Утро. Ничто не предвещает неприятностей (кроме мерзкой погоды). Радостно падают смс на все подключенные к системе номера: «Регистрация в приложении Сбербанк Онлайн для iPhone. Пароль такой-то. Никому не сообщайте и бла-бла-бла». У меня, так, на минутку, филипс на андроиде. Звоню им:
- Добрый день, вот такая смс пришла. Чо делать? Менять адреса/пароли/явки/логин, блокировать карты?
-Добрый день, ща посмотрим... Да не, не парьтесь, входа в систему не было.
- А как вообще такое могло случиться?
- Кто-то хотел зарегистрироваться с таким же логином, как у вас.
- Так у вас же для регистрации сначала требуется номер карты? И система вроде как должна сообщать что такой пользователь уже есть, а не рассылать радостно пароли?
- Нет, зарегистрироваться можно и без номера карты (!).
Ну ладно, может и правда можно, регистрировалась давно, уже не помню… Отвлеклась и забила.
Через два дня. Ем бутерброд, что-то читаю. Брякает телефон: «Регистрация в приложении Сбербанк Онлайн для iPhone. Пароль такой-то. Никому не сообщайте и бла-бла-бла». Давлюсь бутербродом. Звоню:
- Добрый день, фигня повторяется. Вот смс, два дня назад уже было, сказали регистрация с таким же логином. Но я посмотрела, и в приложении и на сайте сначала (!) требуется номер карты. Чо происходит???
- Да, ща посмотрим... Не парьтесь, входа в систему не было, просто кто-то пытается восстановить пароль с похожим логином. Там возможно одна цифра отличается, а пароль человек забыл. Да, конечно, можете сменить логин, можете заблокировать карты, но это точно не опасно.
Ну, ладно… Ради интереса тыкаю «восстановить пароль». Действительно, просит логин и отправляет смс… Но смс с абсолютно другим текстом! Если там была «регистрация», то здесь конкретно «восстановление пароля». То есть сотрудник сбера нес откровенную чушь.
Уже злая звоню в третий раз:
- Добрый день, хочу зарегистрироваться в сбер онлайне, карты под рукой нет. Без номера карты могу я это сделать?
- Нет, не можете. Первичная регистрация исключительно по карте, без нее никак.
- Агааааа!!! А вот ваши сотрудники… (и описываю ситуацию).
- Подождите, щас куда-то переключу вас.
- Добрый день, кто-то пытается влезть в мой сбер онлайн, ваши сотрудники несут полную хрень, чо делать?
- Добрый день ща посмотрим… Но это действительно у кого-то такой же логин как у вас.
- Стоп, что логина там еще нет, мы уже выяснили, это конкретно первичная регистрация, при которой нужен номер карты. Кто-то пытается зарегистрироваться по номеру моей карты?
- Нет, номер карты другой, а вот логин, высланный системой, совпал (???). Система же рассылает их, вот кому-то достался такой же.
- Это вот тот набор букв, который сразу же меняют на что-то нормальное?
- Ну не все же меняют, некоторые пользуются.
- Я поменяла сразу. Хотите сказать что система теперь рассылает длинные сложные логины, на одну цифру отличающиеся от моего?
- Нууууу… возможно в системе остается старый ваш логин, который совпал со свежевысланным владельцу айфона…
- Если у вас в системе хранятся старые давно смененные данные, по которым можно войти, это офигенная дыра в системе безопасности.
- Вы можете его сменить или перевыпустить карту…
- Во-первых, я не знаю, которую карту мне перевыпускать, их две. Во-вторых, непонятно, из-за чего вообще такая ситуация возникла. Допустим, перевыпущу обе карты, заплачу за это, а ситуация повторится. Мне их постоянно перевыпускать? С совпадением логина сразу было понятно, что это чушь какая-то. В третьих, это действительно дыра в системе безопасности, и мне бы хотелось, чтобы это как-то проверили, нашли причины и устранили.
- Ну, вы можете написать обращение…
Что мы имеем по факту:
1) Две попытки взлома или откровенный косяк в системе.
2) Трех (!) даже не почесавшихся по этому поводу сотрудников сбера, выдавших откровенно недостоверную информацию. Лишь бы клиент отвязался и не парил мозг.
3) Предложение написать обращение по этому поводу (нуууу если вам совсем-совсем нехрен делать типа).
Для сравнения: приложение от другого банка сглючило на 1.15 (один рубль 15 копеек). Не подгрузилась информация по пеням на транспортный налог. Один звонок им. Сами зарегистрировали обращение, выковыряли весь мозг – просили скрины, реквизиты и еще какую-то информацию. Перезванивали пять раз. Нашли на следующий же день. Потом еще раз отписались.
Короче лично я сберу на хранение теперь не доверю даже рваное резиновое изделие. Мало ли что…