Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 5
×

💳 monobank передає Дії виписки за вашими рахунками ФОП

TL;DR: monobank додав Дію до вайтліста компаній, що можуть отримувати дані, що становлять банківську таємницю.


Я помітив, що в Дії з’явилися слайдери «Дозволити синхронізацію з банком по рахункам ФОП». Вони містяться у детальній інформації про ваш ФОП та на першому екрані подання декларації.

Я понатискав їх, очікуючи отримати від моно стандартний запит на надання третій компанії доступу до моєї конфіденційної інформації. Ба більше, я хотів дізнатись, які саме дані запросить Дія, бо «синхронізація» — надто широкий термін.

Але монобанк не питав дозволу. Він просто передав дані через те, що я ввімкнув слайдер у сторонньому додатку.

Ці дані, а саме повні виписки за вашими рахунками ФОП передаються у відкритому вигляді на сервери Дії. Вони містять:

  • ваші ПІБ
  • дату народження
  • ІПН
  • дані про паспорт (серія/номер)
  • адресу реєстрації
  • усі транзакції

Захищеність цих даних гарантується виключно Дією, а як ми пам’ятаємо, «роль кібербезпеки трохи перебільшена».

З цього приводу виникає два питання:

  1. monobank, чому всі, хто користуються вашим API, мають спитати дозвіл у Клієнта у додатку, перш ніж отримати доступ до його виписки, але для однієї компанії є виключення?
  2. Наскільки я пам’ятаю, команда Дії багато разів заявляла, що не зберігає даних користувача. Де ж тоді зберігаються виписки?

Тим, хто дочитав сюди, бонус: цього місяця анонсовано початок піврічного баґбаунті Дії.

👍ПодобаєтьсяСподобалось13
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Чи змінвся за цей час підхід у синхронізації Дії та Моно? На скільки «безпечно» дозволяти Дії доступ до рахунку в моно з метою сплати податків через Дію?

В нормальній розробці мали би до виходу в прод от таке «Penetration test failed. Customer sensitive information publicly available.» Але процесу як такого не було судячи із усього.

Підхід змінився: тепер mono під час логіну в Дії попереджає про передачу суми коштів, що надійшли на рахунки ФОП під час створення податкової звітності.

Втім, документації API mono-Дія досі не існує, тому вам треба вірити Дії та mono на слово, що більше нічого не передається.

зрозуміло, а які потенційни ризики дозволити таку «інтеграцію» між ДІЯ-моно?

За тиждень має початись bugbounty Дії: dou.ua/forums/topic/33984

Втім, вразливості «Any type of bank account information» Дія заздалегідь оголосила «Out-of-Scope» і схоже, не збирається виправляти bug report’и, пов’язані з цим 🤷🏻‍♂️

UPD3. Надійшла офіційна відповідь від monobank щодо ситуації: telegra.ph/...​e9e74e4d474c20f5fdfca.png

У подальшому Ви, як клієнт та користувач додатка «Дія», в самому додатку надаєте згоду запитувати виписку з мобільного додатку Monobank

Тобто, додаток Д не отримує доступу до виписки в офіційному додатку Monobank, але ви все одно маєте змогу натиснути на «не той» слайдер і відправити дані вашої виписки додатку Д.
Монобанк навіть не спитає в вас, чи дійсно ви хочете передати свою виписку додатку, якому доступ до цієї виписки не надавали 🤷‍♂️

Сумніваючись, чи має Дія ексклюзивне право отримувати дані виписки без надання доступу до виписки, чи існують інші аналогічні додатки, я спитав про це в служби турботи Monobank:
telegra.ph/...​b14e25ec0b2548e4f795f.png

З’ясувалося, що в них «не вказано весь перелік» додатків, які не запитують доступу до виписки, але можуть її отримати 🤷‍♂️

Мораль: не чіпайте слайдери у додатках на телефоні, якщо користуєтесь monobank!
Бо раптом у цей час ви «в самому додатку надаєте згоду запитувати виписку з мобільного додатку Monobank»? 🤔

Наразі Дія на Android прибрала можливість «синхронізації» даних вашої виписки та загалом сплати податків ФОП.

UPD2. Після дискусії з Chief Solutions Architect Дії, monobank запевнив мене, що «не повністю коректно надав інформацію»: telegra.ph/...​4d304fd478344ca925a32.png

Якщо коротко: за словами CSA Дії і служби турботи монобанк, у Дії є особливий протокол зв’язку з monobank.
Ним передається виключно три параметри: iban, amount і currency.

Це може відбуватись навіть якщо ви авторизувалися в Дії через Приват24.

И где там написано про

Це може відбуватись навіть якщо ви авторизувалися в Дії через Приват24.

?
Вы манипулировали до того как создали этот топик и продолжаете манипулировать сейчас. Вы же фактически выпросили у службы поддержки тот ответ который вас устроил, вам дважды объяснили ровно то же что и я писал, но вы продолжали настаивать подводя саппорт под удовлетворяющий вас ответ. Почему вы об этом не пишите или не покажите переписку полностью, а не только тот кусок который дает вам повод набросить на вентилятор?
Ну и про

Це може відбуватись навіть якщо ви авторизувалися в Дії через Приват24.

откровенная манипуляция, да авторизоваться можно через что угодно, но завпрос на API Монобанка делается только с clientId Монобанка, которое можно получить только дав соответствующее разрешение в приложении Монобанка (что равносильно авторизации). Именно так и никак иначе.
P.S.: Так как, извиняться будем за то что назвали меня лгуном или кишка тонка?

Фіга бомбануло.

Якщо вам останній раз було не зрозуміло, де ви збрехали, раджу перечитати останні ваші коментарі, а саме що я надав Дії доступ до виписки.
Подивіться перелік даних, що запитує Дія — там є виписка?

завпрос на API Монобанка делается только с clientId Монобанка

Цікаво, звідки він у вас, бо:
1) Доступ до нього Дія не питає при запиті авторизації
2) Де ж він у вас зберігається, якщо «Дія не зберігає ваші дані»?

Ну то что вы чудак на букву М, который не умеет признавать свою неправоту даже когда все указывает на то, что вы манипулировали в поисках дешевого хайпа, это уже понятно. Бог вам судья, спокойной ночи.

Гарний злив, знову 0 відповідей.

Створили якийсь секретний API між собою та моно, нікому нічого не пояснили, а мудак чомусь я.

Цей секретний API надає доступ Дії до даних транзакцій, втім дозволу на це Дія при авторизації не просить.

Це приблизно так само, якби третій додаток попросив у mono доступ до ПІБ та решти паспортних даних, а тихенько під столом надавав би доступ ще й до даних щодо моїх платежів.
Чи зачекайте... не приблизно, це так і є :)

Ну окей, це хоча б дає розуміння, якого рівня спеціалісти працюють над цуфраною сучасною державою.

Нехай щастить!

То що, сьогодні чекати початку анонсованого bugbounty Дії?
Нагадаю, що ви також підтвердили інформацію про початок баґбаунті в червні.

З повагою, чудак на букву М 😉

авторизоваться можно через что угодно, но завпрос на API Монобанка делается только с clientId Монобанка, которое можно получить только дав соответствующее разрешение в приложении Монобанка (что равносильно авторизации).

Привіт, виходить, ти вже архітектор в «Дії») Я тут поруч проходив, але мені цікаво. Кейс: я в Дії авторизований через Приват24. Зайшов у список моїх рахунків ФОПу, там є всі, і Привату, і Моно. Приват включити поки не можна, та коли переключив тоггл для рахунків Моно і зберіг, ніяких питань не послідувало. Раніше я через Моно, здається, авторизувався. Тож я правильно розумію, на вашій стороні

clientId Монобанка

зберігається при авторизації, прив’язується до користувача і не скидається після авторизації через інший банк?

Привет! Да, есть такое. Касательно счетов, то их возвращает ДПС, там есть твои расчётные счета предприятия/ФОПа во всех банках, по ним то и идёт начисление налога. Тоггл пока нефункциональный, без авторизации в моно ты просто получишь ошибку при попытке сформировать декларацию. У других банков он так же активируется как только будет готова интеграция с их стороны.

Монобанк принадлежит чуваку который вместе с Коломойским выводил деньги из Приватбанка. Чему вы удивляетесь?)

Мало того. Монобанк + МинЦифра + почти вся тусовка BigMoney Черняка = .....

Одни воры (Монобанк), делятся информацией с другими ворами («Дией»). Эка невидаль. :)

Монобанк принадлежит чуваку который вместе с Коломойским выводил деньги из Приватбанка.

Вроде, формально принадлежит Дубилету-младшему (который воровство денег реализовывал технически).
Или-таки, глав-вору папаше?

Питання до спільноти: хто авторизувався в Дії за допомогою NFC ID-картки — у вас просило додатково підтвердити особу за допомогою PhotoID?

Бо якщо ні, то виходить, що загубивши ID-картку, зловмисник може отримати доступ до всіх ваших банківських виписок.

UPD. Отримав відгук однієї людини, у якої не просило PhotoID.

Они походу недавно этот

PhotoID

прикрутили. Авторизовывался в дие через монобанк ранее, сейчас не пускает в дию, просит PhotoID. Забил...

Підписатись на коментарі