржитися?
UPD: В коментах звернули увагу, що подібний випадок рік тому мав мав місце в Ощадбанку.
UPD2: 22/09/2014
Чудо сталося! Мабуть десь в глибинах банку щось клацнуло і коліщатка покотилися в потрібну сторону. Знайомий недавно поповнював картку родича в цьому банку (готівкою, від вносителя, тобто випадок, аналогічний моєму). Так у нього запитали паспорт і дані власника рахунку в ордері НЕ вказали. Ура, я змінив систему! :)
Так, тепер можна ... Це був банк Авангард. І він таки виріс в моїх очах.
PROFIT?
А якщо пощастить - ще й адресу прописки, оскільки іноді при внесенні грошей касир вимовляє його вголос і питає: «Ця електронна адреса, вірно?
PS Питання до юристів - а засудити за таке банк можна?
Якщо так, то за якою статтею і куди скаржитися?