Дыра в безопасности яндекс инвестиций
Сервисы яндекса уже есть наверное в каждом утюге. Этот отечественный ИТ-гигант сделал и продолжает делать многое для того, чтобы сложные ИТ технологии стали доступны любой домохозяйке. Однако в погоне за доступностью, программисты яндекса кажется иногда жертвуют безопасностью. В этой небольшой статье я решил описать, как чуть было не стал жертвой мошенников благодаря сервису Яндекс-Инвестиции.
Первый звонок
Несколько дней назад я скачал на свой телефон приложение «ВТБ инвестиции». Да, думал поиграться в акции на брокерском счете. Я не являлся клиентом банка ВТБ, но приложение все равно пообещало, что за 5 минут создаст для меня брокерский счет…
Пройдя несколько простых шагов по заполнению всяких персональных данных, нажал на заветную кнопку чтобы создать счет и… приложение сказало, что-то вроде: «произошла ошибка, возможно вы уже являетесь клиентом банка».
Я конечно искренне удивился, поскольку совершенно точно знал, что клиентом банка ВТБ никогда не был. Пытливый ум предложил мне попробовать стать настоящим клиентом ВТБ, чтобы попробовать открыть брокерский счет уже из нормального онлайн банка.
Второй звонок
Стать клиентом банка ВТБ оказалось довольно просто: зашел на их сайт, указал свои данные, через два дня курьер принес домой дебетовую карту. Подписали бумаги, курьер ушел, довольный, я скачал и зашел в приложение ВТБ-онлайн. Все замечательно, нахожу в приложении кнопку «создать брокерский счет», нажимаю и… вижу ошибку: «невозможно создать брокерский счет, у нас недостаточно данных, нужно прийти в офис с паспортом».
Вот тебе и раз думаю (хотя это уже было два). Какой смысл было ждать моментальную карту два дня с курьером, если все равно топать ногами в офис??? Ну и сервис подумал, но любопытство победило, собрался и пришел таки в офис.
Третий звонок
В офисе ВТБ мне вежливо, но довольно туманно сказали, что ситуация со мной немного необычная, в их программе просто произошел сбой с моими данными о месте рождения, сейчас все быстро поправят и будет ок.
Сотрудница банка что-то очень быстро поправила и действительно: прежняя ошибка пропала, приложение в офис меня больше не отправляло, прислало мне СМС для подтверждения и… выдало новую ошибку, что-то вроде: «сбой при подключении к внешним данным».
Хорошо, что я не успел далеко отойти от офиса банка, вернулся.
Четвертый звонок
С новой ошибкой приложения, старая сотрудница разобраться уже не смогла, а позвала помощника — молодого паренька. Вместе с молодым человеком мы минут тридцать то очищали кэш приложения, то перезагружали телефон, то делали еще какие-то малопонятные мне манипуляции с QR кодами. Приложение никак не сдавалось, в итоге мне было сказано: «попробуйте через час, если не получится, то приходите опять сюда».
Начинаю что-то подозревать
Примерно через час случилось нечто странное: я зашел в ВТБ-онлайн, а там в разделе «Инвестиции» уже открыты брокерские счета. Вау, подумал я! Ну и сервис! Наверное паренек из офиса что-то там все таки подкрутил и мне теперь даже не надо открывать счета — они открылись сами!
Ну что же, счета открыты, пробую зайти в приложение с которого все началось: ВТБ инвестиции. Ввожу туда логин…, стойте, а пароль какой? Пробую от интернет-банка — нет. Пробую восстановить пароль одним способом — нет, другим — опять какие-то ошибки… Захожу в интернет банк через браузер, а там вся информация о брокерском счете как на ладони: «дата создания 13.01.2021».
Как интересно подумал я: как это брокерский счет был открыт на четыре месяца раньше, чем я стал клиентом банка???
Служба поддержки банка. Первая серия
Ну ладно, очередной глюк подумал я с этой датой. Хочется уже войти в приложение ВТБ-Инвестиции, звоню в техподдержку по номеру который дает приложение после неудачного восстановления пароля.
Поддержка берет трубку быстро, я говорю — восстановите пароль, меня отправляют сначала восстанавливать через сайт, потом через приложение ровно так как я уже только что делал… Ну как обычно в любой техподдержке в общем. Когда ничего не помогло и девушка на другом проводе немного приуныла, я ради смеха рассказал про дату открытия счета, а она радостно подхватила: «а давайте я посмотрю как это произошло». Давайте сказал я.
Ну и при чем тут Яндекс?
Через полминуты ожидания девушка из техподдержки ВТБ сказала то, что я ну вообще никак не ожидал услышать: «Вы действительно открыли этот счет 13.01.2021 через Яндекс. Можете поинтересоваться у яндекса о подробностях».
Вот это поворот! Я даже на минутку забыл о том, зачем звонил — про пароль от ВТБ-инвестиций. Потом все-таки подумал: ну старый я уже, начало января, может забыл и правда что-то там в яндексе делал? Ладно говорю, пусть так, пароль мне дайте уже от вашего приложения. Девушка перенаправила звонок к другому специалисту…
Служба поддержки банка. Вторая серия
Второй специалист техподдержки ВТБ трубку не брал заметно дольше, но я сдаваться не собирался. Когда трубку взяли, конечно пришлось объяснять ситуацию с нуля — обычное дело при звонках в техподдержку…
Специалист на проводе оказался грамотным парнем и сразу перешел к делу: вам знаком номер с последними цифрами 6593? Разумеется у меня есть вторая симка номер которой я не знаю и использую только когда где-то балуюсь. Ну, говорю, наверное это мой второй номер. Парень сказал: надо обязательно с этого номера к нам позвонить, тогда пароль поменяем. Ок, говорю. Кладу трубку.
Вот так номер!
Перед тем как звонить в банк со своей второй симки, решил посмотреть все таки сначала ее номер и… номерок-то не тот! WTF?! Начал рыться в контактах — ни у кого нет такого номера!
Паники конечно никакой нет, потому что на всех счетах по нулям. Но ощущение какого-то сюрреализма: получается, что какой-то хмырь через какой-то яндекс умудрился открыть счет на мое имя в банке, клиентом которого я даже не являлся?!
Где счет открывали, туда и идите
Открываю гугл, ищу «яндекс брокер», нахожу рекламу каких-то яндекс-инвестиций о которых в первый раз слышу. Захожу туда, там действительно предлагают открыть брокерский счет и действительно они партнеры ВТБ. Ситуация начинает для меня вырисовываться все отчетливей, но чтобы подтвердить подозрения связываюсь в чате с поддержкой яндекса, задаю закономерный вопрос: «кто и как мог открыть на мое имя брокерский счет который при этом никак не связан с моим верифицированным яндекс-аккаунтом и номером телефона»? Получаю ответ: «кто-то воспользовался вашими паспортными данными и открыл этот счет. Закрыть вы его можете только походом ногами в банк».
Ну вот как-то так
Получается, что любой человек с улицы может через яндекс открыть брокерский счет в ВТБ на имя любого другого человека с улицы, для этого нужны только паспортные данные. Сам паспорт не нужен. Быть клиентом ВТБ тоже не нужно. Десятифакторные яндекс-авторизации и аккаунт-верификации, никакой роли не играют.
Что дальше? Могу лишь догадываться: наверное, если бы я подумал что брокерский счет открыл для меня банк, попробовал бы этот счет пополнить, то мошенник получил бы уведомление о пополнении и вывел бы все со счета на свой аккаунт.