Ваш телефон — ключ к вашим деньгам или о безопасности входа в мобильное приложение Сбербанка

    Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.

    После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!

    Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.

    Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.

    А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.

    Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.

    А что Сбербанк?


    Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:

    Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
    При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.

    То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.

    Выводы


    Выводы можно сделать только такие — держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше — получайте SMS с кодами на кнопочный телефон без приложений.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Стоит ли у вас блокировка на телефоне с мобильным приложением банка?

    • 56,9%да525
    • 12,8%нет118
    • 8,1%приложение и SMS на разных устройствах75
    • 22,2%у меня нет мобильного банка/телефона/ и т. п.205

    Средняя зарплата в IT

    120 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 9 326 анкет, за 1-ое пол. 2021 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 236

      +8
      Представьте ситуацию: оставили вы на 5 минут без присмотра телефон кошелек

      Думаю так оно получше будет.
        0
        И к слову, если вы потеряете к примеру кошелек с пятьюдесятью тысячами рублей, то вероятность этих денег никогда не увидеть гораздо больше чем опустошение счета нашедшим ваш телефон прохожим.
          +1
          Все же, суммы, хранящиеся в кошельке и на счету в банке, могут отличаться на несколько порядков. Это имеет значение.
            0
            Бесспорно, для меня к примеру уже давно телефон = кошелек и ни то ни другое я не оставляю без присмотра в малознакомых мне местах, более того у меня отключены всякие глупые переводы по СМС и авторизацию по придуманному мной паролю запрашивает как само приложение (к слову не только сберовское), так и телефон при разблокировке.
            Я думаю при утрате телефона у меня будет достаточно времени для блокировки как счетов так и симкарты.
              +1
              На сколько я помню, там суточное ограничение в 100 000₽. Так что не на порядок, а в два раза.
              *при условии, что за сутки вы заметите пропажу телефона и обратитесь в банк за блокировкой
            +1
            Для того что бы получать ваши SMS физический доступ к вашей SIM карте не нужен.
            geektimes.ru/post/288913

            Более того, вполне работоспособной может оказаться схема с дубовым перевыпуском SIM карты по липовой доверенности.
            У меня ломалась карта Мегафон и я заказал новую — ни один банк-клиент подмены не заметил (Альфа-банк, Тинькофф).
              0
              менял симку со сменой телефона (размер не тот) — тинькофф заблокировал мобильный банк до звонка в коллцентр с подтверждением.
            0

            благо на самсах есть knox, туда его и запихнул.
            осталось отрубить перевод по смс на 900.

              0
              А это можно как-то сделать? В Сбербанке заявили, что если подключена услуга «Мобильный банк», то такие смс отключить нельзя.
                +1
                Это называется «быстрый платеж». Нужно отправить «ноль» на 900 для отключения.
                  0
                  Более того, в Сбере мне сообщили, что при отключении опции мобильный платеж (SMS на номер 900) автоматически отключатся и Сбербанк-онлайн (банк на компьютере) и Сбербанк-мобайл (на телефоне).
                  При этом мобильный платеж — это огромная дыра в безопасности: если за небольшую мзду сотруднику перевыпустить вашу симкарту (например, в желтом салоне связи в городке Кукуево), то можно переводить деньги с вашего счета просто отправляя SMS. Не нужен не только логин-пароль, но и сам телефон.
                  Единственный вариант который удалось найти для закрытия этой дыры — это установить нулевые лимиты на перевод в мобильном платеже (можно сделать через call центр).
                    0

                    Перевыпустите симку и попробуйте сделать перевод. Удивитесь

                      0
                      Зависит от региона, как банка, так и симки.
                        0
                        Мы про разве не про Сбербанк говорим тут?
                          0
                          Сбербанк тоже поделён на регионы, и в разных регионах может действовать разная политика.
                        0
                        подтверждаю — после потери телефона и замены сим-карты пришлось заново всё отключать и подключать в сбербанке

                        непонятно, какой именно «логин» у автора является «общеизвестным и используетс яна разных сервисах» — в мобильном банке надо знать банковский идентификатор/создать таковой, при этом смс приходит на номер, подключенный через банкомат к карте.
                          +1
                          Я менял симку раз, жена меняла уже раза три — Сбербанк может и узнал об этом, но вида не подал.
                          Выше правильно всё написали — зависит от региона и года.
                            0
                            мне в любом случае непонятно, какой такой «общеизвестный» логин использует автор для входа в приложение сбербанка.
                            несколько раз после обновления приложения приходилось заново регистрироваться, по почти полному циклу: логин-пароль, смс, пятизначный код для входа в приложение.
                            да, в защите куча других дыр, но для всех нужен физический доступ к карте и знание пин-кода — привязать телефон в банкомате. все остальные дыры — в «прокладке между креслом и рулём/экраном»
                              0
                              К логину народ проще относится, его не скрывают так, как пароль. И, как я понял из топика, при установке приложения пароль не просят, только логин и код из смски. Так что вынимаем симку из чужого телефона, вставляем в свой, устанавливаем приложение, вводим логин, а пароль сам придёт на этот же телефон.
                                0
                                Логин многие используют один и тот же, и мало кто заботится о том чтобы он был сложным и секретным. В частности у коллеги логин был абсолютно такой же как в Telegram.
                                  0
                                  Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.
                                  Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.
                                    0
                                    вынимаем симку из чужого телефона, вставляем в свой
                                    ну это вообще дырень в «прокладке» же — пин-код на сим-карту с деньгами не ставить :)
                                    Я пользуюсь тем, который мне банк выдал
                                    я тоже, но он ведь не «общедоступный»? я его больше нигде не использую, даже не записывал — утечка только на уровне банка может быть, либо, опять же — физический доступ к карте и знание пин-кода карты
                                      0
                                      Я пользуюсь тем, который мне банк выдал. И не уверен что много народу его меняет.

                                      А если банки будут смену логина предлагать. А большинство сменит как попроще, что используют на других сайтах… как в соц сетях.


                                      Другой вектор атаки при установке логина самим пользователем.


                                      Кроме того, в таком случае необходимо знать жертву, со случайным не прокатит.

                                      Да у нас (в реальности) целые базы (соц сети, сайты, скидочные карты.....) — логин или адрес электронной почты, и номер телефона. Остается только перехватывать СМС на телефонные номера.

                            0
                            Между прочим это действительно стоит проверить.
                            Вот например когда у меня поломалась симка Мегафон, ни Альфа-банк, ни Тинькофф ничего не заметили.
                            0
                            Не путайте «мобильный банк» и «быстрый платеж». Для приема SMS от сбера (с кодами) должен быть подключен хотя бы экономичный пакет мобильного банка. Но перевод по SMS — это отдельная опция «быстрый платеж», которая подключается одновременно с подключением мобильного банка, но ее можно отключить
                            0
                            А это можно как-то сделать?

                            В личном кабинете (в онлайн-банке) в настройках безопасности, если память не изменяет.
                              0
                              Да, остаётся только пополнение своего номера, так что 15к увести при перевыпуске всё равно смогут.
                                0
                                остаётся только пополнение своего номера

                                Не знал, думал всё отрубается.
                                  0
                                  Точнее, остается:
                                  — просмотр инфы по картам, перевод между своими картами, блокировка карт, блокировка мобильного банка
                                  — пополнение своего номера
                                  — SMS-шаблоны (создаются через СБ.О, в банкомате, или контакт-центре)

                                  Под вопросом еще переводы во всякие фонды-teztour-ЕИРЦ. Из мануалов не ясно, остается ли возможность переводить по ним, если опция отключена.
                                    0
                                    На самом деле при уводе номера (перевыпуске симки например) всё это не имеет значения, т.к. злоумышленник получает доступ в онлайн-банк, где доступно всё.

                                    А вот от спонтанных переводов с временно бесхозного телефона, а так же от массы зловредов с доступом к СМС вполне спасёт.
                                      0
                                      злоумышленник получает доступ в онлайн-банк

                                      Только если знает логин. А логин в принципе нигде не отображается и не требуется, кроме формы авторизации в СБ.О и в мобильном приложении. Если ваш логин очевиден, совпадает с ником или логином в других сервисах — ну так ССЗБ.

                                      Скорее злоумышленник получит доступ к почте, большинство почтовых ящиков как раз для восстановления требуют только доступ к симке, даже логина знать не требуется
                              0
                              > благо на самсах есть knox, туда его и запихнул.

                              А он же вроде все, не поддерживается и закрывается уже?
                                0

                                это в свежих моделях перешли на новый, у меня старый и так и будет работать.

                              +2
                              Ну вообще весь смысл двухфакторной авторизации пропадает, если вы получаете код на тот же телефон, где установлено приложение. В чем уязвимость-то?
                                +4
                                При двухфакторной авторизации вам надо сначала ввести «первый фактор» — пароль или пин-код. Тут по сути однофакторная авторизация осталась, т. к. пароль не запрашивается.
                                  0
                                  Да, это я по прочтении понял. Просто если судить по их FAQ, то сброс девайса и повторная установка считается как новая регистрация, соответственно процедура будет через СМС.
                                  Не спорю, реализация вызывает вопросы (и нежелание пользоваться), но вопрос в другом. В одной из летних статей по безопасности писали, что бессмысленно спорить о «секурности», если телефон с доступом в руках у злоумышленника. Поэтому и задал вопрос выше — в чем уязвимость?
                                    0
                                    А какой смысл задавать 4-символьный пин-код на вход приложение, если его легко обойти зная логин?
                                      0
                                      Так поэтому и должен быть другой номер (в другом девайсе), на который в случае сброса кода придет смс :)
                                      Это уже как заповедь любого параноика адекватного юзверя — разделяй телефон с номером, который указан в сервисах, и телефон с сервисами.
                                0
                                даже когда решили выйти на 5 минут в туалет.

                                Или хотя бы ставьте на вибро. Достали уже…
                                А если по теме, то какой-то прям уязвимости тут не вижу. Это уже скорее откровенное «не потерял, а про… прожужал».
                                  0
                                  код по СМС это не безопасный канал, его можно использовать лишь как дополнительный уровень защиты, а не отменять им все остальные.

                                  +1
                                  на 5-м андроиде приложения сбербанка требует доступа к смс и падает при запуске, если доступа нет. Но после трех падений приложение запускалось без доступа к смс. Но после очередного обновления, они убрали счетчик в 3 падения, и обойти доступ тремя падениями уже было нельзя. После этого я снес приложение и использую только веб-версию, чего вам и желаю.
                                  PS: на 6-м андроиде не проверял, возвращаться желания нет, доверие подорвано.
                                    0
                                    А на андроиде приложение не запрашивает какой нибудь пароль на запуск себя? только СМС код?
                                      0
                                      Насколько помню, можно задать 4-символьный пин-код. И еще надо авторизовать телефон, потом можно его отвязать в веб-интерфейсе.
                                      Но отказаться от чтения смс нельзя никак…
                                        0
                                        Ну вот смысл в этом 4-символьном коде нет никакого получается, можно выбрать «сменить пользователя» и тупо ввести код из SMS. Единственное что понадобится дополнительно — логин.
                                      0

                                      А какой смысл запрещать доступ сбербанковскому приложению к СМС?

                                        +4
                                        Потому что в силу своей здоровой паранойи, я не могу доверять приложениям, запрашивающим в принудительном порядке такой доступ. Я не верю что, они не прочтут все смс, а не только свои, либо по своей инициативе, либо по софтверному багу, когда совершенно случайно они весь перечень смс отошлют себе на сервер.
                                        Тем более после одно из обновлений приложение стало требовать доступ к контактам телефона.

                                        Я не против в принципе таких возможностей, я против навязывания, сейчас нельзя никак отказаться от такого, только штатными средствами андроид, но только приложение не запустится.
                                          0
                                          удалил три года назад приложение русского стандарта — коллекторы начали названивать по номерам из хранилища телефона людям, номера которых банк знать не мог.
                                          в основном тем, с кем общался достаточно часто.
                                          т.е. утечки могли быть только на двух уровнях — через «слив оператора», или через «двухфакторную защиту приложения, для чего требуется доступ к звонкам и смс»
                                            0

                                            У Сбербанка для андройда в Политика конфиденциально… все прописано:
                                            1.1. Информация о номерах телефонов из адресной книги устройства.… данные номера телефонов копируются на серверы Банка и могут периодически обновляться.


                                            2.5 Информация пользователя может сохраняться на ресурсах Банка и его партнеров… а также в течении 5 лет после расторжения таких договоров.

                                              0
                                              т.е. всё «легально», хоть и незаконно: «вы же читали оферту — там всё написано, а вы согласились»
                                        0
                                        Сейчас оно требует доступ к управлению телефонными звонками, аргументируя это необходимостью проверки на безопасность, следующим пунктом идет доступ к смс и аргументирует это защитой переписки от мошенников. В обоих случаях при отсутствии доступа не дает продолжить.
                                        0
                                        На мой взгляд, приложения мобильного банкинга переоценены. Вы рискуете своим счётом, поставив «червивое» приложение из маркета, выпустив телефон из виду на какое-то время или вообще потеряв его. Да и чаще всего банковский софт запрещает работу на рутованном телефоне, просит целую кучу разрешений и по сути служит анальным зондом, исправно собирающим телеметрию о использовании телефона.
                                        Возможно я не настолько деловой человек, но не могу придумать юзкейса использования приложения, которое бы не покрывали обычная пластиковая карта и смс-информирование о балансе и текущих тратах. Единственный раз, когда мне понадобилось работать с валютным переводом, находясь в дороге, да ещё и за границей — подключился по удалёнке к домашнему компу и выполнил нужные действия в веб-версии «Приват24». А банковское приложение в таком случае, ещё и дополнительной аутентификации потребовало небось — вход из необычного места, нестандартные действия.
                                        Так что повторюсь: ИМХО, приложения переоценены, жизнь есть и без них.
                                          0
                                          Жизнь есть без них, но с ними удобнее.
                                          Намного удобнее и быстрее запустить приложение и залогиниться в нем, чем через веб-версию.
                                          Экономит время, если достаточно часто необходимо совершать переводы и прочия действия в личном кабинете.
                                          Если изредка, то приложения обычно и не ставят.

                                          Насчет разрешений полностью согласен.
                                            0
                                            А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше

                                            А как же пин-код SIM карты? Немного достает, конечно, при выключении-включении и перезагрузке телефона, но помогает от вставки в другой телефон и сброса настроек телефона с очень большой вероятностью (оставляем крошечную вероятность на подбор злоумышленником пин-кода не более чем за 3 попытки или успешный подбор PUC не более чем за 5 попыток).


                                            Промахнулся...

                                              0
                                              Ну вот у xiaomi перезагружается 1-5 раз в неделю (судя по форумам, типичная проблема и это не железо). Если я поставлю пин код на симкарту, я просто незамечу что он перезагрузился и до меня будет недозвониться.
                                                0
                                                сообщение о пинкоде выскакивает в виде важного напоминания, не пропустишь
                                                  0
                                                  Судя по форумам, нужно добавить еще пару десяток брендов к этой типичной проблеме.
                                                    0

                                                    При "автоматической" перезагрузке PIN не запрашивается, при ручной — да.

                                                      0
                                                      хм, что-т у меня запрашивался.
                                                0

                                                А мне нравится (сарказм) что приходящий пароль входа в интернет банкинг читается в SMS сообщении даже на заблокированном телефоне.

                                                  0
                                                  это настраивается
                                                    +1

                                                    Прошу рассказать на примере Windows 10 и Android 6.0.1


                                                    Может это и настраивается, но по умолчанию читается. А по умолчанию на сброшенном к настройкам производителя (только купленном в магазине) читаться не должно.


                                                    О уже минусы прилетели.

                                                      0
                                                      Android 6 и 7 — Настройки — Уведомления — На заблокированном экране. В некоторых прошивках вроде еще в 5 андроиде было.
                                                        0

                                                        Попробывал — очень много ругался т.к. отключается все, а нужно только с определенных номеров.
                                                        Включил уведомления обратно. Телефон заблокирован PIN кодом — экран блокировки. Тяну СМС вниз и вижу что всегда можно увидеть весь текст сообщения, даже если он очень большой. Ранее думал что можно увидеть только часть. Жесть полная.

                                                        0

                                                        Для Windows: Настройки — Система — Уведомления и действия — Отобрадать уведомления когда экран заблокирован (поставить тумблер в выкл.)

                                                          0

                                                          Спасибо KorDen32, M_AJ


                                                          Но у меня все равно остается мнение что текст в СМС сообщениях должен быть таким чтобы пароль не читался при заблокированном экране. Определенная длина и сам пароль в конце текста.

                                                            0
                                                            А мне например удобно просто смахнуть «шторку» вниз и ввести код подтверждения, не открывая СМС.
                                                              0
                                                              Шторка это не экран блокировки, у меня за шторкой можно всю смску прочитать, какой бы длины она ни была. Так что у Сбера всё правильно сделано, в отличие от некоторых других банков, которые жмутся указывать реквизиты к которым этот пароль действует и присылают всё в одной СМС (а не 3-5, как у Сбера).
                                                      0
                                                      Да, очень удобно: не надо поднимать телефон со стола, чтобы разблокировать, и можно прочитать код на умных часах не открывая уведомление на полный экран.
                                                      0
                                                      Чтобы навсегда отбить желание пользоваться Сбербанком, достаточно взять iPhone держателя их карты и сказать ему заветное:
                                                      «Siri, отправь смс с текстом перевод 9151234567 6000 на номер 900»
                                                      И да, защита паролем с отпечатком пальца не спасёт.
                                                        0
                                                        Если подключен мобильный банк только, и то потом будет смс с кодом, без которого перевод не произойдет.
                                                          0
                                                          мобильный банк подключают почти автоматически для получении информации о переводах, и мало кто знает о его облегченном варианте.
                                                            +3
                                                            В облегченном варианте зато оперативно не узнаешь баланс при его изменении.
                                                            Специально зашел в личный кабинет. В разделе мобильного банка есть услуга «Быстрый платеж» — она включена по умолчанию, вот ее и надо сразу отключать, это хоть от всего и не спасет, но все же.
                                                            Быстрый платеж – это услуга Мобильного банка, с помощью которой Вы сможете оплачивать услуги сотовой связи для любого номера, а также переводить деньги другому частному лицу на карту Сбербанка по номеру телефона получателя
                                                              –1
                                                              беда в том что я этой услугой пользуюсь, она мне нужна
                                                          0
                                                          Поэтому нужно запретить работать сири на заблокированном девайсе, не запретили кто ж вам виноват
                                                            0

                                                            Разве Siri отправит СМС, если телефон заблокирован?

                                                              0
                                                              Да, отправит. Проделывали такой путь в офисе где-то полгода назад (насколько я помню, эта лазейка существует не первый год). Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения. Вуаля — деньги ушли.
                                                                0
                                                                Потом приходит смс с подтверждением, а потом отправляете еще раз смс с кодом подтверждения

                                                                А разве нельзя настроить iOS так, чтобы при заблокированном экране не было видно содержимого SMS?
                                                              0
                                                              Не пройдет по 3 причинам:
                                                              — «Привет, Сири» отключено;
                                                              — показ текста входящих СМС на экране блокировки выключен;
                                                              — «Быстрый платеж» в сбербанке отключен (отправлен NULL на номер 900);

                                                              Ну и отпечаток пальца и PIN-код на симку — само собой.
                                                              0
                                                              к сожалению, пока нет удобного миниатюрного устройства для приема и чтения sms, носить два устройства — неудобно.

                                                              p.s. я был бы безмерно рад двухфакторной авторизации по таймкодам на любые действия. включая мобильный банк
                                                                +3
                                                                Раньше у ВТБ24 были пластиковые карты одноразовых кодов, было очень удобно. Обычная маленькая карта со 119 кодами, которые нужно вводить для каждой операции. Я мог переводить деньги там, где есть интернет, но нет сотовой сети. Потом их почему-то сменили на самую идиотскую, совершенно для этого не предназначенную и небезопасную технологию — СМС-подтверждения.
                                                                  +1
                                                                  у сбербанка тоже есть одноразовые коды, распечатка в любом банкомате — 20шт
                                                                  дико неудобно, я пользовался когда то давно ими, кончаются внезапно, при распечатке новой — оставшиеся с прошлой бумажки — отменяются
                                                                    +1
                                                                    Уже нет этого, только смс.
                                                                      0
                                                                      У ВТБ все сделано было грамотно: можно было взять карту про запас, а потом ее активировать. Причем активировать следующую можно только тогда, когда закончились коды на предыдущей.
                                                                        0

                                                                        Года 3 уже как нет.

                                                                          0
                                                                          Всё уже, нет такого. И вообще-то это как раз нормально, что предыдущие отменяются.
                                                                          +1
                                                                          Вы и сейчас можете переводить деньги через телебанк там, где есть инет, но нет сотовый связи. Включите пуши в настройках и тогда даже с только вай-фаем они (коды) будут приходить без проблем.
                                                                            0
                                                                            Я не пользуюсь телефоном, и не всегда с собой его беру, соответственно, программы тоже не устанавливаю. Увы, далеко не у всех банков есть уведомления по email, поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс, а в случае его смены отправляет email.
                                                                              0
                                                                              поэтому я к каждому своему написал программу, которая заходит раз в 15 минут и проверяет баланс

                                                                              Хочу уточнить, так как идея мне очень интересна.
                                                                              — к каждому своему банку?
                                                                              — если к каждому банку, то как реализовано? Программа крутится где-то (где?), заходит через веб интерфейс, парсит содержимое страниц и сравнивает остатки с предыдущими данными?
                                                                                0
                                                                                — к каждому своему банку?
                                                                                Да.
                                                                                Реализовано это просто: программа запускается на моем домашнем сервере по cron. У банков с API используется API, у банков без API используется Selenium.
                                                                                  0
                                                                                  поделитесь наработками на github если у вас много банков
                                                                                    0
                                                                                    Нет, не много. Есть для Кукурузы и для Альфа-Банка. Скрипты очень простые, написаны плохо, сами не умеют отправлять сообщения (сообщения отправляются cron'ом), поэтому не думаю, что они будут кому-то нужны в таком виде.
                                                                          0
                                                                          У Юникредита пока что есть (?) такие карты с кодами. Взятая весной пока что работает, во всяком случае. В последний раз когда брала ее в банке, меня убеждали перейти на смс-информирование, «это же проще!».
                                                                        +1
                                                                        Дык там еще круче есть. Отправляем сообщение на 900 и вуаля денежки переведены.
                                                                        Жулики сейчас грамотные пошли и первым делом пробивают ворованный телефон на «900»
                                                                        сторонние скрипты на сбербанк ондай никудя не делись.
                                                                        Моя резалка показывает:
                                                                        google-analytics.com
                                                                        googletagmanager.com
                                                                        yandex.ru

                                                                        Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.
                                                                          0
                                                                          Вывод: не пользоваться сбером или не держать там сколь нибудь существенные суммы. Что я и делаю.

                                                                          Хотелось бы, но увы, в моём захолустье под названием Самара я не видел банкоматов других банков, кроме сбера и газбанка, где всё ещё неудобнее.
                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                              0
                                                                              Возможно они и есть, но не по пути с работы домой или в ближайших магазинах. Гулять по городу конечно замечательно, но не на регулярной основе для снятия зарплаты.
                                                                              +1
                                                                              Тинькофф, например.
                                                                                0

                                                                                Но на нем тоже лучше крупные суммы не держать. Тинькофф в красной зоне и по нему может внезапно наступить страховой случай.
                                                                                И с безопасностью в Тинькофф тоже не супер — пароль от банк-клиента легко сбрасывался по смс.

                                                                                  0
                                                                                  А где можно почитать, что там все не так хорошо(«Тинькофф в красной зоне»). Мне правда интересно.
                                                                                  0
                                                                                  Банк-клиент — имеете ввиду мобильное приложение? Все хотел попробовать проверить, как автор поста со сбербанком, но вот только руки не доходят)
                                                                                    0
                                                                                    нет, веб приложение.
                                                                                    год назад проверял, достаточно было только номера карты и телефона что бы завладеть счетом.
                                                                                    0
                                                                                    Откуда дровишки про «красную зону»?
                                                                                    Вроде как один из немногих (или единственный?), кто не берет деньги у ЦБ.
                                                                                    Вроде как и страховому случаю неоткуда взяться
                                                                                      0
                                                                                      www.money-in.org/rejting-bankov-rossii-po-nadezhnosti

                                                                                      Страховой случай наступает когда банк не может далее исполнять свои обязательства (банкрот).

                                                                                      Тинькофф проводит рискованную агрессивную политику, поэтому риски наступления страхового случая для них так же высоки.
                                                                                      Если они где то облажаются со своими кредитными картами, то не смогут выплачивать проценты держателям дебетовых карт.
                                                                                      А недавний инцидент с NEMAGIA тому подтверждение.
                                                                              +4
                                                                              Имхо развод паники на пустом месте. Гораздо проще человеку нашедшему телефон, не пытаться разблокировать телефон пытаясь подбирать пароль, а в тупую вытащить из телефона сим-карту и вставить в свой телефон и спокойно посредством смс команды вывести все деньги со счета, к которому привязан этот номер. Так что это не уязвимость приложения, а уязвимость подхода к обеспечению безопасности в принципе ( читайте — никакой безопасности тут нет и не будет априори).
                                                                                +2
                                                                                Вот именно так и сделают в приложуху не полезут а просто отправят смс на номер 900.
                                                                                Проблема в самой политике сбера. Вот эта фишка с кодом 900 не отключаемая. Верно защититься можно только не держать деньги на карте. А держать на другом счете не доступном через мобильный банк и пополнять карту по необходимости.

                                                                                Сбер официально поддерживает мелких жуликов.
                                                                                  0

                                                                                  В случае описанном в статье, доступ получается по всем счетам.

                                                                                    +1
                                                                                    По всем счетам, привязанным к мобильному банку. Это тоже настраивается, если что, во взрослой версии сбербанка-онлайн. Там же можно отвязать счета от банкомата или устройства самообслуживания.
                                                                                    0

                                                                                    "Вот эта фишка с кодом 900 не отключаемая" — цифра 0 на номер 900. Но нет, вы не знали, вам оно не надо, вам посклочничать надо.

                                                                                      0
                                                                                      Ну да немного ошибся. Это мобильный банк не отключаемый если есть сбербанк онлайн.
                                                                                      Однако фишечка включена по умолчанию.
                                                                                      И как ее отключить надо еще поискать на каждом углу не написано.
                                                                                      Зато на каждом углу написано и регулярно СМС спам приходит как с помощью этой фишечки отправить перевод. Вобще по наглости СМС спама сберу нет равных!
                                                                                      Особенно «мы заметили что вы оплачивали тото-тото. Чтобы повтороить платеж отправьте....»
                                                                                        0
                                                                                        Я отписался в поддержку через сбербанк-онлайн, и меня отписали от рекламных рассылок. Хотя то, что это включено по умолчанию, конечно свинство.
                                                                                          0

                                                                                          При открытии счета и получении карты в заявлении не ставил галку о согласии на мобильные платежи. В итоге были долгие разборки. Но 900-й номер у меня более не работает вообще никак. Мобильного банка больше нет. Приложение из маркета есть.

                                                                                          0
                                                                                          Отправил.
                                                                                          в Ответ: «Бесплатная опция „быстрый платеж“ отключена. Подключить опция можно в Сбербанк онлайн»
                                                                                          Причем я был уверен, что оно у меня уже давно отлючено. хм…
                                                                                            0
                                                                                            Её периодически включают без вашего ведома.
                                                                                              0
                                                                                              У вас несколько карт? С тех пор как отключили, какую-либо новую карту (не перевыпуск) получали? Вот он и подключился для той карты, которую вновь добавили в мобильный банк…
                                                                                                0
                                                                                                да уже почти 3 года прошло с получения последней. Отключал я эту хню явно позже. Ладно, будем мониторить сию бяку!
                                                                                                  0
                                                                                                  Только что посмотрел в онлайн-банке — там в настройках мобильного банка на каждой карте написано, включена услуга «быстрый платеж» или нет. Ну и настройки соответственно все есть.
                                                                                            0
                                                                                            держать на другом счете
                                                                                            уточню. На другом счете в другом банке. Например в таком, которому не наплевать на своих клиентов.
                                                                                              0
                                                                                              фишка с кодом 900 не отключаемая

                                                                                              Через сб.онлайн можно отключить «быстрый платеж». Тогда по SMS останется только перевод по шаблонам и на свой мобильный.
                                                                                                0
                                                                                                Не подскажите в каком это месте на сайте?
                                                                                                  0
                                                                                                  Настройки — мобильный банк — в разделе «детали подключения» у каждой из карт. Либо можно отправить «0» (или «НОЛЬ», «НУЛЬ», «NULL») на 900.
                                                                                                0
                                                                                                Сбер в обход правил Visa и MasterCard теперь при смене карты требует либо купить у них же (!) страховку от мошенников, либо говорит: «тогда проблемы лично ваши, раз страховку не берете».
                                                                                                  0
                                                                                                  Чего? Какой обход правил? Все эти страховки пытаются навязать, но по фроду без проблем возвращают деньги без всяких страховок.
                                                                                                    0
                                                                                                    По фроду вы можете пожаловаться только в ваш банк. О нарушении же правил платежных систем сами банком вы как физ лицо туда пожаловаться не сможете.
                                                                                                      +1
                                                                                                      Так а о каком нарушении/обходе правил речь? Только не беря в расчет то, что говорят клиенту, когда навязывают старховку, а что на практике не так?
                                                                                                        0
                                                                                                        Правила международных платежных систем говорят, что банк-эмитент компенсирует держателю карты потери от мошенников. Требование вместо этого заключить страховку — прямое нарушение, с моей точки зрения.
                                                                                                          0
                                                                                                          Требование вместо этого заключить страховку

                                                                                                          И опять я повторю: если не брать в расчет то, что говорят клиенту, когда навязывают страховку — были конкретные отказы в возврате?

                                                                                                          Мне подобное говорили практически каждый раз когда приходил в Сбер по поводу карт последние года два, всегда вежливо отказывался.

                                                                                                          А буквально этим летом впервые попал на фрод, до сих пор не могу понять, где мог слить данные карты. Позвонил, заблокировал карту, на следующий день пошел в отделение. Опять были предложения страховки при написании заявления о фроде — я поинтересовался чем бы отличался процесс в данном случае, если бы была страховка, и в очередной раз отказался. Перевыпустили карту за неделю, еще через неделю вернули деньги.
                                                                                                +1
                                                                                                а в тупую вытащить из телефона сим-карту и вставить в свой телефон

                                                                                                Активируем защиту по PIN коду, и ни один телефон не отправит СМС с данной сим-картой без ввода кода.

                                                                                                  +1
                                                                                                  Ой да бросьте, кто сейчас активирует пин код на сим карте? Вы, ваш друг и еще 10% от всех пользователей смартфонов в мире да и зачем, когда есть пароль на телефоне? Многие уже и не помнят, что на сим карту можно установить PIN.
                                                                                                    0
                                                                                                    Я, конечно, согласен с тем, что решать проблему с безопасностью в приложении включением пинкода на сим-карте не верный подход.

                                                                                                    Но вот не включать пинкод на карте — это ССЗБ. Сейчас номер мобильного телефона указывается в стольких местах, что можно огрести проблем, если его потеряешь и быстро не заблокируешь.
                                                                                                    И ваш комментарий натолкнул меня на эту мысль. Выходит не зря я до сих пор использую пинкоды на симкарте и помню их.
                                                                                                      0
                                                                                                      Спасение утопающих дело рук самих утопающих.
                                                                                                      Если не знаешь как поставить пин-код на симку и блокировку на телефон, значит тебе вообще нельзя пользоваться услугами любого банка. Храните наличность под подушкой.
                                                                                                  +1
                                                                                                  Было бы достаточно запретить приложению читать смс, но без этого оно не работает, а вроде как с недавних пор они еще и все ваши контакты, сообщения, фотографии, местоположение, ip могут слить через свое приложение
                                                                                                  У себя на MIUI 8 перенес приложение сбера во «второе пространство» и личные данные для приложения не доступны
                                                                                                    0
                                                                                                    Прекрасно оно работает и без доступа к SMS и без доступа к контактам, специально проверил только что
                                                                                                      0
                                                                                                      У меня при запуске спрашивает доступ к контактам и смс. Я запрещаю. Приложение пишет что для безопасности приложения необходимо разрешить управление телефонными звонками. И так до бесконечности. При этом на заднем фоне видно что запуск приложения останавливается на этапе «инициализация антивируса» и больше не двигается вообще
                                                                                                        0

                                                                                                        Это при первоначальном запуске, как я понял?
                                                                                                        Попробуйте запретить после входа.
                                                                                                        У меня два устройства, одно на 7.1, другое на 6.0, с первым вообще никаких проблем, на втором после "закручивания гаек" СО "забыл" привязку к счёту, но после повторной привязки не забывает.

                                                                                                          0
                                                                                                          Запрещал до запуска.
                                                                                                          Попробовал запретить после запуска. При переключении на приложение оно начинает заново загружаться и так же останавливается на запуске антивируса, но предлагает либо работать в ограниченном режиме, либо перейти в настройки системы
                                                                                                            0

                                                                                                            У меня тоже посопротивлялся, потом, после того, как я запустил его повторно, смирился.

                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      0
                                                                                                      Буквально вчера сменил телефон мобильного банка на всех картах, после того как получил запоздалое часов на 8 уведомление о входе, не посмотрел на его timestamp и запаниковал.

                                                                                                      Свое устройство я всегда при себе держу и оно заблокировано, но меня беспокоит возможность дублирования сим-карты. Насколько эта угроза реальна?

                                                                                                      И еще, в последнее время один из моих контактов сообщает мне о звонках от меня, которые я не совершенно точно совершал. Этот человек сразу же перезванивает и попадает ко мне, но минуту назад у него был вызов от меня, а мой телефон 100% не вызывал этого абонента. Это происходило 2 раза, после первого я даже телефон сменил, так что дело точно не в девайсе. Это что, социальная инжинерия и HackerSIM?
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          +1
                                                                                                          При этом, телефон у знакомой работает на Windows Phone 8.1, т.е. всевозможные трояны и прочие вредоносные приложения исключены.
                                                                                                          это с чего?
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              0
                                                                                                              Для WP, несмотря на всю её убогость и никому не нужность, так и не сделали ни одного вредоноса.
                                                                                                              Скорее благодаря ненужности, а не вопреки :)
                                                                                                                0
                                                                                                                Не «несмотря», а «благодаря».
                                                                                                                UPD: опередили.
                                                                                                              0

                                                                                                              Йота — мечта идиота.
                                                                                                              Более Мегафон чем кажется (((

                                                                                                              0
                                                                                                              А у Вашего контакта случайно телефон не HTC?

                                                                                                              Просто я, являясь обладателем One M8, заметил в нём следующую особенность:
                                                                                                              Если я был вне зоны доступа (в лифте например или подвальном помещении) и мне в этот момент кто-то звонил, то вызывающему абоненту, как и положено, оператор сообщил о том что я вне зоны доступа. Но у меня на девайсе через некоторое время (иногда часа через 2-3) появляется пропущенный вызов от того абонента.
                                                                                                                0

                                                                                                                Айфон 4 старенький (
                                                                                                                Да и проблема тут не совсем в этом, звонок проходит и это абсолютно внезапный звонок с моего номера. Один раз звонок был принят, но сразу сброшен вызывающей стороной. Что интересно, мой телефон тогда ненадолго потерял сеть и сразу перезвонить к человека не получилось, но я склоняюсь к тому что это всё-таки совпадение...

                                                                                                                  0
                                                                                                                  Еще есть у оператора Билайн «услуга». Если на счету не хватает денег, то вызов не проходит, а у абонента, которому звонили, показывается пропущенный вызов.
                                                                                                                –1
                                                                                                                Гораздо больше шансов что к вам в квартиру влезут воры и возьмут всё что им надо, чем потерять деньги с карты
                                                                                                                  +4
                                                                                                                  Ваше высказывание основано на статистических данных или это ваше личное внутреннее ощущение?
                                                                                                                  0
                                                                                                                  У сбербанка столько дыр даже в отделении банка… начиная от набирателя пинкода повернутого к залу… и кончая хохотушкой девушкой, которая кричит бабушке «какой ваш телефон, какая там смс пришла — вот вам пароль, распечатанный на бумажке и я его сейчас введу» — и все вокруг смотрят на эту бумажку, а хохотушка уже в личном кабинете смотрит вклады бабушки на планшете, светя его всем окружающим… ну и о стационарного компа «вы забыли пароль сейчас я вам пришлю смс и у вас будет новый пароль к онлайн банку без всякого паспорта…
                                                                                                                    0
                                                                                                                    К слову о Сбербанке. Расскажу одну интересную историю, приключившуюся с моим знакомым. Ранним посленовогодним утром он получил веселые смс о блокировке всех своих счетов в банке. Как потом оказалось, на волю после долгой отсидки вышел некий Иванов Иван Иванович, который оказался не только его полным тезкой, но и имел такую же дату рождения! Так вот этот Иванов имел долг государству и некий пристав на другом конце страны радостно наложил арест на все его имущество. Так вот, Сбер ЕДИНСТВЕННЫЙ, кто не выполнил предписание, т.к не совпало место рождения у того Иванова и моего знакомого. Другой банк заблокировал все счета, на машину был наложен запрет на любые действия с ней и еще очень долго он отковыривал свое имущество обратно, т.к. пристав был на другом конце страны, а наша бюрократическая машина уж очень неповоротлива… И на протяжении 4 месяцев сбер был единственным местом, где он мог получать зарплату)
                                                                                                                      0
                                                                                                                      Угу, у меня похожая история была. Позвонил мне следователь, узнавать про перевод, который я получил. Причем пока он мне не позвонил, никто в Сбере так и не смог мне назвать причину блокировки. А вот деньги с заблокированной ментом карты снять мне никто не помешал. Разобрались, но карту перевыпускать за свой счет пришлось потом.
                                                                                                                        0

                                                                                                                        Была аналогичная ситуация с полным тёзкой, но результат другой — сбер отдал все деньги с карты. Ооочень долго ругались с банком, в итоге эта тёзка внезапно прибежала и вернула всё. Моя мама слишком мягкий человек, и от всех претензий отказалась, хотя там были виновны и сотрудник отделения и начальница и тёзка, радостно снявшая в пять раз большую сумму.

                                                                                                                          0
                                                                                                                          У меня в последнее время складывается впечатление, что в Сбере очень адекватный колл-центр, по крайней мере они всегда бвстро и квалифицированно решают проблемы, даже такие как использование «паленого банкомата» в другом городе, после сообщения о котором мне заблокировали карту, но дали варианты не остаться без денег до возвращения домой. А вот в отделениях обычно умудряются знатно косячить, опять же двже в том случае с возможно скомпрометированной картой…
                                                                                                                            0
                                                                                                                            Ага очень адекватен. Заблокировал карту и не предупредил.
                                                                                                                            У карты перестал работать чип, но можно было оплатить по полосе. Позвонил в КЦ попросил перевыпустить карту. Они оформили перевыпуск, только и словом не обмолвились, что текущую они заблочат. Спрашивается почему нельзя было заблокировать когда выдавать карту будут или хотя бы сказать что заблокируют
                                                                                                                              0
                                                                                                                              Что не предупредили — косяк конечно, а в остальном всё верно, после оформления перевыпуска карта блокируется.
                                                                                                                                0
                                                                                                                                У карты перестал работать чип, но можно было оплатить по полосе

                                                                                                                                Если терминал с поддержкой чипа (а у нас я уже и не помню когда видел терминалы без него), по полосе не оплатить, попросит вставить чипом.
                                                                                                                                  0
                                                                                                                                  Да но если чип много раз выдает ошибку то на некоторых терминалах можно оплатить полосой.
                                                                                                                                    0
                                                                                                                                    У меня тоже внезапно переставал работать чип. Прокатили полосой и норм. В следующем магазине (там уже был сберовский терминал, в первом не обратил внимания кто) такая фишка не сработала.
                                                                                                                          +1

                                                                                                                          Всегда подозревал, что найдутся какие-то подвохи, поэтому ПО банков не ставлю. В случае крайней необходимости пользуюсь браузером. Менее удобно, но спокойнее себя чувствуешь.

                                                                                                                            0

                                                                                                                            А помню, Сбербанк раньше не пускал в приложение после замены sim-карты, в банк нужно было идти.

                                                                                                                              0
                                                                                                                              Так симка как раз и не меняется.
                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                +1
                                                                                                                                просто попробуйте нормальный банк.
                                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                    0

                                                                                                                                    Наличка из за инфляции потихоньку тает, так что только крипта, только хардкор.

                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                        0

                                                                                                                                        Ну когда-нибудь это поменяется.

                                                                                                                                        0
                                                                                                                                        ага. вон она сдулась на 30% намедни. И это не в первой.
                                                                                                                                          0

                                                                                                                                          А полгода назад она на 60% меньше стоила.

                                                                                                                                        0
                                                                                                                                        когда в этой стране крадут наличку, никто её уже не вернет.
                                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                            0
                                                                                                                                            Это до случая, когда бедные мексиканцы попросят тебе помочь им материально или из номера вынесут наличку из сейфа… вот тогда понимаешь силу пластика и western union :)
                                                                                                                                          0
                                                                                                                                          Самое интересное, что вы совершенно правы ;) Деньги на депозите/карте в банке — это не ваши деньги. Это обязательства банка перед вами.

                                                                                                                                          Проверяется просто — вносите 2000000 рублей в банк, у которого отзывают лицензию, и потом долго и упорно пытаетесь получить 600000 (сверх страховки АСВ) с банка.

                                                                                                                                          Насколько я знаю, только средства на брокерских/депозитарных счетах и в ДУ являются средствами клиента, и их возврат идет вне очередей кредиторов.
                                                                                                                                      +1
                                                                                                                                      А как у других банков дела обстоят? Что-то я подозреваю что много где можно пройти «регистрацию» с нуля имея только телефон (симку) и не имея первый фактор (пароль).
                                                                                                                                        +1
                                                                                                                                        Повторял, повторяю и буду повторять, смартфон потенциально уязвимое устройство которое может исполнять любой код, при том большая часть этого кода (в том числе и банковское приложение) закрыт, и поэтому банк-клиентам там вообще не место. Где даже гарантия что узнав про подобную уязвимость хакеры не взломают/купят какую либо популярную игру/приложение в маркете и не внедрят в неё вредонос который приведёт к массовым переводам денег на счета хакеров (особенно с учётом что по умолчанию маркет стремится сразу обновлять все приложения как только появилась сеть).

                                                                                                                                        Ну и конкретно про меня, я не всегда ношу с собой смартфон, мне он больше как КПК нужен (карты, интернет и т.п.), а базовые операции с картой (посмотреть баланс/заблокировать/разблокировать) мне доступны и с звонилки USSD запросами (но я не могу, например перевести деньги таким запросом), хотя я всё равно предпочитаю платить наличкой. А для интернет банкинга есть ноутбук на Линуксе и с дополнительными мерами предосторожности.
                                                                                                                                          0

                                                                                                                                          По идее, доступ к данным других приложений на нерутованном устройстве у приложения закрыт, факт получения рута проверяется банк-клиентом, существуют лимиты на переводы, подтверждения "подозрительных" операций по другим каналам и т.д. Всё качественно огорожено.
                                                                                                                                          Конечно, все защиты в принципе можно обойти, но вероятность "несанкционированного" доступа к счетам достаточно мала, чтобы банк-клиент можно было использовать.

                                                                                                                                            0
                                                                                                                                            На айфоне с отпечатком (теперь и лица) тоже так просто украсть приложения под защитой?
                                                                                                                                              +1

                                                                                                                                              Если владельцу сильно лицо не портить — наверное да.

                                                                                                                                            0
                                                                                                                                            При установке приложения Сбербанк.Онлайн и выборе использования входа по отпечатку пальца — использование экранной блокировки обязательно, в противном случае — не пашет
                                                                                                                                              0

                                                                                                                                              Статья выглядит так, как будто я могу взять любой телефон, удалить сберовское приложение, постааить его снова, и получить доступ к счету хозяина телефона. НО, автор забыл сообщить, что перед тем как отправить код приложение просит логин от личного кабинета. Не надо так делать.

                                                                                                                                                0

                                                                                                                                                Логин от личного кабинета зачастую можно легко найти в этом же телефоне, не говоря уже о том, что часто логин вообще общеизвестен и легко находим.

                                                                                                                                                  0

                                                                                                                                                  С тем же успехом, на телефоне может быть и номер карты с CVV, и пароль от ЛК. Человеку, что так хранит учётные данные вообще мало что поможет.

                                                                                                                                                    0
                                                                                                                                                    С каких пор логин является секретной информацией? Многие сайты логины запоминают и подставляют в поле, да даже браузеры запоминают логины и дают их в подсказках автокомплитом, о чём вы говорите? Большая часть людей не запаривается с секретностью логина.
                                                                                                                                                      0

                                                                                                                                                      Смотря какой логин. Понятно, что логин от форума не особо секретен, но все что связано с авторизацией в банке очевидно нужно хранить в секрете. А что касается сайтов, то некоторые особо одаренные и CVV код во время ввода показывают, хотя он определённо чувствительная информация.

                                                                                                                                                        0
                                                                                                                                                        Логин — не секретен. Тут нечего обсуждать.
                                                                                                                                                          0

                                                                                                                                                          Ну нечего так нечего. Лично я храню свои логины от личных кабинетов в важные места в секрете, если это конечно не номер телефона.

                                                                                                                                                            0
                                                                                                                                                            А сам сервис где логин заведён разглашает их направо и налево
                                                                                                                                                              0

                                                                                                                                                              Пока из тех крупных, что я пользовался так делал только Яндекс: стоит один раз войти, как он задолбает вопросом: "Ваш аккаунт?" За остальными такого пока слава богу не замечал.