Дыра в безопасности в подписке СберПрайм и авторизации через Сбер ID
Написал только что письмо о ней в письме в Сбербанк. Дублирую тут о проблеме. Суть проблемы и её степень опасности в целом понятна из письма.
Письмо на help@sberbank.ru
Добрый день.
Час назад я купил подписку СберПрайм, в основном для получения скидки в магазине Самокат и в такси Ситимобил.
И столкнулся с явной недоработкой (ошибкой) в работе механизма идентификации Сбер ID, из-за которой я теперь не могу авторизоваться через Сбер ID ни в приложении Самокат, ни в приложении Ситимобил.
Рассказываю по порядку.
После того, как я купил подписку Сберпрайм, я успешно вошёл в приложения Ситимобил и Самокат под iOS через Сбер ID.
Но обнаружил, что оба приложения почему-то "подцепили" там не мою учётную запись с номером телефона XXXX, под которой я был зарегистрирован и в Ситимобил, и в Самокат, а учётную запись моей жены с номером телефона YYYYY!
И там, и там я смог видеть её заказы, историю, переписки с поддержкой и т.п., что вообще-то не очень-то секьюрно. Хорошо ещё, что это моя жена, и у неё нет от меня секретов.
Тогда я пошёл в свой личный кабинет Сбер (не Сбербанк, а именно Сбер) и увидел, что в профиле почему-то выставлен телефон моей жены. И тогда я понял, что именно он и передаётся при авторизации через Сбер ID сервисам типа Ситимобил, Деливери Клаб, Самокат и т.п.
Я начал разбираться, почему в Сбер выставлен неправильный номер (я его точно не вносил) и выяснил, что он берётся из графы "Дополнительный номер для связи" профиля Сбербанка (не Сбера, а именно Сбербанка), в котором Сбербанк просит оставлять телефоны знакомых, жён и т.п. на всякий случай, а не из графы с основным моим номером. Т.е. у меня в профиле был указан мой основной номер и номер супруги в качестве доп.номера для связи, и Сбер ID при авторизации зачем-то передаёт сервисам вот этот дополнительный номер, который может оказаться, скажем, номером друга, брата и т.п. И получается, если бы там был номер друга, я бы авторизовался на стороннем сервисе через Сбер ID под чужим аккаунтом и видел бы все его данные. Это явная дыра в безопасности.
Теперь перехожу к моей личной проблеме. Я удалил дополнительный номер в профиле Сбербанка и оставил только основной. После этого, в профиле Сбер номер успешно обновился.
Но!
Теперь меня с авторизацией Сбер ID не авторизовывает ни Самокат, ни Ситимобил. И там, и там - я получаю ошибку авторизации. И подозреваю, что это связано с тем, что эта учётная запись Сбер уже привязалась где-то у них к неправильному (не моему) аккаунту и не перепривязывается к моему.
В итоге из-за этой ошибки у меня есть подписка, но я не могу воспользоваться скидками в сервисах, т.к. меня туда не пускает.
Что делать?
P.S. И передайте, пожалуйста, информацию о данной дыре в безопасности своим айтишникам.
Показать полностью
