История эта длится уже полгода и связана с раскрытием персональной информации одним из московских банков. Поскольку до конца ошибка не ликвидирована, я не буду указывать, какой именно банк имеется в виду. По этой же причине сканы документов здесь не выкладываю, но «у меня их есть».
Пополняю счет в этом банке я регулярно, через кассира-операциониста, никаких особых сложностей не испытывая. Интересно и то, что при внесении денег от вносителя обычно не требуют документов — достаточно знать ФИО получателя и тип карточки (могут спросить номер, но такого я не упомню). В особо запущенных случаях (если получателя зовут Кузнецов Иван Иванович) могут еще спросить дату рождения. Не секьюрности ради, а чтобы ошибку не допустить и получателей не перепутать.
Так вот, подхожу я к кассиру, называю свою фамилию, тип карточки, сумму, вношу деньги и ухожу довольный. И уже дома вижу, что на выданном мне приходном ордере помимо ФИО и реквизитов счета гордо красуются мои паспортные данные. Версия, что кассир узнаёт меня в лицо, была отвергнута и в мою душу начали закрадываться смутные сомнения…
«Мы не сделали скандала...» (с). Сначала был проведен тест. Я пошел в другой офис банка и пополнил карточку своего товарища (клиента того же банка). Сработало, мой паспорт даже не спросили, а на ордере красовались паспортные данные друга. Повторив трюк в других офисах (чтобы исключить человеческую ошибку и некомпетентность кассиров) мы стали думать — что делать дальше.
Сначала было вежливое послание с описанием бага на info@<сайт банка> и фразой «Для департамента безопасности» в теме письма. Тишина. Потом такая же цидуля ушла в ИТ-департамент. Тот же результат. И я решился отправить заявление в свободной форме через интернет-банк.
Тут начинается главная хохма. Не поленюсь и частично процитирую переписку…
Ответили мне в традиции государственных учреждений.
То есть если я сам даю вносителю номер карточки — значит верю ему как самому себе. Ага, и ключ от квартиры… Я несколько обозлился, поскольку такие отписки можно получать от районной поликлиники, на худой конец — от Почты России, но не от коммерческой организации.
И в конце концов мы вроде бы приходим к желаемому консенсусу.
Я вроде бы обрадовался, но глаз зацепился за фразу «внесении на ВАШ счет...». В любом случае, новую фичу необходимо протестировать. Засылаю супругу положить 50 рублей на мою карточку и с замиранием сердца жду результата. И здесь начинается натуральное шапито.
Обычно операция пополнения занимает максимум десять минут. Через 10 минут на телефон падает смска о пополнении, однако жена не возвращается. Проходит полчаса и я уже начинаю напрягаться — а вдруг ее повязали за незаконное финансирование чужих счетов? Наконец, супруга возвращается и с диким смехом рассказывает мне, что произошло.
После того, как она назвала ФИО получателя и дала деньги, счет сразу пополнили. И выдали ей приходный ордер с моими паспортными данными (т.е. все как раньше). Но внезапно кассирша занервничала, что-то стала читать на мониторе и попросила вернуть ордер. Далее операцию сторнировали (это я потом увидел в выписке) и провели заново. Результатом стал еще один приходный ордер, но уже с паспортными данными вносителя, как и было обещано.
PROFIT? Нет. Уязвимость закрыли, просто поставив сообщение на моем счете. Думаю, что оно выглядит примерно так: «Клиент — зануда, при внесении на счет печатать в ордере паспортные данные вносителя».
Но изначальная уязвимость-то не закрыта! И любой мошенник, зная ФИО человека и располагая сведениями о том, что он имеет счет в этом банке, может получить его паспортные данные. А если повезет — еще и адрес прописки, поскольку иногда при внесении денег кассир произносит его вслух и спрашивает: «Этот адрес, верно?». В общем, радость моя была недолгой, хотя собственные личные данные я вроде как защитил.
Вот и вся история.
P.S. Вопрос к юристам — а засудить за такое банк можно? Если да, то по какой статье и куда жаловаться?
Автор: