Можно ли указывать логин и пароль от банка в приложении для учета расходов?

19
Аватар автора

Вадим Куликов

спросил в Сообществе

Страница автора

Подскажите, безопасно ли подключать в приложениях для учета расходов типа Coinkeeper импорт из Т⁠-⁠Банка? После подключения приложение получит логин и пароль от интернет-банка, будет видеть и записывать все транзакции, но не будет иметь доступа к смс.

Интересует не базовый ответ «никому не сообщайте логин и пароль», а реальная практика использования таких сервисов. Вижу, что многие герои статей в Т⁠—⁠Ж ими пользуются.

Аватар автора

Алексей Малахов 🦣

магистр информационных технологий

Страница автора

Из вопроса непонятно, какие риски вы имеете в виду: утечку данных о тратах и доходах или похищение денег с банковских счетов через приложение для учета расходов. Поэтому расскажу обо всем по порядку.

Безопасно ли доверять приложениям свои данные

Использование любого сервиса в интернете — это баланс между приватностью и удобством. Компании вкладывают в информационную безопасность миллионы рублей, но утечки данных все равно происходят регулярно. Например, одна из причин, почему я переехал и сменил номер телефона, — мой адрес с кодом от домофона попал в утечку «Яндекс-еды». С тех пор я у них ничего не заказываю.

По данным Group-IB, в 2022 году количество утечек в России росло каждый месяц. В мае и начале июня в даркнете обнаружили рекордное количество баз данных российских компаний — более 50. Для сравнения: в апреле их было 32, а в марте — всего 16.

Помимо «Яндекс-еды» в 2022 году стало известно об утечке данных клиентов СДЭК, «Деливери-клаба», GeekBrains, «Ростелекома», «Гемотеста» и «Теле-2». И это только крупные компании с серьезной защитой данных. Базы небольших пиццерий, салонов красоты или автомастерских утекают регулярно. Порой хакерам даже не надо никого взламывать: некоторые компании хранят данные в незашифрованном виде и в открытом доступе.

Поэтому есть общее правило: если доверяете свои данные компании, будьте готовы, что они могут попасть в открытый доступ. Даже если вероятность этого 0,001%. Конечно, это не значит, что Coinkeeper наплевательски относится к безопасности данных пользователей. Но при этом я не верю, что скромный разработчик охраняет данные лучше, чем «Яндекс» или «Ростелеком».

Так что вам решать, насколько вы хотите сохранить приватность. У меня логика такая: пока я живу обычной жизнью, трачу деньги в «Пятерочке» и в кафе на районе, мне все равно, что эти цифры узнают хакеры или их сольют в открытый доступ. Обидно, но не критично. Но если бы я был серьезным бизнесменом, депутатом или знаменитостью, я бы ни за что не доверил информацию о доходах и расходах кому-либо, кроме банка.

Безопасно ли давать приложению доступ к интернет-банку

Если бы приложение по контролю финансов общалось с банком по API, я бы сказал, что безопасно. API — это интерфейс прикладного программирования. Представьте: есть банк, который надежно хранит данные и не пропускает хакеров. Приложение по контролю финансов «звонит» в банк по горячей линии и уточняет какие-то данные, а банк проверяет, имеет ли оно право запрашивать такие данные и, вообще, не притворяется ли приложением хакер. Эта горячая линия и есть интерфейс API.

Разработчик приложения Coinkeeper не договорился с банками об использовании их API, поэтому работает по старинке: просит логин и пароль от интернет-банка. Как заверяет разработчик, эти данные хранятся на устройстве в зашифрованном виде и не передаются на серверы компании. Чтобы это подтвердить, нужно изучить код приложения, к которому у простых пользователей доступа нет. Так что тут вопрос в том, доверяете вы разработчику или нет.

Не думаю, что разработчик Coinkeeper готов пожертвовать долгосрочным доходом от подписок на популярное приложение и своей свободой, чтобы украсть деньги пользователей. Но с другими, менее известными приложениями я был бы аккуратен.

Например, в 2022 году в магазинах появились поддельные приложения Сбера, ВТБ, «Открытия», «Совкомбанка», «Промсвязьбанка» и «Новикомбанка». Они похищали данные пользователей и заражали устройства вирусами — почитайте, как это было, чтобы не попасться на подобную схему в будущем.

Второй вопрос: насколько вы доверяете защищенному хранилищу вашего смартфона? Пока я не слышал, чтобы кто-то их массово взламывал, зато знаю, что такие инструменты точно есть у спецслужб. Если вы планируете записывать в приложении операции вашего преступного картеля, вас обязательно взломают, если захотят. А вот обычному человеку переживать не стоит. По крайней мере пока не появится какая-нибудь уязвимость нулевого дня.

Это экстремально маловероятные сценарии. Но именно из-за них нельзя честно сказать, что доверять логин и пароль приложению безопасно на 100%. И тут снова вам решать, насколько приемлем такой риск.

Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк
Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк
1/2
Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк
Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк

Что в итоге

Может показаться, что я нагнал жути и лучше вообще удалить интернет. Но подобные сервисы делают нашу жизнь удобнее, а без социальных сетей или мессенджеров сложно представить современный быт. Вопрос только в приемлемости рисков, даже если они крайне маловероятны.

Доверяйте интернету лишь ту информацию, которую вы готовы потерять и которая не нанесет вам существенного вреда, если окажется не в тех руках. А если не хотите доверять, попробуйте вести бюджет в «Экселе» — у нас есть целый поток с примерами табличек читателей.

Алексей Малахов 🦣Расскажите, как вы ведете бюджет: