Ниже — история, случившаяся сегодня около 16-40 и прочувствованная мной как пользователем системы онлайн-клиента банка ВТБ24.
Сегодня примерно в 16-30 мы не смогли зайти в систему онлайн-клиент банка ВТБ24, клиентом которого является компания, в которой я работаю. При вводе логина и пароля система сообщала, что произошла ошибка авторизации.
Естественно, мы стали звонить в службу поддержки этой интернет-системы. Молодой человек сообщил, что у них «слетели пароли». На вопрос, возможно ли восстановление системы, ну, например, завтра, нам сообщили, что такое вряд ли возможно. Однако молодой человек отверг предположение о том, что пароли могли быть похищены, повторяя одну и ту же фразу про «слетевшие пароли».
И тут началось самое интересное. Мы поинтересовались, что же теперь делать. Вдруг оказалось, что систему можно обойти, т.е. в сущности, войти без пароля в личный кабинет (оказалось, очень просто это сделать), а оттуда этот самый пароль заменить — для замены надо знать кодовое слово. Также вдруг выяснилось, что в нашем договоре с банком не прописано никакое кодовое слово — выяснилось, что этот раздел в договоре появился совсем недавно, мы же заключали договор в конце 2008 года. Естественно, нам ни разу в банке не сказали, что необходимо заключить дополнительное соглашение и создать такое слово. В итоге сотрудник техподдержки предположил (точно он, естественно, не знает), что нам придется ехать в банк, писать заявление о выдаче секретного слова и, разумеется, ждать его выдачи. Все это время доступ к счету нам будет закрыт. При этом телефон нашего филиала банка не отвечает — они работают до 17-00.
Я не специалист в сфере безопасности банковских приложений, однако у меня общение с онлайн-системой данного банка вызывает кучу нареканий. Во-первых, еще при ее установке в 2008 году оказалось, что система, несмотря на заявления специалистов банка, может быть размножена на значительно больше количество компов, чем заявлено в договоре — никакой (заявленной) защиты от копирования в программе не предусмотрено. Хотя в техподдержке утверждали, что устанавливать можно лишь на один комп для каждого клиента (два — если две подписи), а если надо больше — надо писать заявление с обоснованием такой необходимости и ждать его утверждения. Видимо, расчет на честность клиентов.
Далее: где-то в середине 2009 года ввели новую систему безопасности — стали присылать SMS на телефоны клиентов. Также по одному номеру для клиента. Но при регистрации можно было заполнить несколько полей с номером телефона — никаким образом это не контролировалось и не ограничивалось. Кстати, наличие такой системы вызвало еще один вопрос — неужели при возникновении описанной в начале поста проблемы нельзя каким-то образом оповестить клиентов о трудностях SMS-рассылкой?.. Еще несколько нюансов: система работает исключительно с IE, не дает возможности поиска платежных документов ни по названию компании-плательщика, ни по номеру счета — только по дате или по номеру документа.
В общем, все это лирика, а сейчас мы сидим и сообща гадаем, что день грядущий нам готовит и будет ли, чем завтра выплачивать сотрудникам зарплату…
PS Около 8 вечера появилось сообщение, что работа с системой невозможна по техническим проблемам. Ориентировочное время восстановления — час ночи.
Сегодня примерно в 16-30 мы не смогли зайти в систему онлайн-клиент банка ВТБ24, клиентом которого является компания, в которой я работаю. При вводе логина и пароля система сообщала, что произошла ошибка авторизации.
Естественно, мы стали звонить в службу поддержки этой интернет-системы. Молодой человек сообщил, что у них «слетели пароли». На вопрос, возможно ли восстановление системы, ну, например, завтра, нам сообщили, что такое вряд ли возможно. Однако молодой человек отверг предположение о том, что пароли могли быть похищены, повторяя одну и ту же фразу про «слетевшие пароли».
И тут началось самое интересное. Мы поинтересовались, что же теперь делать. Вдруг оказалось, что систему можно обойти, т.е. в сущности, войти без пароля в личный кабинет (оказалось, очень просто это сделать), а оттуда этот самый пароль заменить — для замены надо знать кодовое слово. Также вдруг выяснилось, что в нашем договоре с банком не прописано никакое кодовое слово — выяснилось, что этот раздел в договоре появился совсем недавно, мы же заключали договор в конце 2008 года. Естественно, нам ни разу в банке не сказали, что необходимо заключить дополнительное соглашение и создать такое слово. В итоге сотрудник техподдержки предположил (точно он, естественно, не знает), что нам придется ехать в банк, писать заявление о выдаче секретного слова и, разумеется, ждать его выдачи. Все это время доступ к счету нам будет закрыт. При этом телефон нашего филиала банка не отвечает — они работают до 17-00.
Я не специалист в сфере безопасности банковских приложений, однако у меня общение с онлайн-системой данного банка вызывает кучу нареканий. Во-первых, еще при ее установке в 2008 году оказалось, что система, несмотря на заявления специалистов банка, может быть размножена на значительно больше количество компов, чем заявлено в договоре — никакой (заявленной) защиты от копирования в программе не предусмотрено. Хотя в техподдержке утверждали, что устанавливать можно лишь на один комп для каждого клиента (два — если две подписи), а если надо больше — надо писать заявление с обоснованием такой необходимости и ждать его утверждения. Видимо, расчет на честность клиентов.
Далее: где-то в середине 2009 года ввели новую систему безопасности — стали присылать SMS на телефоны клиентов. Также по одному номеру для клиента. Но при регистрации можно было заполнить несколько полей с номером телефона — никаким образом это не контролировалось и не ограничивалось. Кстати, наличие такой системы вызвало еще один вопрос — неужели при возникновении описанной в начале поста проблемы нельзя каким-то образом оповестить клиентов о трудностях SMS-рассылкой?.. Еще несколько нюансов: система работает исключительно с IE, не дает возможности поиска платежных документов ни по названию компании-плательщика, ни по номеру счета — только по дате или по номеру документа.
В общем, все это лирика, а сейчас мы сидим и сообща гадаем, что день грядущий нам готовит и будет ли, чем завтра выплачивать сотрудникам зарплату…
PS Около 8 вечера появилось сообщение, что работа с системой невозможна по техническим проблемам. Ориентировочное время восстановления — час ночи.