- PVSM.RU - https://www.pvsm.ru -
Пару лет назад мы делали обзор премиальных банковских карт [1] и обзор как экономить на страховках [2], если нет премиалки. А сейчас мы проанализировали порядка сотни приложений банков на права доступа, которые они требуют при установке их мобильного приложения на андроид. Результаты свели в таблицу [3].
Банковские приложения и сами банки ведут себя очень наглым образом. Уже при установке они запрашивают права доступа, которые им необязательны или совсем не нужны для работы. Например, приложение Сбербанка сразу требует доступ к звонкам и фоткам. Я категорически против. Отказываю. А приложение не хочет работать при таком раскладе.
Банки, конечно, говорят, что всё во благо народа.
Нам же и пенсионный возраст, и НДС повышают по просьбам трудящихся, и даже старого деда до 2036 года продлили. Мы не хотим. А они делают всё, чтобы нам было им проще дать, чем объяснить почему не хочется.
Ответ Сбера [4] просто поражает.
Сбер не одинок. Такая же ситуация и с ВТБ, с которым мы год судимся за закрытие счёта [5].
Ответ ВТБ [6]
Кто-то даёт добро банкам к с своим личным данным не глядя, а потом банки используют эти данные [7].
Когда сталкиваешься со СПАМом целенаправленным и понимаешь, что кое-кто слил персональные данные, то уже начинаешь относиться к ним куда бережнее.
Ещё у нас тут Ситибанк и Совкомбанк отличились, если вы клиент этих банков и живёте за границей, то банк считает, что приложение вам не должно быть доступно.
Мы решили сделать анализ приложений основных банков. Проанализировать три типа мобильных приложений банка:
для физических лиц;
для юридических лиц;
и брокерские приложения для инвестиций в ценные бумаги.
Все сведения мы свели в таблицу [8]. Теперь вы можете заранее выбирать нормальный банк, которые не лезет вам нагло в штаны ваш смартфон за вашими данными.
Скрины тестов [9].
Ситуация не такая уж и угрожающая. Но пока неизвестно куда тренд идёт. Важно, чтобы все клетки в таблице стали зелёными, а не количество красных увеличилось.
Права доступа запрашивают почти все. И в идеале надо зелёными отмечать только тех, кто не запрашивает никаких прав доступа, а жёлтым цветом отмечать тех, кто запрашивает, но работает, если в правах доступа отказано. Если представители банков всё же отреагируют на наши недовольства, то через годик будет уместно повторить тестирование.
И чтобы два раза не вставать поговорим про копии паспортов ещё. Нигде никаким законом не предписано коллекционировать копии паспортов. Смысла в их коллекционировании нет. Например, у нас в ITSOFT были перегибы на местах, когда сотрудники брали копии паспортов, но я это запретил делать категорически.
Рынку вообще нужна система идентификации по одному ИНН+TOTP [10] вместо кучи реквизитов и персональных данных.
Никогда никому старайтесь не давать копии паспортов. Всегда требуйте законное обосновании, чтобы потом кредит на вас не повесили или ещё что, а вам не пришлось доказывать, что подпись не ваша. Если же там упираются, то когда снимаете копию с паспорта нужно приложить 2-3 листочка на пустое место в паспорте с указанием куда предоставляется копия паспорта. Потом такой копией невозможно воспользоваться, если она уйдёт на чёрный рынок. А у вас будет хотя бы теоретическая возможность привлечь виновника к ответственности в суде.
Банки пока в массе не применяют ЕБС (единую биометрическую систему [11]).
63-ФЗ об электронной подписи принят уже лет 10 как. Но банки его игнорируют и упорно не хотят работать с документами подписанными УКЭП, хотя согласно п. 1 ст. 6 63-ФЗ они обязаны. По сути мы уже год с ВТБ за это и судимся.
Пинать и стыдить постоянно банки и всех, кто пытается без нужды получить доступ к нашим данным. Проверьте какие права имеют все ваши мобильные приложения и запретить всё лишнее. Это можно сделать в Настройки → Приложения → Менеджер настроек. Не бойтесь запретить нужные права, если потребуются, потом можно всегда разрешить.
Если вы не пишите видео со звуком из Facebook и Instagram, то этим приложениям не нужен доступ к микрофону.
Если вы используете приложения соцсетей только для чтения и не постите фотки, то и доступ к камере им ни к чему.
Зачем доступ к камере смартфона имеют некоторые банковские приложения вообще непонятно. Ещё они доступ к диску имеют. Они вполне могут работать и без него.
Тем банковским приложениям, которые отказываются работать без прав ставим единицу в рейтингах Google Play, пишем отзывы на банкиру.
С этим нужно что-то делать на законодательном уровне. Отчасти даже сделано — ст. 5 152-ФЗ [12]. Там сказано, что собирать персональные данные можно только те, которые реально нужны. Есть ст. 15 152-ФЗ [13], где запрещено без нашего согласия использовать наши данные для того, чтобы нам что-то впарить. Но банки в своих кабальных договорах уже получают от нас согласие и большинство это подписывает не глядя. Хотя согласно закону мы можем отказать банку в части его хотелок. Тут нужно внимательно читать договор и приложения к нему.
Совсем отвратительно то, что согласно ст. 14 152-ФЗ [14] мы не можем получить информацию об обработке наших данных указанную в п. 7., так как согласно подпункту 3) п. 8 наше право может быть ограничено. Банк же всегда может сослаться, что он залезает к нам в трусы смартфон не чтобы лучше нам рекламу показывать и продвигать свои услуги, а чтобы с терроризмом бороться. Мало ли кто чего не то думает про власть.
Банки ловили уже за руку на утечке персональных данных, но им ничего не было по сути, а пострадавшие клиенты существенных компенсаций не получали.
Сейчас пора предвыборных кампаний начинается. Можно обратиться к депутатам и к кандидатам в депутаты, что есть конкретная проблема. Отличный повод с ними познакомиться. Со своими я знакомился в битве за поправками против судебных приказов [15]. В очередной раз напишу письма со ссылкой на данную статью. Тема очень больная. Статей и откликов много. Давно пора навести порядок в том, какие данные банки могут получать, а какие не могут. Ст. 5 152-ФЗ должна работать, а те, кто без необходимости собирает данные должны за это дело отвечать очень серьёзно и не перед государством, а перед физическими лицами. А то права нарушаются наши, а штрафы собирает государство обычно. В результат я, конечно, не верю, но времени это тоже много не занимает.
В ЦБ РФ жалобы писать бесполезно, они там одни отписки дают, что не вправе вмешиваться в деятельность банков.
Если у вас есть возможность совсем не пользоваться телефонной связью, то лучше не пользуйтесь. Банки почему-то не внедряют общение через Telegram. Мы давно внедрили и всем рекомендуем телебота [16]. Телефонная связь пишется в нескольких местах. Все данные озвученные по телефонной связи почти в открытом доступе. Прослушки сливают регулярно в сеть и к вашим телефонным переговорам имеет доступ большой круг лиц.
Не светите личную мобилу для банков.
В идеале СМС принимать на одном телефоне, а приложение банка на другом.
Совсем в идеале банкам уйти от СМС и сим-карт. Сим-карты бывает и подделывают в смысле перевыпускают незаконно. И СМС-ки дорого стоят [17]. Ведь TOTP [10] куда безопаснее и дешевле. Но банкам, за редким исключением, почему-то проще за смски платить, чем перейти на аппаратные токены. Сейчас начали внедрять некоторые банки программные генераторы кодов, но они инициализируются через смс, т.е. деньги они экономят, а безопасности не дают.
Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.
Приглашаем авторов к сотрудничеству [18].
Автор: Игорь Тарасов
Источник [19]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/blog-kompanii-itsoft/364295
Ссылки в тексте:
[1] премиальных банковских карт: https://vc.ru/finance/77314-premialnye-karty-bankov
[2] как экономить на страховках: https://vc.ru/finance/142537-kak-sekonomit-na-strahovke-turista
[3] свели в таблицу: https://docs.google.com/spreadsheets/d/1bdguh4vZcsRkzDE-Tb6dnyBK1WdP_pI2Kv9TWSsSd-U/edit?usp=sharing
[4] Ответ Сбера: https://www.facebook.com/itsoft/posts/4247804941896981?comment_id=4247825408561601&__cft__%5B0%5D=AZXemsLJC-pDkhI1s3FBt3cHy-lm3u2O1DZORBjC5WOd-dn_3QqCT_P173BYY7aqgrXIjxMuyIpC26RmINasPq5r03M-TcVdhUO3Vzf5wRHLXeAYPCw1hon29oVCB0dKdSZE0e8ZeEL3dHY-0GaJJkuB&__tn__=R%5D-R
[5] год судимся за закрытие счёта: https://habr.com/ru/company/itsoft/blog/509680/
[6] Ответ ВТБ: https://vc.ru/claim/194267-vtb-ne-vpuskaet-v-prilozhenie-bez-dostupa-k-zvonkam-i-kontaktam?comment=2380826
[7] используют эти данные: https://vc.ru/claim/244461-prilozhenie-sberbanka-ne-rabotaet-bez-dostupa-k-fotografiyam-i-zvonkam?comment=2779211
[8] свели в таблицу: https://docs.google.com/spreadsheets/d/1bdguh4vZcsRkzDE-Tb6dnyBK1WdP_pI2Kv9TWSsSd-U/edit#gid=0
[9] Скрины тестов: https://cloud.mail.ru/public/vG7i/hGthJF2bb
[10] TOTP: https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
[11] единую биометрическую систему: https://bio.rt.ru/
[12] ст. 5 152-ФЗ: http://www.consultant.ru/document/cons_doc_LAW_61801/96fbc469f91f57235cc842a85e0516a99f23dc85/
[13] ст. 15 152-ФЗ: http://www.consultant.ru/document/cons_doc_LAW_61801/5656527e0713bf229a6932ac7084dec50d0ebe1f/
[14] ст. 14 152-ФЗ: http://www.consultant.ru/document/cons_doc_LAW_61801/34585db685164ddd73440bf08348903bff6715aa/
[15] поправками против судебных приказов: https://habr.com/ru/company/itsoft/blog/553052/
[16] рекомендуем телебота: https://telebot.im/
[17] СМС-ки дорого стоят: https://habr.com/ru/company/itsoft/blog/543166/
[18] Приглашаем авторов к сотрудничеству: https://docs.google.com/document/d/1TQoTsLZ4f0gXxNVx-EMhBbnrM2UMM7hv-xBTNOLs91M/edit
[19] Источник: https://habr.com/ru/post/557504/?utm_source=habrahabr&utm_medium=rss&utm_campaign=557504
Нажмите здесь для печати.