Недавняя проверка личного кабинета в мобильном приложении Тинькофф Банка преподнесла мне неожиданный сюрприз. Я обнаружил активный страховой продукт, который никогда не оформлял. Поскольку я пользуюсь услугами этого банка нечасто, ситуация показалась мне подозрительной, и я решил разобраться.
Не моя страховка в моем кабинете
Оказалось, что в моем личном кабинете был размещен полис ОСАГО на автомобиль. Владелец этого автомобиля оказался моим полным тезкой — совпадали не только фамилия, имя и отчество, но и дата рождения. Несмотря на то что страховка была не моя, система банка предоставила мне полный доступ к управлению этим полисом. Я немедленно позвонил в колл-центр, чтобы отказаться от чужого продукта и удалить его. Оператор заверил меня в безопасности моих данных и пообещал, что со мной свяжутся по оставленной заявке, однако этого так и не произошло.
Доступ к чужим документам
Ситуация стала еще тревожнее, когда я заглянул в раздел «Документы». Помимо моих личных файлов, там отображались водительское удостоверение и свидетельство о регистрации транспортного средства (СТС) того самого «двойника». Я снова обратился в поддержку через чат, потребовав не только удалить полис, но и убрать все чужие документы из моего кабинета. Я также попросил письменные гарантии, что мои личные данные не были доступны посторонним лицам и что доступ к ним был закрыт.
Первый официальный ответ от Тинькофф Страхования
Через несколько часов я получил ответ по электронной почте от Тинькофф Страхования. Его содержание меня, мягко говоря, удивило. Компания предложила... отправить мне бумажные счета по почте для подтверждения. Этот ответ не только не решал проблему, но и вызывал серьезные вопросы о подходе компании к безопасности данных и работе с клиентами. Я даже не являюсь их клиентом по страхованию!
Обратите внимание: Банковской тайне конец: налоговики получили доступ к копиям паспортов и доверенностей. Как это отразится на простых гражданах.
Возникает закономерный вопрос: может ли сбой или особенность работы информационной системы страховой компании сделать конфиденциальные данные одних клиентов доступными другим лицам? Получить вразумительные гарантии безопасности так и не удалось.
Публичный вопрос и повторный ответ
Поскольку ответы службы поддержки меня не удовлетворили, я опубликовал подробное описание ситуации на известном финансовом портале Banki.ru, надеясь на более конструктивную реакцию.
Спустя сутки ответа не последовало, а в моем личном кабинете по-прежнему висели чужие документы. Я отправил повторный запрос по электронной почте, подчеркнув, что проблема не решена и что существует реальный риск — если я вижу документы другого человека, то и мои документы могут быть доступны кому-то еще.
Второй, не менее интересный, ответ от Тинькофф
И снова Тинькофф Страхование удивило меня своим ответом. К моменту его получения прошло уже двое суток с момента моего первого звонка и полтора дня с публикации на Banki.ru, но внятного решения проблемы представлено не было.
Эта история наглядно демонстрирует серьезную уязвимость в клиентских системах, когда идентификация происходит только по ФИО и дате рождения. «Двойники» получают доступ не только к продуктам, но и к конфиденциальным документам друг друга, что создает огромные риски для персональных данных.
Больше интересных статей здесь: Банки.
Источник статьи: Как Тинькофф объединяет клиентов по ФИО + ДР и дает доступ к данным и продуктам «двойников».