Site icon Главпост

Вижу все. Зачем ПриватБанку доступ к нашим звонкам и геолокации

Читайте также

Как украинцы расплачиваются смартфонами. Данные ПриватБанка 02.04.2019Кабмин утвердил HR-компании для отбора членов набсоветов банков 27.03.2019Властелин колец. Когда украинцы смогут платить невидимо 07.03.2019

Интересно, что жесткое требование доступа в Приват24 работает только для Android-смартфонов. Владельцы iPhone их могут отключить. “Такие требования у Apple, — рассказывает Назар Грынык, директор агентства мобильного маркетинга LEAD9. — Один из их основных принципов — не собирать никакие персональные данные без разрешения пользователя Они даже ФБР отказали в разблокировке iPhone”.

Другие банки: у нас — выбор

Liga.Tech опросила пользователей и работников Monobank, Альфа-Банка, Ощадбанка и ПУМБ. 

“Все разрешения в нашем приложении запрашиваются только с целью улучшить сервис для клиента. Они не затрагивают работу основной функциональности приложения. Суперобязательных среди них нет”, — говорит Антон Тютюн, заместитель председателя правления Ощадбанка.

По его словам, геолокация устройства приложению нужна, чтобы предоставлять информацию о ближайших отделениях и банкоматах. Еще Ощад 24 просит доступ к СМС, чтобы автоматически из них вытаскивать одноразовые пароли для быстрого подтверждения операций. Доступ к камере — для удобного сканирования номера карты и возможности отправки сотруднику банка сообщений со вложенными файлами.

В Monobank все запрашиваемые права также опциональны и не влияют на разрешение пользоваться приложением, говорит сооснователь продукта Олег Гороховский. От доступа к совершению звонков здесь отказались из-за пугающей формулировки. Гороховский расписывает юзкейсы для остальных разрешений:

“Но если вы включите настройку безопасности “отклонять платежи, если страна не совпадает”, нам нужна геолокация для этой функции. И мы явно запрашиваем ее через API операционной системы”, — резюмирует сооснователь Monobank.

Приложение от Альфа-Банка просит доступ к контактам, чтобы не вбивать руками номер человека, которому вы хотите пополнить счет или перевести деньги. В будущем это хотят задействовать для перечислений клиентам других банков. К памяти телефона — для хранения графических элементов интерфейса и корректной работы некоторых функций приложения.

С геолокацией ОК, Альфа! работает аналогично Монобанку: показать ближайшие отделения и банкоматы, обеспечить безопасность. “Например, если локация клиента критически меняется за короткое время, это сигнал для запуска процессов с целью защиты денежных средств наших клиентов”, — объясняет Илья Боровов, вице-президент, глава управления электронного бизнеса Альфа-Банка Украина. Детали по антифроду здесь тоже не раскрывают.

И да, если отключить доступы, основной функционал приложения все равно будет работать.

Лаконичнее всего получилось с ПУМБ. Судя по скриншоту, приложению для работы вообще не нужны специфические доступы. И ничего, все работает. Правда, откомментировать, влияет ли это на защищенность платежей, в банке до публикации не успели.

Эксперты: безопасность — это важно, но принуждать к ней нельзя

Хорошо, пусть геоданные помогают банкам бороться с фродом. Но как именно?

“Первое — с их помощью система строит ваш обычный «маршрут покупок». Например, вы можете несколько раз в неделю после работы покупать продукты в одном и том же магазине, и так много месяцев или даже лет подряд. Это все учитывает антифрод-система”, — рассказывает Алексей Швачка, эксперт по кибербезопасности, технический директор Октава Киберзахист.  

По его словам, интернет пестрит продажей так называемого «картона», то бишь данными в формате «номер карты, срок действия, CVV». Этих данных вполне достаточно для покупки в интернете. Но если система будет знать, что клиент в Киеве, то затормозит операцию по его карте из Ужгороде или Бангкока и переведет ее в ручной режим.

“Конечно, можно спорить о приватности данных. Но согласитесь, менее приятно быть обманутым мошенником, нежели передать информацию банку о своих перемещениях”, — аргументирует Алексей Швачка.

Ирина Артишук, эксперт по защите персональных данных компании Автор, считает использование точного местоположения излишней мерой.

“Более важный параметр защиты от фрода — IP-адрес, с которого клиент произвел вход в систему или транзакцию. Он же может быть использован для определения приблизительного местоположения клиента — а этого будет достаточно для антифрода”, — считает эксперт. Также можно анализировать историю входов с данного IP-адреса — является ли он доверенным, как, например, адрес домашнего компьютера.

А многочисленные доступы, которые требуют банковские приложения, по мнению Ирины Артишук, могут быть использованы для несанкционированного сбора персональных данных. И банки обязаны давать клиенту выбор.

“Запрашивая доступ, банк должен объяснить клиенту для каких целей или функционала требуется такой доступ. Если банк жестко требует доступ к геолокации, звонкам, СМС, камере, то тем самым он нарушает требования Закона Украины «О защите персональных данных» и GDPR, если банк обслуживает жителей Евросоюза”, — объясняет эксперт.

Алексей Швачка дополняет: современные антифрод-системы даже считывают метаданные ввода текста в онлайн-платежах. Например, скорость набора символов.

“Чаще всего мы сами помогаем мошенникам. У всех есть аккаунты в соцсетях, там есть и место работы, и наши фотографии. По этим данным совершенно спокойно можно узнать местонахождение вашего рабочего места и ваш график. При грамотном использовании этих данных мошенник может «имитировать» вас. И ни один антифрод в этом случае не поможет”, — объясняет эксперт Октава Киберзахист.

Евгений Шишацкий

корреспондент ЛІГА.Tech

Источник: Лига

Exit mobile version