Знаю про интернет-магазины, где нужны номер карты и срок (не месяц) действия.
Но согласитесь, что проверка баланса по связке «номер карты и дата рождения» будет для злоумышленника, который занимается вишингом, проще, чем создание интернет-магазина.
Я ждал подобного комментария)
Если телефон утерян, нет доступа к мобильному или интернет-банкингу, а баланс нужно срочно узнать вот прямо сейчас, ничего не мешает позвонить всё в тот же колл-центр и узнать баланс у живого оператора, пройдя авторизацию.
Но да, проверку нужно усложнять.
«Зафиксированное предложение передается в профильное подразделение для рассмотрения и включения в план дальнейших действий. Реализация зафиксированного предложения зависит от разных факторов: ресурсов, сложности реализации, проектов, которые находятся уже в реализации. По предложениям, которые поступают на банк, обратная связь не предоставляется»
«Отдел разработки не считает, что предоставленная Вами информация повлияет на уязвимость интернет-сервиса, но приняли ее во внимание».
Привет. Верно, но конец июля прошёл, начало августа наступило…
Не хотелось тебя втягивать и беспокоить, плюс показалось, что ты морозишься — я тебе несколько раз задавал вопросы, на которые ты не отвечал (не только по этому поводу), поэтому я продолжил писать на ту почту, которую использовал изначально.
В статье указано: 07 июля… Во время проверки обнаруживается, что теперь ошибка не зависит от платформы и воспроизводится также и в web-версии: теперь для получения ФИО владельца по номеру телефона одновременно использовать приложение и сайт не нужно — узнать ФИО клиента без перевода средств можно просто в интернет-банкинге.
В нескольких других украинских банках (про РФ не знаю) такой ошибки нет: в одном банке исправили после моего обращения в течении дня, в другом — в течении нескольких месяцев, после чего выплатили вознаграждение, в третьем — ФИО не показываются.
Изначально я предлагал не передавать поля с ФИО при операции, совершаемой в мобильном приложении (или маскировать, как это сделано на шаг ранее). После того, как было выяснено, что теперь ФИО видны и при незавершённой операции, проводимой в обычном ИБ, — нужно скрывать их и здесь.
Но согласитесь, что проверка баланса по связке «номер карты и дата рождения» будет для злоумышленника, который занимается вишингом, проще, чем создание интернет-магазина.
Если телефон утерян, нет доступа к мобильному или интернет-банкингу, а баланс нужно срочно узнать вот прямо сейчас, ничего не мешает позвонить всё в тот же колл-центр и узнать баланс у живого оператора, пройдя авторизацию.
Но да, проверку нужно усложнять.
P.S.: в посте kromm описывалось похожее.
«Отдел разработки не считает, что предоставленная Вами информация повлияет на уязвимость интернет-сервиса, но приняли ее во внимание».
Не хотелось тебя втягивать и беспокоить, плюс показалось, что ты морозишься — я тебе несколько раз задавал вопросы, на которые ты не отвечал (не только по этому поводу), поэтому я продолжил писать на ту почту, которую использовал изначально.
Изначально я предлагал не передавать поля с ФИО при операции, совершаемой в мобильном приложении (или маскировать, как это сделано на шаг ранее). После того, как было выяснено, что теперь ФИО видны и при незавершённой операции, проводимой в обычном ИБ, — нужно скрывать их и здесь.