А-ха-ха... ну вы уже знаете что я дальше буду писать. "Жооопу", - кричат гусары (© из анекдота про поручика Ржевского). На самом деле тезисов на этот раз несколько, и они не связаны между собой.
... Так исторически сложилось, что к одному и тому же номеру телефона оказалось привязаны два банковских аккаунта: мой в Синькове и дядин в Сбебранке. Я что-то совсем забыл про это, и подключил к обоим СБП (систему быстрых платежей). Зашел в аккаунт дяди, перевел себе по номеру телефона. Идиотская ситуация: как будто бы деньги человек послал сам себе, но на самом деле Иванов перевел Сидорову. Что интересно, тестовые 100 рублей таким образом дошли. Но...
... Следите за руками дальше. При подключении СБП некоторые банки требуют согласиться с передачей персданных в НСПК (национальная система платёжных карт). Получается, что туда улетают пресловутые персональные данные двух разных человеков с одним и тем же номером телефона, который по сути играет роль primary key. Что случится с базой данных НСПК при этом? Не знаю. Может и ничего. Только кто ж об этом расскажет. С одной стороны, деньги, как я уже упомянул выше, дошли. А с другой...
... У СБП есть такая интересная фича: выбор банка по умолчанию. То есть когда у условного Васи есть счета в разных банках, и он хочет чтобы после ввода номера телефона получателя Петей последнему не приходилось бы выбирать ещё и банк назначения. А теперь представьте, что сначала я установлю банк по умолчанию, потом мой дядя. Потом снова я. Номер телефона-то один и тот же. Если кто-то третий всерьёз возжелает отправить по этому номеру деньги или же будет делать это регулярно, он скорее всего о**еет заживо.
... Ну ладно. Следующий вопрос. Конкретно в рассматриваемом примере хотя бы банки разные. А если бы "до кучи" ещё и мой Сберовский аккаунт вдруг оказался бы привязан к тому же самому номеру телефона? Не знаю и даже не хочу проверять. Но ситуация вполне реальная, мне известны случаи, когда несколько разных клиентов Сбера указывают один и тот же номер телефона (например, пожилые родители указывают номера детей / внуков).
... Вот всегда говорил и говорю: привязывать что-либо к номеру телефона - крайне плохая идея. А уж использовать его в качестве основного идентификатора - тем более. Особенно учитывая тот факт, что номер (именно номер) абоненту не принадлежит. И даже оператору не принадлежит. Единственный известный мне банк, который хотя бы предоставляет клиенту выбор какие сервисы к каким телефонным номерам присобачивать - это "Авангард". Все остальные в этом плане - форменные пидорасы, включая и "Синькова", и НСПК. Ну вот откуда у них у всех берётся такая святая уверенность в том, что:
- человек может использовать один и только один номер телефона;
- несколько разных человек не могут использовать один и тот же номер телефона,
а?
Тогда уж продавливайте закон, что при рождении человеку выдаётся этот самый номер телефона, который до конца жизни остаётся с ним. Только зачем, когда и так есть СНИЛС? Печатайте его на всех документах, включая паспорт и проездные билеты, тогда гражданин его рано или поздно выучит наизусть, без вариантов.
По СБП проехался. Теперь по Сберу. У них какие-то очередные нововведения по "безопасности".
... Всегда переводил пенсию с дядиного банковского счёта на свой внутренним переводом по реквизитам через "сверхлимитные шаблоны" (это такая фича у Сбера, про которую мало кто знает, включая Маринок в кал-центре самого Сбера). В этот раз решил проделать то же самое через СБП. Ага, хрен там, "подозрительная операция заблокирована и бла-бла-бла, позвоните 900".
Позвонил. На удивление, общаться с живым человеком не пришлось. "Нажмите 2, нажмите 3, нажмите 1, сейчас вам продиктуют цифры, нажмите их на клавиатуре, чтобы убедиться что вы не робот". Сделал. "Через пять минут повторите платёж, его не будут блокировать". Ладно. Мораль: клиент за**ался, но от выпуска дубликата SIM-карты эти меры "безопасности" не спасают вот ни разу.
... Потом я чё-то засомневался, смотри первые три абзаца. Решил для начала перевести 100 рублей, для пробы. Долетели, всё нормально. Тогда отправил всё остальное, что было на счёте. Далее смотри пункт 1: "подозрительная операция заблокирована, доступ в онлайн-банк заблокирован, ждите звонка в течение получаса". Шо, опять?!?
И ведь позвонили. Устроили допрос с пристрастием. Особенно мне понравилось: "сколько полных лет тому, кому вы переводите". А что, у них есть такая инфа даже через СБП между разными банками? Ну охренеть! То есть Сберовская Маринка может узнать возраст клиента другого банка? Защита персональных данных на "5+", мне нечего добавить (сарказм). Дальше: "сколько этажей в доме, в котором вы постоянно проживаете". Гы, видать по какому-нибудь дубль-гис смотрят. Главное, чтобы в нём инфа была актуальной, а то ведь срублюсь на таком простом вопросе (сарказм). Но Маринка всё сомневалась. "Какой орган выдал ваш паспорт?" Ну естественно, я назвал. Потом стопицот предупреждений о том, что не надо покупать криптовалюту или соглашаться на предложения инвестировать куда-нибудь. И до кучи "а вы можете назвать модель телефона, на котором установили Сбербанк Онлайн?" Я-то могу. А вот моя мама, например, вряд ли ответит.
Короче, со второй попытки мне таки удалось перекинуть деньги. Но Сбер в своём репертуаре. Уже несколько лет перевожу похожие суммы одному и тому же пациенту (то бишь от дяди себе), и ничего. А тут решил сделать то же самое, но не внутрибанковским переводом, а через СБП, и на тебе, получи допрос с пристрастием. А во-вторых, ну какой реальный толк от всех вот этих "дополнительных идентификаций"? Если потенциальный злоумышленник знает о своей жертве достаточно много, то ему не составит труда ответить на все эти вопросы. Или если социальной инженерией жертве конкретно прокомпостировали мозги - тем более.
Суки. Лучше бы аутентификацию по DSTK-апплетам или tOTP прикрутили, чем всем этим производственным онанизмом заниматься. А для задротов вроде меня по ЭЦП с ключами на ruToken-е.
... Ну чо, все уже перевернули календарь?
... Пользуясь моментом. Ни у кого случайно не завалялось ненужного кронштейна для Cisco Aironet 1140? На Ali он тыщу рублей стоит, жаба душит. А может кто-нибудь спит и видит как бы выбросить гигабитный PoEшный коммутатор портов хотя бы на восемь, а?