1

Тема: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

История эта длится уже полгода и связана с раскрытием персональной информации одним из московских банков. Поскольку до конца ошибка не ликвидирована, я не буду указывать, какой именно банк имеется в виду. По этой же причине сканы документов здесь не выкладываю, но «у меня их есть».
Пополняю счет в этом банке я регулярно, через кассира-операциониста, никаких особых сложностей не испытывая. Интересно и то, что при внесении денег от вносителя обычно не требуют документов — достаточно знать ФИО получателя и тип карточки (могут спросить номер, но такого я не упомню). В особо запущенных случаях (если получателя зовут Кузнецов Иван Иванович) могут еще спросить дату рождения. Не секьюрности ради, а чтобы ошибку не допустить и получателей не перепутать.
Так вот, подхожу я к кассиру, называю свою фамилию, тип карточки, сумму, вношу деньги и ухожу довольный. И уже дома вижу, что на выданном мне приходном ордере помимо ФИО и реквизитов счета гордо красуются мои паспортные данные. Версия, что кассир узнаёт меня в лицо, была отвергнута и в мою душу начали закрадываться смутные сомнения…
«Мы не сделали скандала...» (с). Сначала был проведен тест. Я пошел в другой офис банка и пополнил карточку своего товарища (клиента того же банка). Сработало, мой паспорт даже не спросили, а на ордере красовались паспортные данные друга. Повторив трюк в других офисах (чтобы исключить человеческую ошибку и некомпетентность кассиров) мы стали думать — что делать дальше.
Сначала было вежливое послание с описанием бага на info@<сайт банка> и фразой «Для департамента безопасности» в теме письма. Тишина. Потом такая же цидуля ушла в ИТ-департамент. Тот же результат. И я решился отправить заявление в свободной форме через интернет-банк.
Тут начинается главная хохма. Не поленюсь и частично процитирую переписку…
Мое первое послание:
<...> Довожу до вашего сведения информацию об имеющейся недоработке в ПО банка, позволяющей получить доступ к персональным данным клиента банка. А именно: при пополнении счета клиента вносителем в приходном ордере печатаются паспортные данные клиента. Таким образом можно узнать паспортные данные любого владельца счета в банке <...>. Для этого достаточно обратиться в любой офис банка и попросить пополнить счет интересующего лица, назвав его ФИО. После выполнения операции кассир выдаст приходный ордер, в котором будут указанные паспортные данные владельца счета. <...> Интересно, что при обычном пополнении счета (от его владельца) на ордере указывается точно такая же информация. Это позволяет предположить, что в ПО банка просто не предусмотрен отдельный сценарий пополнения счета от вносителя и кассиры проводят эту операцию так, как будто деньги вносит владелец счета. Прошу изыскать возможность в кратчайшие сроки ликвидировать эту уязвимость, поскольку может произойти утечка данных и, как следствие этого — иски в адрес банка от пострадавших лиц <...>
Ответили мне в традиции государственных учреждений.
Вопрос был об одном, а из банка отвечают про другое:
Уважаемый <...>! Для проведения третьим лицом пополнения Картсчета, вносителю необходимо, кроме того, чтобы передать денежные средства, также назвать полностью ФИО владельца Картсчета, а также при необходимости сообщить сотруднику Банка номер карты или номер Картсчета клиента. Указанная информация может быть получена только у владельца счета с его согласия. С уважением, ОАО АКБ <...>
То есть если я сам даю вносителю номер карточки — значит верю ему как самому себе. Ага, и ключ от квартиры… Я несколько обозлился, поскольку такие отписки можно получать от районной поликлиники, на худой конец — от Почты России, но не от коммерческой организации.
Отвечаю банку:
Похоже, вы не уловили суть проблемы. Если я, как владелец карты даю ее номер третьему лицу, чтобы оно осуществило пополнение, я, естественно, делаю это добровольно. Но я НЕ ХОЧУ чтобы после завершения операции пополнения это третье лицо получило еще и мои паспортные данные. А на практике так и происходит (они печатаются на приходном ордере). Получается, что третье лицо получает от банка мои паспортные данные, притом что я разрешения на эту передачу не давал. Налицо утечка персональной информации по вине банка.
И в конце концов мы вроде бы приходим к желаемому консенсусу.
Из банка пишут:
При внесении денежных средств на Ваш счет в офисе Банка от третьих лиц в приходно-кассовом ордере будут отражаться паспортные данные вносителя.
Я вроде бы обрадовался, но глаз зацепился за фразу «внесении на ВАШ счет...». В любом случае, новую фичу необходимо протестировать. Засылаю супругу положить 50 рублей на мою карточку и с замиранием сердца жду результата. И здесь начинается натуральное шапито.
Обычно операция пополнения занимает максимум десять минут. Через 10 минут на телефон падает смска о пополнении, однако жена не возвращается. Проходит полчаса и я уже начинаю напрягаться — а вдруг ее повязали за незаконное финансирование чужих счетов? Наконец, супруга возвращается и с диким смехом рассказывает мне, что произошло.
После того, как она назвала ФИО получателя и дала деньги, счет сразу пополнили. И выдали ей приходный ордер с моими паспортными данными (т.е. все как раньше). Но внезапно кассирша занервничала, что-то стала читать на мониторе и попросила вернуть ордер. Далее операцию сторнировали (это я потом увидел в выписке) и провели заново. Результатом стал еще один приходный ордер, но уже с паспортными данными вносителя, как и было обещано.
PROFIT? Нет. Уязвимость закрыли, просто поставив сообщение на моем счете. Думаю, что оно выглядит примерно так: «Клиент — зануда, при внесении на счет печатать в ордере паспортные данные вносителя».
Но изначальная уязвимость-то не закрыта! И любой мошенник, зная ФИО человека и располагая сведениями о том, что он имеет счет в этом банке, может получить его паспортные данные. А если повезет — еще и адрес прописки, поскольку иногда при внесении денег кассир произносит его вслух и спрашивает: «Этот адрес, верно?». В общем, радость моя была недолгой, хотя собственные личные данные я вроде как защитил.
Вот и вся история.
Источник http://habrahabr.ru/post/234833/

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

2

Re: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

Я дал знакомому номер моей карты, чтобы он мог перевести мне деньги.
Знакомый сделал перевод и получил квитанцию.
В его квитанции оказались указаны мои паспортные данные (см. скан квитанции под катом).
Я сообщил о проблеме на странице www.facebook.com/sberbank, получил рекомендацию написать на адрес zabota@sberbank.ru
17 сентября я отправил на этот адрес описание истории и вопрос:
«Сообщите пожалуйста, почему и как в квитанции оказались мои паспортные данные и, таким образом, произошла передача моих персональных данных третьему лицу?»
Прошло почти 2 недели, никакого ответа я так и не получил, поэтому начинаю размещение открытых сообщений.
Я считаю, что важно, чтобы максимальное количество клиентов Сбера узнало о том, как банк относится к их личным данным.
UPDATE — NB: А в Альфа-клике Альфа-Банка оказывается можно узнать ФИО и номер счёта клиента, зная лишь имейл или телефон (откройте печатную форму после перевода). Гуляй, Рассея!
UPDATE — Сбербанк:Сотрудник банка сообщил, что это и ошибка оператора и ошибка в софте:
beskov, как и обещал, возвращаюсь с результатами. Уже сейчас можно сказать, что Ваш отзыв оказался очень полезным для Сбербанка. В результате тщательного анализа этого случая нам удалось выявить не только ошибку операциониста, но и дефект ПО, устранение которого позволит предотвратить возможность возникновения таких случаев. Поэтому позвольте еще раз поблагодарить Вас за сигнал.
Источник http://habrahabr.ru/post/195718/

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

3

Re: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

А причем здесь 115-ФЗ?

С уважением,
Ермаченков Алексей

4

Re: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

При том, что фактически осуществляется перевод денежных средств между физическими лицами без открытия счета без идентификации

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

5

Re: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

Dmitry Leviev пишет:

При том, что фактически осуществляется перевод денежных средств между физическими лицами без открытия счета без идентификации

Ну так там может сумма перевода была меньше 15 тыс., тогда идентификацию проводить не обязательно.

6

Re: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

Хм, я это отнес к исполнению операции согласно статьи 10 161-ФЗ в редакции от 01.08.2014

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

7

Re: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

С моей точки зрения статья 10 161-ФЗ (Порядок использования электронных средств платежа при осуществлении перевода электронных денежных средств) к рассматриваемым случаям не применима. В рассматриваемых случаях происходит пополнение счета в офисе банка, а не перевод денежных средств.

С уважением,
Ермаченков Алексей

8 (2014-08-29 12:15:20 отредактировано Oksana.VB)

Re: Примеры нарушения 152-ФЗ, 42-Т и 115-ФЗ в банке

Dmitry Leviev пишет:

Хм, я это отнес к исполнению операции согласно статьи 10 161-ФЗ в редакции от 01.08.2014

Не, там однозначно не электронные денежные средства, т.к. электронные предполагают, что по ним распоряжения могут передаваться "исключительно с использованием электронных средств платежа", а тут товарищ сам лично в кассу пришёл.
Хотя и по электронным ДС тоже можно без идентификации, если 115-ФЗ позволяет. Новая редакция - про упрощённую идентификацию, но возможность проводить операции вообще без идентификации осталась.