Химич Роман (totaltelecom) wrote,
Химич Роман
totaltelecom

Приват или Vodafone: кто допустил кражу денег через сим-карты

Месяца два назад рассказывал Андрею Яницкому для его книги про историю развития альтернативных методов идентификации/аутентификации клиентов Приватбанка. Книгу пока не читал и что именно из моего рассказа вошло в неё сказать не могу. Как бы там ни было, последний по времени скандал с массовыми успешными атаками на счета клиентов Приватбанка ещё раз подтвердил мои слова. Не буду снова пересказывать то, о чём писал много раз. Ограничусь комментарием к случившемуся в Луцке.

Когда мы говорим об использовании мобильной связи для двухфакторной аутентификации пользователей банковских услуг, имеют место трёхсторонние правоотношения в рамках треугольника "банк - оператор - пользователь их услуг". При этом именно банк де-факто доминирует в этом треугольнике.

1. Только банк знает, какие номера используются для аутентификации его клиентов и, соответственно, находятся в зоне риска.
2. Только банк может запросить у операторов, имеет ли место персонализация этих номеров, то есть главный (по сути, единственный) предохранительный механизм их кражи злоумышленниками.
3. Наконец - и это крайне важно! - только банк может поставить своим клиентам, которые используют для аутентификации не персонализированные (посредством контрактного подключения или регистрации) номера, категорическое условие персонализироваться или потерять право на данную возможность.

Собственно говоря, выше изложена позиция, вокруг которой уже много лет идёт вялотекущая борьба. Операторы добиваются, чтобы Приватбанк перестал подставлять их перед общими клиентами. Приватбанк настаивает, что это общая проблема, поэтому операторы должны помочь ему решить его проблемы бесплатно и т.д. и т.п.

В общем, я не считаю уместным выдвигать претензии операторам. Первопричиной проблемы является алчность и нездоровый цинизм бывшего менеджмента Приватбанка, который сэкономил очень много денег, используя вместо надёжных, но дорогих и сложных механизмов безопасности дырявые, но практически бесплатные и предельно простые в использовании.

Собственно говоря, тот факт, что банк решил возместить потерпевшим нанесённый им ущерб наглядно подтверждает, что вина за произошедшее лежит именно на нём. Обращает внимание, что банк пошёл на такой шаг и сделал это публично. При инновационных папередниках в абсолютном большинстве случаев пострадавшим предлагали идти в лес, поскольку-де кража их данных произошла по вине операторов, поэтому все вопросы к ним.

Идея радикально ужесточить или вовсе запретить восстановление неперсонализированных предоплаченных номеро ввиду проблем с их безопасностью является типичным примером популярных в Украине дефектов мышления. Вместо устранения причин, лечения болезни все усилия направляются на борьбу с симптомами.

Государство не может (не хочет, скажем прямо) перекрыть каналы неофициального ввоза мобильных телефонов? Давайте создадим базу IMEI-номеров, будем портить жизнь всем без исключения, пока начинание не заглохнет само собой. Государство не может добиться соблюдения участниками движения скоростного режима? Давайте радикально ужесточим этот режим, чтобы его нарушали уже все поголовно.

Чтобы устранить проблему с безопасностью аутентификации с помощью мобильной связи необходимо принудить компании, которые используют подобные методы, придерживаться несложных правил, изложенных выше. Кто может их к этому принудить - вот вопрос. К сожалению, не стоит рассчитывать на самих операторов. Например, Приватбанк является одних из их крупнейших партнёров в части электронных каналов продаж. Соответственно, у него есть весомые аргументы в любых переговорах. Иногда слишком весомы.

Теоретически порядок могли бы навести надзорные органы, но, как говорится, не очень в это верится. Хотя, конечно, чудеса ещё случаются.


P.S. Мой блог переехал по адресу totaltelecom.dreamwidth.org

Исходная запись доступна по адресу https://totaltelecom.dreamwidth.org/558232.html Вы можете комментировать её там, используя OpenID, т.е. ваши действующие логин и пароль ЖЖ.
Tags: customer satisfaction, Деньги 2.0, критика
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments