Хитрый-хитрый сбербанк :) (всем разработчикам софта на заметку)
Здраствуйте дорогие мои детишечки, сегодня я расскажу сказочку, как можно заработать много денежек на одной строчке в коде совершенно юридически чистенько. Интересненько???
Вчера заехал я в красивый офис сбербанка попотрошить мою карточку (не сбербанковскую - это важно).
И вроде бы все как всегда, но дьявол кроется в деталях :)
Внимание - 1й экран после пина...
Второй экран - пока ничего не напрягает :)
Я по привычке тыкаю "без чека" и ...... мне выдается 500 рублей с комиссией банка 100 рублей.
"Секундочку" сказал я себе "какого полового? Я же не выбирал сумму?"
Ну я же не зря столько лет инженерю софт и железо - экспресс анализ и вторая транзакция показала еще один экран - с выбором суммы.
Экран 1.5
Хитрость в том, что кнопка "500" находится точно под кнопочкой "выдать налик", и когда я нажал выдать нал - интерфейс завис секунд на 15 спровоцировав меня нажать на кнопку еще раз, и защитав 2е нажатие на экране выбора суммы тем опустошив мой карман на 100р. ибо 5000 которые я хотел снять немного больше чем 500.
Что это, программная недоработка, сбой, или злой умысел и социальный инженеринг?
Экстрополируя сумму 100 р на количество ежедневно обслуживаемых карт сторонних банков, учитывая разветвленную сеть банкоматов сбербанка получается неплохая "стружка"
И ведь решения то на защиту пользователя простые: блочить сенсор экрана от 1го нажатия до открытия страницы. Добавить строчку "к выдаче ХХХ рублей", да просто переместив кнопки нала немного ниже-выше-по другому.
Вот так за 100 рублей я приобрел небольшой опыт тестирования хардварных приложений сбербанка, и составил отчет по "negative testing" c приложением отчета.
Сбербанк!! Жду свою зряпату :)