Верхнее

Как я чуть не "взломал" Альфа-Банк

Сразу оговорюсь, что взлома и даже попыток такового на самом деле не было, а история больше примечательна реакцией самого банка на инцидент, произошедший по причине моей невнимательности.

У Альфа-Банка есть замечательное приложение для мобильных телефонов — Альфа-Мобайл, с помощью которого можно удобно просматривать состояние своих счетов и выполнять некоторые платежи.

Для входа в приложение (здесь и далее рассказываю на примере версии для iOS) нужно ввести свой логин и пароль. В отличие от того же Альфа-Клик (интернет-клиент для работы со своими счетами) не требуется вводить одноразовые пароли при входе и каждой операции, что значительно ускоряет работу с оплатой счетов и пр.

_iPhone

На днях, войдя в очередной раз в Альфа-Мобайл, увидел вот такую замечательную картину:

_

Вроде бы ничего необычного, да только увиденные мною счета и суммы были не моими. Естественно, я поступил так же, как поступил бы любой нормальный человек на моём месте: первым же делом перевёл все деньги себе позвонил в Альфа-Банк. К слову, реальных возможностей вывода денег со счёта при помощи Альфа-Мобайл не так много: можно лишь пополнить баланс постороннего мобильного телефона или оплатить услуги Интернет чужому провайдеру, а вот все остальные внешние переводы возможны только по заранее созданным (при помощи Альфа-Клик) шаблонам, так что злоумышленникам особо разгуляться негде.

Спустя несколько минут ожидания на телефоне я соединился-таки с оператором, которому и изложил суть произошедшего: вошёл в Альфа-Мобайл и вижу чужие деньги. Оператор переключил меня на специалиста техподдержки Дмитрия, но, как оказалось, переключил ошибочно, т.к. Дмитрий, внимательно всё выслушав, переключил меня… обратно на главное меню. Очередные длительные минуты ожидания я провёл изучая чужой личный кабинет. По принуждению совету коллег попробовал перевести 100 рублей себе на телефон — чуда не произошло. В ходе дальнейшего изучения, обнаружил большое количество переводов с указанием ФИО «Иванов И.И.»

Логично предположив, что оказался в каком-то служебном (тестовом) личном кабинете, я тем не менее дождался оператора, которому в третий раз объяснил случившееся, и соединился теперь уже с другим специалистом, вернее, специалисткой техподдержки (кажется, Анастасией), с которой состоялся хоть и краткий, но побудивший меня написать этот пост, разговор.

_._._

С моей точки зрения, ситуация, когда клиент банка попадает в чужой личный кабинет — это: «Аларм! Аларм!«, но Анастасия (буду называть её так), оказалось, считает по другому. Я подробно рассказал Анастасии о случившимся безобразии, не делясь, впрочем, своими догадками о тестовом личном кабинете. Представляю примерный пересказ разговора:

— < …> Вот такая вот беда!
— Ваши ФИО и кодовое слово, пожалуйста.
— ФИО — пожалуйста, а кодовое слово сейчас назвать не могу (звонил из офиса).
— Тогда перезвоните, когда сможете сказать.
— Подождите, но я ведь вижу чужие расчётные счета!
— Мне нужно знать кодовое слово, чтобы посмотреть состояние ваших счетов.
— То есть вы считаете, что ситуация нормальная и ничего предпринимать не нужно?
— Нужно ваше кодовое слово.
— Это у вас в банке такая инструкция?
— Без кодового слова я всё равно ничего не могу сделать.
— Понятно, спасибо, до свидания.

К концу разговора я уже окончательно убедился, что проблемы никакой нет и мне как клиенту беспокоится абсолютно не о чем: программное обеспечение, которое используется в Альфа-Банке, видимо, настолько безупречно, что никаких внештатных ситуаций с ним возникнуть не может в принципе. Иначе чем можно объяснить тот факт, что по моему заявлению никаких дальнейших действий со стороны банка не последовало? Осмелюсь предположить, что и заявление нигде и зафиксировано-то не было: раз не может быть ошибок, то и заявления регистрировать бессмысленно.

На самом деле, в данном конкретном случае поводов для беспокойства действительно не было: это я сам себя «взломал», нажав случайно в главном окне приложения кнопку «Демо» вместо «Вход», а потом, глядя на самом деле на демонстрацию, подумав, что вижу чужие счета.

Тем не менее, неуловимый осадок остался… А что если я найду чужой телефон с установленным приложением Альфа-Мобайл и захочу сообщить о находке в банк? Меня тоже не буду слушать без кодового слова? Надеюсь, что для такого случая инструкция в Альфа-Банке всё же предусмотрена иная.

Изображение: http://pozvonkov.ru/2010/03/28/pro-dengi-bank-mashinu-i-derevnyu/

, ,