Читайте также
Как украинцы расплачиваются смартфонами. Данные ПриватБанка 02.04.2019Кабмин утвердил HR-компании для отбора членов набсоветов банков 27.03.2019Властелин колец. Когда украинцы смогут платить невидимо 07.03.2019
Интересно, что жесткое требование доступа в Приват24 работает только для Android-смартфонов. Владельцы iPhone их могут отключить. “Такие требования у Apple, — рассказывает Назар Грынык, директор агентства мобильного маркетинга LEAD9. — Один из их основных принципов — не собирать никакие персональные данные без разрешения пользователя Они даже ФБР отказали в разблокировке iPhone”.
Другие банки: у нас — выбор
Liga.Tech опросила пользователей и работников Monobank, Альфа-Банка, Ощадбанка и ПУМБ.
“Все разрешения в нашем приложении запрашиваются только с целью улучшить сервис для клиента. Они не затрагивают работу основной функциональности приложения. Суперобязательных среди них нет”, — говорит Антон Тютюн, заместитель председателя правления Ощадбанка.
По его словам, геолокация устройства приложению нужна, чтобы предоставлять информацию о ближайших отделениях и банкоматах. Еще Ощад 24 просит доступ к СМС, чтобы автоматически из них вытаскивать одноразовые пароли для быстрого подтверждения операций. Доступ к камере — для удобного сканирования номера карты и возможности отправки сотруднику банка сообщений со вложенными файлами.
В Monobank все запрашиваемые права также опциональны и не влияют на разрешение пользоваться приложением, говорит сооснователь продукта Олег Гороховский. От доступа к совершению звонков здесь отказались из-за пугающей формулировки. Гороховский расписывает юзкейсы для остальных разрешений:
- к хранилищу — для загрузки документов при регистрации или загрузки дополнительных документов в банк;
- к контактам — для идентификации, кто из контактов клиента — клиенты банка, чтобы отобразить их в списке для переводов;
- к геолокации — изначально для отображения ближайших терминалов, отделений и т.д. Сейчас она нужна центру безопасности для защиты платежей. Отключить ее можно, но тогда не будет работать антифрод.
“Но если вы включите настройку безопасности “отклонять платежи, если страна не совпадает”, нам нужна геолокация для этой функции. И мы явно запрашиваем ее через API операционной системы”, — резюмирует сооснователь Monobank.
Приложение от Альфа-Банка просит доступ к контактам, чтобы не вбивать руками номер человека, которому вы хотите пополнить счет или перевести деньги. В будущем это хотят задействовать для перечислений клиентам других банков. К памяти телефона — для хранения графических элементов интерфейса и корректной работы некоторых функций приложения.
С геолокацией ОК, Альфа! работает аналогично Монобанку: показать ближайшие отделения и банкоматы, обеспечить безопасность. “Например, если локация клиента критически меняется за короткое время, это сигнал для запуска процессов с целью защиты денежных средств наших клиентов”, — объясняет Илья Боровов, вице-президент, глава управления электронного бизнеса Альфа-Банка Украина. Детали по антифроду здесь тоже не раскрывают.
И да, если отключить доступы, основной функционал приложения все равно будет работать.
Лаконичнее всего получилось с ПУМБ. Судя по скриншоту, приложению для работы вообще не нужны специфические доступы. И ничего, все работает. Правда, откомментировать, влияет ли это на защищенность платежей, в банке до публикации не успели.
Эксперты: безопасность — это важно, но принуждать к ней нельзя
Хорошо, пусть геоданные помогают банкам бороться с фродом. Но как именно?
“Первое — с их помощью система строит ваш обычный «маршрут покупок». Например, вы можете несколько раз в неделю после работы покупать продукты в одном и том же магазине, и так много месяцев или даже лет подряд. Это все учитывает антифрод-система”, — рассказывает Алексей Швачка, эксперт по кибербезопасности, технический директор Октава Киберзахист.
По его словам, интернет пестрит продажей так называемого «картона», то бишь данными в формате «номер карты, срок действия, CVV». Этих данных вполне достаточно для покупки в интернете. Но если система будет знать, что клиент в Киеве, то затормозит операцию по его карте из Ужгороде или Бангкока и переведет ее в ручной режим.
“Конечно, можно спорить о приватности данных. Но согласитесь, менее приятно быть обманутым мошенником, нежели передать информацию банку о своих перемещениях”, — аргументирует Алексей Швачка.
Ирина Артишук, эксперт по защите персональных данных компании Автор, считает использование точного местоположения излишней мерой.
“Более важный параметр защиты от фрода — IP-адрес, с которого клиент произвел вход в систему или транзакцию. Он же может быть использован для определения приблизительного местоположения клиента — а этого будет достаточно для антифрода”, — считает эксперт. Также можно анализировать историю входов с данного IP-адреса — является ли он доверенным, как, например, адрес домашнего компьютера.
А многочисленные доступы, которые требуют банковские приложения, по мнению Ирины Артишук, могут быть использованы для несанкционированного сбора персональных данных. И банки обязаны давать клиенту выбор.
“Запрашивая доступ, банк должен объяснить клиенту для каких целей или функционала требуется такой доступ. Если банк жестко требует доступ к геолокации, звонкам, СМС, камере, то тем самым он нарушает требования Закона Украины «О защите персональных данных» и GDPR, если банк обслуживает жителей Евросоюза”, — объясняет эксперт.
Алексей Швачка дополняет: современные антифрод-системы даже считывают метаданные ввода текста в онлайн-платежах. Например, скорость набора символов.
“Чаще всего мы сами помогаем мошенникам. У всех есть аккаунты в соцсетях, там есть и место работы, и наши фотографии. По этим данным совершенно спокойно можно узнать местонахождение вашего рабочего места и ваш график. При грамотном использовании этих данных мошенник может «имитировать» вас. И ни один антифрод в этом случае не поможет”, — объясняет эксперт Октава Киберзахист.
Евгений Шишацкий
корреспондент ЛІГА.Tech
Источник: Лига