💳 monobank передає Дії виписки за вашими рахунками ФОП
TL;DR: monobank додав Дію до вайтліста компаній, що можуть отримувати дані, що становлять банківську таємницю.
Я помітив, що в Дії з’явилися слайдери «Дозволити синхронізацію з банком по рахункам ФОП». Вони містяться у детальній інформації про ваш ФОП та на першому екрані подання декларації.
Я понатискав їх, очікуючи отримати від моно стандартний запит на надання третій компанії доступу до моєї конфіденційної інформації. Ба більше, я хотів дізнатись, які саме дані запросить Дія, бо «синхронізація» — надто широкий термін.
Але монобанк не питав дозволу. Він просто передав дані через те, що я ввімкнув слайдер у сторонньому додатку.
Ці дані, а саме повні виписки за вашими рахунками ФОП передаються у відкритому вигляді на сервери Дії. Вони містять:
- ваші ПІБ
- дату народження
- ІПН
- дані про паспорт (серія/номер)
- адресу реєстрації
- усі транзакції
Захищеність цих даних гарантується виключно Дією, а як ми пам’ятаємо, «роль кібербезпеки трохи перебільшена».
З цього приводу виникає два питання:
- monobank, чому всі, хто користуються вашим API, мають спитати дозвіл у Клієнта у додатку, перш ніж отримати доступ до його виписки, але для однієї компанії є виключення?
- Наскільки я пам’ятаю, команда Дії багато разів заявляла, що не зберігає даних користувача. Де ж тоді зберігаються виписки?
Тим, хто дочитав сюди, бонус: цього місяця анонсовано початок піврічного баґбаунті Дії.
22 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів