Дырка ли в межбанковской системе быстрых платежей (СБП)?
С женой являемся клиентами банка Тинькофф и ВТБ. Сегодня перевел с Тинькофф на Тинькофф ей некоторую сумму денег. Перевод делал по номеру телефона, выбрав в мобильном приложении номер, помеченый как "Тинькоффский". Перевод произошел успешно.
В ту же минуту ей прилетело СМС от ВТБ о том, что ей был сделан перевод, но банк ВТБ не смог его зачислить.
На что она сказала: - "Теперь я уверенна, что получаю такое сообщение от ВТБ каждый раз, когда ты мне делаешь перевод с Тинькофф на Тинькофф".
Я тригернул.
Проверил несколько последних переводов. Дата и время перевода с Тинькофф на Тиньков совпадает с датой и временем смс от ВТБ.
Получается - ВТБ вкурсе, что я делаю внутренние переводы в другом банке? В смс не пишут сумму и никаких других подробностей, но не факт, что сторонний банк не знает о внутреннем перемещении средств в другом банке.
Писал в поддержку Тинькофф от себя типо- "что за дела, к вам подкрались сзади и хулиганят? А только ВТБ знает, или все другие 100500 российский (и не только) банков тоже? А мошенники тоже знают?"
Сначала поддержка мазалась, что у них с безопасностью все впорядке, данные не уходят из банка и предлагали обратиться в ВТБ (!?!?! что!?!?), после чего были огреты по голове парой скриншетов - моих переводов и смс от втб, которые совпадают по времени. В итоге, по ходу дошел до безопасника, и там уверили, что через пару дней предоставят ответ о причинах утечки данных (как минимум факт и момент перевода стал известен стороннему банку).
Писал с телефона жены в поддержку ВТБ. Ситуации всей не обьяснял, а просто спросил что это за смс такое пришло и почему. Предложили подключить СБП (в Тинькофф они подключены, а в ВТБ нет). Так же сообщили, что подробностей перевода банк не знает, так как перевод не прошел. Темнят. Предлагают сходить в отделение и выяснить информацию там. Грубят, короче.
Врет ли ВТБ, о том что не знает подробностей о переводе? Тоесть до них долетело, что кто то хочет перевести денег их клиенту, но не знают кто? Я в это не верю. Они знают детализацию, а их система не правильно отфильтровала перевод и вместо тишины, послала уведомление о не прошедшем переводе.
От куда ВТБ вообще узнал о переводе, который произошел в другом банке между клиентами этого другого банка?
В какой системе дырка, или у кого слишком блинные руки и глупая голова?
Я понимаю, что спецслужбы и налоговая имеют доступ (пусть и по запросу суда) к СБП (это вообще единая система? государственная?), но почему один банк имеет доступ к информации о внутренних переводах в другом банке?
Чей косяк? Есть ли смысл доводить дело до судов?
Армянское Радио,самсунг галакси s10e, a50 - все обновления.
думаете, ВТБ читает внутриаппные пуши тинькова(смс он не шлет)?
Но даже если и читает, зачем тогда слать такое не подходящее смс? Даже если клиентское ВТБ прочтет пуш от Тинькофф и подумает, что это ВТБшный пуш, то запрос на сервак ВТБ все обьяснит.
Смс же я получаю по другому каналу - бэкенд втб делает логику и шлет смс. Тут от клиентского приложения ВТБ мало что зависеть может.
alotofQ , что будет если отправлять очень маленькие суммы, меньше половины доступного лимита на отправку? до ВТБ дойдет?
А кому вообще должен был бы прийти перевод то тогда? ведь для перевода должно быть достаточно номера телефона, и если у человека есть счета сразу в нескольких банках то...
совет, срочно открывайте счета в кучи банков и начинайте долбить систему переводами, вдруг где то зачисления сдублируется ;)
p.s. либо анализом транзакций всей страны на практике занимается втб, либо СБП немного коряво реализовали шифрование данных о транзакциях и к примеру броаткастят всем банкам все транзакции, раздав при подключении клиента ключ дешифровки, а там все пытаются провести зачисление но оно обламывается потому что кто первый съел тому и тапки
rPman, в системе быстрых переводов есть информация о всех подключенных к номеру банках и можно выбрать желаемый (и ожидаю, что другие, не выбранные банки, о переводе не узнают).
Вообще, тоже появилась мысль, что если СБП подключить в ВТБ тоже, то на счет в ВТБ тоже сумма упадет, в таком случае, если у меня, как у отправителя, сумма бы 2 раза не снялась, то это был бы забавный способ удвоить сумму на счете - снять у получателя налом, вернуть нал мне на счет и провернуть еще n-ое количество раз, но за экономическое преступление сидеть не хочется.
Даже если анализом транзакций СБП занимается ВТБ (так это единая система?), то это должен быть какой то очень закрытый сервис, без предоставления доступа к операциям для какого либо анализа Банком ВТБ.
Я участвовал во внедрении СБП для банка ВТБ. Скажу кратко, все переводы СБП проходят через систему НСПК. И она по номеру телефона ищет клиента в указанном вами банке получателя. Вероятно косяк именно там.
rPman, как именно устроена на стороне НСПК, не скажу. Я работал на стороне банка. Но алгоритм примерно такой:
- Клиент выбирает получателя по номеру телефона;
- НСПК возвращает список доступных банков, подключенных к СБП;
- Клиент выбирает в какой банк перевести деньги:
Если клиенту ни разу не переводились деньги, то произойдет его регистрация в системе НСПК.
Иначе будет предложено выбрать доступный банк.
- НСПК отправляет запрос в банк получатель по клиенту и возможности перевести деньги;
- Банк получатель по номеру телефона ищет клиента в своей системе.
- Если клиент найден, то проводится подготовка к транзакции и отправляется ответ в НСПК;
- Отправителю прилетает СМС с кодом.
- Завершение транзакции и окончательный перевод денежных средств.
Если в течение 20 минут СМС не будет отправлен, то транзакция откатывается.
Евгений Корякин, перечень данных не был секретом для программистов. И все даже описано в БТ.
Мы в команде отлаживали кучу кейсов с разными видами платежей и с разным набором данных.
Какой именно набор данных я уже не помню. Это было в 2019 году. И работаю я уже в другой компании.
Но основным идентификатором клиента между банком и НСПК - это его номер телефона.
На самом деле происходит чуть иначе, но часть логики верна.
Список доступных банков - статичный справочник, который синхронизируется раз в день.
Сам перевод состоит из трёх итераций:
1. Проверка установленного банка по умолчанию - в этот момент идет запрос из банка отправителя в НСПК и НСПК проверяет, устанавливалась ли пара между номером телефона и приоритетным банком (делается клиентом в банке, куда он хочет приоритетно получать деньги). Каждая смена перезаписывает банк по умолчанию в НСПК.
Если банк найден, то в форме отображается приоритетный банк для перевода с возможностью перевыбора. Если не найден, то просто список банков отображается.
2. Проверка клиента в выбранном банке.
На этом шаге клиент уже выбрал какой-то банк из списка и перешел на шаг дальше. Происходит запрос через СБП/НСПК в банк получателя и банк получателя в течение трех секунд проверяет есть ли клиент с таким номером телефона и можно ли ему потенциально перевести средства, если да, то отправитель уже видит усеченное ФИО получателя в интерфейсе своего банка, из которого он делает перевод.
Если клиента не найдено или у него не включен СБП, то отправитель видит ошибку (некоторые банки отправители могут глубоко разбирать ответ получателя и выводить причину, по которой перевод по такому телефону невозможен (например, как делал Тинькофф с инструкцией по подключению СБП в Сбере).
Ну а ВТБ, получив такую попытку - отправляет уведомление по требованиям НСПК (на базе кого вся тех. платформа СБП)
3. Подтверждение перевода
Если отправитель убедился, что ФИО получателя совпадает, то он подтверждает перевод и перевод летит от отправителя до получателя через НСПК.
Таймаут между шагом 2 и 3 - максимум 3 минуты, так что если между шагом 2 и 3 клиент ждет более трех минут, то такой перевод не сможет осуществиться.
В сценарии у топ банков (которым чужды требования регулятора и НСПК как тех. платформы) есть отклонения, кто-то кэширует список банков, кто-то делает фоновые запросы, чтобы узнать в какие банки реально можно сделать перевод. Раньше я был уверен, что большинство именно кэширует информацию и поэтому мы в Тинькофф видим почти весь перечень банков, которые есть по этому номеру телефона.
Но пример автора говорит, что и в онлайне фоновые запросы могут иметь место, что очень дико...
На самом деле 99% дело происходит так.
Т.к. в Тинькофф форма перевода по номеру телефона общая, то при вводе номера телефона Тинькофф автоматически в фоне делает запросы по СБП в банки, подключенные к СБП, это нужно, чтобы вывести в интерфейсе Тинькоффа банки, в которых у клиента получателя еще есть счета.
А по требованиям НСПК если в идет попытка перевода в банк, который подключен к СБП, но клиент не дал своего согласия на получение переводов в рамках СБП - банк получатель должен оповестить клиента (не все банки следуют этому требованию - пример Сбер), что ему пытались сделать перевод и ему надо "подключить СБП".
Поэтому если искать виноватых, то скорее проблема в Тинькофф, что он пытается сделать клиентский сервис, супротив рекомендациям/требованиям НСПК и делает фоновые запросы.
ВТБ тут всё честно делает.
Спасибо за разъяснение. Мне иногда приходят такие смс от ВТБ. СПБ не подключен ни в одном банке. Теперь понимаю, что кто-то по ошибке (?) указывает мой номер телефона в форме отправки...
Если делаете по Сбп платеж то там просто запрос в сбп где берется список всех банков привязанных к номеру и они получают инфу что есть какой то платеж и оповещают что не смогли и подключите сбп.
Логично внутри банка переводить только по номеру счета или номеру карты. И лишний раз в сбп не палиться
Дыра в банках есть и видимо не малая. Со мной был случай. Я впервые оформлял карту Альфа-банка и буквально на следующий день мне начали звонить некие люди, представившиеся сотрудниками Альфа-банка, назвали меня по имени отчеству, сказали что на мой счет в Альфа-банке был запрос на оформление кредита на кругленькую сумму, и спросили подтверждаю ли я операцию? До этого из Альфа-банка мне ни разу никто не звонил. У меня сразу закрались сомнения в подлинности звонка, и я попросил назвать полное ФИО "сотрудника", а так же назвать отделение Альфа-Банка в котором он работает. Он все это назвал, и после этого я сказал ему, что сейчас сам позвоню в это отделение и проверю эту информацию, на что он быстро бросил трубку. Потом проверил личный кабинет, естественно никаких заявлений на кредит не было. Лично я вообще никому не сообщал, что оформил карту в Альфа-банке. Потом звонили какие-то люди, пытались навязать карту рассрочки какого-то неизвестного банка, при этом они уже откуда-то знали что у меня есть карта определенной платежной системы определенного банка. Откуда они узнали эту информацию? Простите, но в такие совпадения я не верю. В банках явно есть брешь, либо кто-то оперативно сливает информацию третьим лицам и это крупнейшие банки страны.