Как я чуть не “взломал” Альфа-Банк

4 мин на чтение


Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


Сразу оговорюсь, что взлома и даже попыток такового на самом деле не было, а история больше примечательна реакцией самого банка на инцидент, произошедший по причине моей невнимательности.
У Альфа-Банка есть замечательное приложение для мобильных телефонов - Альфа-Мобайл, с помощью которого можно удобно просматривать состояние своих счетов и выполнять некоторые платежи. Для входа в приложение (здесь и далее рассказываю на примере версии для iOS) нужно ввести свой логин и пароль. В отличие от того же Альфа-Клик (интернет-клиент для работы со своими счетами) не требуется вводить одноразовые пароли при входе и каждой операции, что значительно ускоряет работу с оплатой счетов и пр. _iPhone
На днях, войдя в очередной раз в Альфа-Мобайл, увидел вот такую замечательную картину: _
Вроде бы ничего необычного, да только увиденные мною счета и суммы были не моими. Естественно, я поступил так же, как поступил бы любой нормальный человек на моём месте: первым же делом перевёл все деньги себе позвонил в Альфа-Банк. К слову, реальных возможностей вывода денег со счёта при помощи Альфа-Мобайл не так много: можно лишь пополнить баланс постороннего мобильного телефона или оплатить услуги Интернет чужому провайдеру, а вот все остальные внешние переводы возможны только по заранее созданным (при помощи Альфа-Клик) шаблонам, так что злоумышленникам особо разгуляться негде. Спустя несколько минут ожидания на телефоне я соединился-таки с оператором, которому и изложил суть произошедшего: вошёл в Альфа-Мобайл и вижу чужие деньги. Оператор переключил меня на специалиста техподдержки Дмитрия, но, как оказалось, переключил ошибочно, т.к. Дмитрий, внимательно всё выслушав, переключил меня... обратно на главное меню. Очередные длительные минуты ожидания я провёл изучая чужой личный кабинет. По принуждению совету коллег попробовал перевести 100 рублей себе на телефон - чуда не произошло. В ходе дальнейшего изучения, обнаружил большое количество переводов с указанием ФИО "Иванов И.И."
Логично предположив, что оказался в каком-то служебном (тестовом) личном кабинете, я тем не менее дождался оператора, которому в третий раз объяснил случившееся, и соединился теперь уже с другим специалистом, вернее, специалисткой техподдержки (кажется, Анастасией), с которой состоялся хоть и краткий, но побудивший меня написать этот пост, разговор. _._._ С моей точки зрения, ситуация, когда клиент банка попадает в чужой личный кабинет - это: "Аларм! Аларм!", но Анастасия (буду называть её так), оказалось, считает по другому. Я подробно рассказал Анастасии о случившимся безобразии, не делясь, впрочем, своими догадками о тестовом личном кабинете. Представляю примерный пересказ разговора:
- < ...> Вот такая вот беда! - Ваши ФИО и кодовое слово, пожалуйста. - ФИО - пожалуйста, а кодовое слово сейчас назвать не могу (звонил из офиса). - Тогда перезвоните, когда сможете сказать. - Подождите, но я ведь вижу чужие расчётные счета! - Мне нужно знать кодовое слово, чтобы посмотреть состояние ваших счетов. - То есть вы считаете, что ситуация нормальная и ничего предпринимать не нужно? - Нужно ваше кодовое слово. - Это у вас в банке такая инструкция? - Без кодового слова я всё равно ничего не могу сделать. - Понятно, спасибо, до свидания.
К концу разговора я уже окончательно убедился, что проблемы никакой нет и мне как клиенту беспокоится абсолютно не о чем: программное обеспечение, которое используется в Альфа-Банке, видимо, настолько безупречно, что никаких внештатных ситуаций с ним возникнуть не может в принципе. Иначе чем можно объяснить тот факт, что по моему заявлению никаких дальнейших действий со стороны банка не последовало? Осмелюсь предположить, что и заявление нигде и зафиксировано-то не было: раз не может быть ошибок, то и заявления регистрировать бессмысленно. На самом деле, в данном конкретном случае поводов для беспокойства действительно не было: это я сам себя "взломал", нажав случайно в главном окне приложения кнопку "Демо" вместо "Вход", а потом, глядя на самом деле на демонстрацию, подумав, что вижу чужие счета. Тем не менее, неуловимый осадок остался... А что если я найду чужой телефон с установленным приложением Альфа-Мобайл и захочу сообщить о находке в банк? Меня тоже не буду слушать без кодового слова? Надеюсь, что для такого случая инструкция в Альфа-Банке всё же предусмотрена иная.

Изображение: http://pozvonkov.ru/2010/03/28/pro-dengi-bank-mashinu-i-derevnyu/ </div> </div> </div> </div>

--- === @zlonov === ---

--- === @zlonov === ---

Комментарии из Telegram


Комментарии ВКонтакте