[Из песочницы] Как я банку на баги указывал или Об утечке данных
История эта длится уже полгода и связана с раскрытием персональной информации одним из московских банков. Поскольку до конца ошибка не ликвидирована, я не буду указывать, какой именно банк имеется в виду. По этой же причине сканы документов здесь не выкладываю, но «у меня их есть».
Пополняю счет в этом банке я регулярно, через кассира-операциониста, никаких особых сложностей не испытывая. Интересно и то, что при внесении денег от вносителя обычно не требуют документов — достаточно знать ФИО получателя и тип карточки (могут спросить номер, но такого я не упомню). В особо запущенных случаях (если получателя зовут Кузнецов Иван Иванович) могут еще спросить дату рождения. Не секьюрности ради, а чтобы ошибку не допустить и получателей не перепутать.
Так вот, подхожу я к кассиру, называю свою фамилию, тип карточки, сумму, вношу деньги и ухожу довольный. И уже дома вижу, что на выданном мне приходном ордере помимо ФИО и реквизитов счета гордо красуются мои паспортные данные. Версия, что кассир узнаёт меня в лицо, была отвергнута и в мою душу начали закрадываться смутные сомнения…
«Мы не сделали скандала…» ©. Сначала был проведен тест. Я пошел в другой офис банка и пополнил карточку своего товарища (клиента того же банка). Сработало, мой паспорт даже не спросили, а на ордере красовались паспортные данные друга. Повторив трюк в других офисах (чтобы исключить человеческую ошибку и некомпетентность кассиров) мы стали думать — что делать дальше.
Сначала было вежливое послание с описанием бага на info@<сайт банка> и фразой «Для департамента безопасности» в теме письма. Тишина. Потом такая же цидуля ушла в ИТ-департамент. Тот же результат. И я решился отправить заявление в свободной форме через интернет-банк.
Тут начинается главная хохма. Не поленюсь и частично процитирую переписку…
Мое первое послание: <...> Довожу до вашего сведения информацию об имеющейся недоработке в ПО банка, позволяющей получить доступ к персональным данным клиента банка. А именно: при пополнении счета клиента вносителем в приходном ордере печатаются паспортные данные клиента. Таким образом можно узнать паспортные данные любого владельца счета в банке <...>. Для этого достаточно обратиться в любой офис банка и попросить пополнить счет интересующего лица, назвав его ФИО. После выполнения операции кассир выдаст приходный ордер, в котором будут указанные паспортные данные владельца счета. <...> Интересно, что при обычном пополнении счета (от его владельца) на ордере указывается точно такая же информация. Это позволяет предположить, что в ПО банка просто не предусмотрен отдельный сценарий пополнения счета от вносителя и кассиры проводят эту операцию так, как будто деньги вносит владелец счета. Прошу изыскать возможность в кратчайшие сроки ликвидировать эту уязвимость, поскольку может произойти утечка данных и, как следствие этого — иски в адрес банка от пострадавших лиц <...>
Ответили мне в традиции государственных учреждений.
Вопрос был об одном, а из банка отвечают про другое: Уважаемый <...>! Для проведения третьим лицом пополнения Картсчета, вносителю необходимо, кроме того, чтобы передать денежные средства, также назвать полностью ФИО владельца Картсчета, а также при необходимости сообщить сотруднику Банка номер карты или номер Картсчета клиента. Указанная информация может быть получена только у владельца счета с его согласия. С уважением, ОАО АКБ <...>
То есть если я сам даю вносителю номер карточки — значит верю ему как самому себе. Ага, и ключ от квартиры… Я несколько обозлился, поскольку такие отписки можно получать от районной поликлиники, на худой конец — от Почты России, но не от коммерческой организации.
Отвечаю банку: Похоже, вы не уловили суть проблемы. Если я, как владелец карты даю ее номер третьему лицу, чтобы оно осуществило пополнение, я, естественно, делаю это добровольно. Но я НЕ ХОЧУ чтобы после завершения операции пополнения это третье лицо получило еще и мои паспортные данные. А на практике так и происходит (они печатаются на приходном ордере). Получается, что третье лицо получает от банка мои паспортные данные, притом что я разрешения на эту передачу не давал. Налицо утечка персональной информации по вине банка.
И в конце концов мы вроде бы приходим к желаемому консенсусу.
Из банка пишут: При внесении денежных средств на Ваш счет в офисе Банка от третьих лиц в приходно-кассовом ордере будут отражаться паспортные данные вносителя.
Я вроде бы обрадовался, но глаз зацепился за фразу «внесении на ВАШ счет…». В любом случае, новую фичу необходимо протестировать. Засылаю супругу положить 50 рублей на мою карточку и с замиранием сердца жду результата. И здесь начинается натуральное шапито.
Обычно операция пополнения занимает максимум десять минут. Через 10 минут на телефон падает смска о пополнении, однако жена не возвращается. Проходит полчаса и я уже начинаю напрягаться —, а вдруг ее повязали за незаконное финансирование чужих счетов? Наконец, супруга возвращается и с диким смехом рассказывает мне, что произошло.
После того, как она назвала ФИО получателя и дала деньги, счет сразу пополнили. И выдали ей приходный ордер с моими паспортными данными (т.е. все как раньше). Но внезапно кассирша занервничала, что-то стала читать на мониторе и попросила вернуть ордер. Далее операцию сторнировали (это я потом увидел в выписке) и провели заново. Результатом стал еще один приходный ордер, но уже с паспортными данными вносителя, как и было обещано.PROFIT? Нет. Уязвимость закрыли, просто поставив сообщение на моем счете. Думаю, что оно выглядит примерно так: «Клиент — зануда, при внесении на счет печатать в ордере паспортные данные вносителя».
Но изначальная уязвимость-то не закрыта! И любой мошенник, зная ФИО человека и располагая сведениями о том, что он имеет счет в этом банке, может получить его паспортные данные. А если повезет — еще и адрес прописки, поскольку иногда при внесении денег кассир произносит его вслух и спрашивает: «Этот адрес, верно?». В общем, радость моя была недолгой, хотя собственные личные данные я вроде как защитил.
Вот и вся история.
P.S. Вопрос к юристам —, а засудить за такое банк можно? Если да, то по какой статье и куда жаловаться?