Сейчас стало модно везде использовать биометрические данные для авторизации и иногда мы не замечаем как и куда такие данные передаются. Так как у биометрических данных есть такая проблема, что их вообще никак нельзя сменить в случае компрометации, то направо и налево раздавать их не вполне разумно.
В октябре 2023 банк Тинькофф начал предлагать своим клиентам перевести имеющиеся у него фотографии в биометрический формат (и потом загрузить их в Единую биометрическую систему — ЕБС). Причём от этого предложения было не так легко отказаться (для удобства клиентов кнопки "Не хочу" просто не было предусмотрено). Обо всём этом уже писали ранее.
Зачем это всё было надо для Тинькова? Вопрос сложный. Может быть из любви к своим клиентам, может быть чтобы заполнить пустующую ЕБС, может быть для ещё каких-то важных целей, неведомых простым смертным. Только топ-менеджмент Тинькова может дать ответ на этот вопрос, но это нам и не важно. Интереснее, что из всего этого получилось.
В обсуждении к упомянутой выше статье некоторые комментаторы решили попробовать или удалить из Тинькова биометрическую информацию или явно написать им, что согласия они не дают. Идея показалась разумной и мне. Ещё тогда, в октябре 2023, я написал в чат, что хочу удалить биометрическую информацию. Вероятно, я был не один такой, так как бот Олег сам всё понял и сам прислал на мою почту справку о том, что никакой моей биометрии у них нет. Разумеется, согласие на создание биометрии из имеющихся данных (фото и аудио) я Тинькову не давал.
Казалось, теперь можно спать спокойно. Но в Тинькове справедливо решили, что клиент без биометрии — недостаточно счастливый клиент и продолжили посылать пуши с предложением согласиться на обработку биометрии и её передачу за пределы Тинькова. Также в приложении показывались аналогичные предложения, где одно неверное движение и ты уже согласился на всё (делать кнопку для возможности отказа от предложения в Тинькове традиционно не стали).
Внезапно я обнаруживаю, что в конце декабря 2023 на Госуслугах появилась моя биометрия, загруженная из Тинькова. Причём Госуслуги, которые любят присылать всякий спам типа поздравления с днём рождения или просьбы поддержать команду в "Битве роботов", ничего на этот раз не прислали.
Пишу в чат Тинькова вопросы: что за биометрия, откуда взяли, на каком основании загрузили в ЕБС? Получаю крайне интересный ответ:
Хм... Я дал согласие на встрече с их представителем? Это было года два назад, но никак не после того, как я озаботился и попросил удалить мою биометрию. Может быть это вежливый намёк, что у меня плохо с памятью? Ладно, попробуем узнать подробности. Спрашиваю, как так? Ведь в октябре у вас никакой моей биометрии не было (и даже справка от вас имеется), а потом внезапно появилась и к ней даже есть моё согласие на её обработку. Получаю уточнение:
Становится ещё интереснее. Ответ поддержки нельзя трактовать иначе, как то, что раньше у них и правда не было моей биометрии (и даже справка есть), а потом я повстречал их представителя, он меня сфотал и я дал согласие на всё. Прямо-таки отличный вариант, вот только я такого не помню. Примерно как Алан Вейк (в известной игре) написал целый роман Return, но не помнил этого.
Продолжаем выяснение деталей, прошу рассказать когда же это я встречался с представителем, самому ведь интересно стало узнать как это случилось. Пока готовится ответ поддержки, ложусь спать.
На следующий день получаю новую версию произошедшего, не менее интересную, чем первая:
Видимо вариант, что я всё забыл, сочли чрезмерно неправдоподобным и решили переобуться на ходу. Теперь получается, что я дал согласие при входе в приложение (или на сайте — здесь они не смогли определиться). Теоретически такое было вполне возможно, если в очередную версию приложения на экран авторизации добавили надпись тёмно-серым по светло-серому (ну или с использованием любого другого аналогичного дизайна) о том, что я фактом своего логина в приложение на всё согласен.
На всякий случай проверил — нет такой надписи в приложении. Но Тиньков успокаивает меня:
Логично, зачем лишний раз показывать светло-серую надпись на тёмно-сером фоне (или наоборот: тёмно-серую на светло-сером?). Любовь к клиентам, граничащая с гиперопекой над недееспособными, чувствуется в таком подходе. А вдруг бы я сумел прочитать ту надпись и отказался бы входить в приложение?
Впрочем, не понятно, чего они так боялись. Предположим, я бы сумел разглядеть надпись на экране авторизации и не стал бы входить в приложение. И что дальше? На сайте, если верить чату с поддержкой, меня ждала бы та же засада. Как вернуть свои деньги без приложения и без сайта? Правильно! Прийти ногами в единственное на всю Россию отделение банка, которое расположено всего-то в нескольких тысячах километров от меня. Это даже не Сбербанк с их крылатой фразой "в каком отделении вы карту открывали, туда и обращайтесь", у Тинькова альтернатив приложению (и сайту) просто нет.
Внимательный читатель должен был задать вопрос: а откуда в итоге взялась биометрия, которую Тиньков передал в декабре 2023 в ЕБС, если в октябре 2023 её не было (и даже есть справка)? Всё просто:
То есть мою фотку они биометрией не считают, поэтому и выдали справку, что биометрический информации у них нет (и удалить по этой же причине они её не могут). А потом они фотку перевели в другой формат и она внезапно стала биометрической информацией, которую можно сразу загрузить в ЕБС. Всё просто! И, главное, от этого не защититься.
После некоторой ругани с поддержкой, которая терпеливо объясняла мне что всё было сделано правильно и по закону, выхожу на процедуру удаления биометрии из банка. Принимают заявку, через какое-то время мне на почту приезжает новая справка, что всю биометрию банк Тинькофф удалил.
Логично предположить, что через какое-то время приложение снова покажет мне светло-серый текст на тёмно-сером о том, что я фактом успешной авторизации соглашаюсь на всё сразу, что смогли придумать юристы Тинькова, и эта эпопея начнётся сначала.
На тот случай, если у кого-то ровно такая же ситуация, отмечу, что надо ещё удалить свежезагруженную биометрию через Госуслуги. Из ЕБС такая биометрия не удалится (как я понимаю, оттуда вообще ничего удалить нельзя), но хотя бы станет неактивной.
Автор:
mladshij
