«Провал в безопасности». Уволенные работники получили доступ к счету компании в Тинькофф банке

С необычной проблемой столкнулся владелец одного из столичных сервисных центров техники Apple. Два года назад он закрыл счет фирмы в Тинькофф банке. Но недавно открыл там новый. Оказалось, что доступ к деньгам получили почти все уволившиеся сотрудники, когда-то пользовавшиеся старым счетом. О возникшей проблеме мужчина написал у себя в Twitter, упомянув Тинькофф банк в сообщении. В качестве подтверждения предприниматель приложил скрин переписки с бывшими сотрудниками, которые продолжили получать доступ к средствам компании. Один из них может логиниться по старому паролю, хотя его экс-начальник при открытии счета задал новый. Другой неожиданно начал получать SMS-уведомления обо всех операциях по счету. Третий, рассказал предприниматель «360», по его просьбе ради эксперимента успешно оплатил свой счет деньгами фирмы. «Это я попросил его создать платеж, чтобы проверить, может ли он пользоваться счетом», — пояснил бизнесмен. Обсудившие проблему пользователи соцсети сошлись на мнении, что данный случай — «провал» в безопасности. «Это, блин, не „инцидент безопасности“, это провал. Используется один и тот же токен аутентификации. Телега — и та надежнее. Зато всегда транзу можно свалить на неустановленное лицо», — написал пользователь Yanvar (100+). Проблема, по словам пострадавшего, кроется в том, что «ИНН у организации один и тот же, приложение не удалялось с iPhone и автоматом начало работать с новым счетом». Служба поддержки Тинькофф банка попросила бизнесмена назвать личные данные, но мужчина усомнился, что это безопасно. К счастью, все бывшие сотрудники оказались людьми добропорядочными и никто не стал прикарманивать неожиданно «упавшие в телефон» деньги. Поэтому убытков компания пока не понесла. «Никаких потерь нет. Банк со мной связался. Но проблема на данный момент не решена», — сказал бизнесмен. В пресс-службе Тинькофф Банка «360» не предоставили комментарий на момент публикации. В ответе другим СМИ представители кредитной организации подтвердили достоверность инцидента и назвали произошедшее «разовым техническим сбоем». Удобно и небезопасно В беседе с «360» руководитель аналитического центра Zecurion Владимир Ульянов сообщил, что причина проблемы столичного бизнесмена может крыться в недоработке разработчиков приложения. Также дело может быть в сбое, из-за которого при удалении и восстановлении личного кабинета сохранились неверные настройки. Другой вариант: в кэше нескольких смартфонов случайно сохранились какие-то данные, из-за чего уволенные работники получили доступ к мобильному банку. Но вне зависимости от причин Тинькофф банк обязан расследовать этот случай нарушения информационной безопасности. «Что касается суда, защиты прав потребителей, не вижу в этом смысла, если вреда, ущерба нет. Есть угроза безопасности, да. В этом случае нужно, если есть какая-то ошибка в приложении, в сервисе, нужно обращаться к разработчику, в существовании мошенников никто не заинтересован», — добавил Ульянов. По мнению эксперта, абсолютно защищенных систем в нашем мире не существует. В целом же, заявил Ульянов, безопасности в век развития информационных технологий уделяется поразительно мало внимания. Хотя именно ее нужно максимально глубоко прорабатывать еще на уровне разработки, концепции, архитектуры приложений для корпоративных систем. «Проблема обеспечения безопасности решается по остаточному принципу. Прежде всего внимание уделяется удобству управления и функциональности. Чтобы клиент, заказчик мог быстро потратить или перевести деньги. Это удобно. Но при этом вопросу безопасности должного внимания не уделяется», — подчеркнул он. Счет — одно, мобильный банк — другое Эксперт в области информационной безопасности Александр Власов пояснил «360», что в некоторых банках, в частности «Тинькофф», есть определенная процедура закрытия счета. Но к мобильному банку она, как правило, отношения не имеет. И закрытие счета не означает, что мобильный банк автоматически перестанет работать, а сотрудникам запретят к нему доступ. «Вы счета закрыли, а мобильный банк может продолжать действовать. Когда открыли новый счет, то могут списать плату за якобы пользование мобильным банком все это время. И весь мобильный банк восстановится», — сообщил эксперт. Чтобы не влипать в такие ситуации, прежде чем закрыть счет, нужно написать заявление о лишении всех сотрудников доступа к мобильному банку. Затем — отдельное заявление о закрытии расчетного и транзитного счетов. А затем третье — с просьбой удалить все учетные и персональные данные. «И только тогда вы можете быть уверены, что что-то там они сделают. А когда открываете новый счет, нужно писать новое заявление с просьбой предоставить доступ каким-то конкретным работникам. Если окажется, что прошлое откуда-то из кэша подтянулось, то можете предъявлять претензии к банку», — добавил он, уточнив, что обычно вкладчики не знают всех тонкостей внутренних процедур финансового ведомства. Но даже куча заявлений не всегда будет гарантией, что все записи о клиенте уничтожат. В некоторых банках, даже если «отключить» от доступа уволенного сотрудника, практически вечно будет храниться запись о нем с пометкой «доступ запрещен». Точно так же банки хранят не только новые, но и старые, недействующие учетные записи вкладчиков. И никто не даст гарантии, что эти данные где-нибудь не всплывут. При возникновении похожих ситуаций Власов рекомендовал клиентам Тинькофф банка незамедлительно проинформировать кредитную организацию о происшествии и потребовать его устранить. И обязательно проверить, зарегистрирован ли инцидент. После этого, если кто-то из недобросовестных экс-работников решит воспользоваться средствами компании, ответственность за это будет нести банк. «Если человек, чей кейс мы рассматриваем, это сделал, он может требовать, в том числе для судебных всяких разбирательств, поднять записи разговоров и убедиться, что все необходимые действия были произведены. А если банк отказывает в ваших законных требованиях, первое место, куда нужно обращаться, — это суд», — заключил эксперт.