VTB24 कानूनी संस्थाओं के लिए एक ग्राहक बैंक के "पासवर्ड उड़ गए"

नीचे एक कहानी है जो आज 16-40 के आसपास हुई थी और मुझे VTB24 बैंक के ऑनलाइन क्लाइंट सिस्टम के उपयोगकर्ता के रूप में महसूस किया गया था।



आज, लगभग 16-30 पर, हम VTB24 बैंक के ऑनलाइन क्लाइंट सिस्टम में लॉग इन नहीं कर पाए, जिस कंपनी में मैं काम करता हूं। उपयोगकर्ता नाम और पासवर्ड दर्ज करते समय, सिस्टम ने रिपोर्ट किया कि एक प्राधिकरण त्रुटि हुई।



स्वाभाविक रूप से, हमने इस इंटरनेट प्रणाली की सहायता सेवा को कॉल करना शुरू किया। युवक ने कहा कि उनके पासवर्ड "उड़ गए"। यह पूछे जाने पर कि क्या सिस्टम रिकवरी संभव है, ठीक है, उदाहरण के लिए, कल, हमें सूचित किया गया कि यह शायद ही संभव है। हालांकि, युवक ने इस धारणा को खारिज कर दिया कि पासवर्ड "पासवर्ड जो बीत चुके हैं" के बारे में उसी वाक्यांश को दोहराकर चोरी किया जा सकता है।



और फिर मस्ती शुरू हुई। हमने पूछा कि अब क्या करना है। अचानक यह पता चला कि सिस्टम को बाईपास किया जा सकता है, अर्थात। संक्षेप में, एक पासवर्ड के बिना आपके व्यक्तिगत खाते में लॉग इन करना (यह करना बहुत सरल हो गया), और वहाँ से इस पासवर्ड को प्रतिस्थापित करें - आपको इसे बदलने के लिए कोड शब्द को जानना होगा। यह भी अचानक स्पष्ट हो गया कि बैंक के साथ हमारे समझौते में कोई कोड शब्द नहीं लिखा गया था - यह पता चला कि यह खंड समझौते में हाल ही में दिखाई दिया, लेकिन हमने 2008 के अंत में एक समझौता किया। स्वाभाविक रूप से, उन्होंने हमें बैंक में कभी नहीं बताया कि एक अतिरिक्त समझौते को समाप्त करना और ऐसा शब्द बनाना आवश्यक था। नतीजतन, तकनीकी सहायता अधिकारी ने सुझाव दिया (वह निश्चित रूप से नहीं जानता) कि हमें बैंक जाना होगा, गुप्त शब्द के बारे में एक बयान लिखना होगा और निश्चित रूप से, इसके जारी होने की प्रतीक्षा करें। इस समय खाते की सभी पहुंच हमारे लिए बंद कर दी जाएगी। इसके अलावा, हमारी बैंक शाखा के फोन का जवाब नहीं है - वे 17-00 तक काम करते हैं।



मैं बैंकिंग एप्लिकेशन सुरक्षा के क्षेत्र में विशेषज्ञ नहीं हूं, लेकिन मुझे इस बैंक की ऑनलाइन प्रणाली से बहुत शिकायतें हैं। सबसे पहले, जब यह 2008 में स्थापित किया गया था, तब भी यह पता चला कि बैंक के विशेषज्ञों के बयानों के बावजूद, सिस्टम को अनुबंध में बताए गए कंप्यूटरों की तुलना में कई गुना अधिक गुणा किया जा सकता है - कार्यक्रम में कोई (घोषित) प्रतिलिपि सुरक्षा नहीं है। यद्यपि तकनीकी सहायता ने दावा किया है कि आप प्रत्येक ग्राहक के लिए केवल एक कंप्यूटर स्थापित कर सकते हैं (दो यदि दो हस्ताक्षर हैं), और यदि आपको अधिक आवश्यकता है, तो आपको इस तरह की आवश्यकता को उचित ठहराते हुए एक बयान लिखने की आवश्यकता है और इसके अनुमोदन की प्रतीक्षा करें। जाहिर है, ग्राहकों की ईमानदारी की गणना।



आगे: कहीं न कहीं 2009 के मध्य में, एक नई सुरक्षा प्रणाली शुरू की गई - उन्होंने ग्राहकों के फोन पर एसएमएस भेजना शुरू किया। साथ ही प्रति ग्राहक एक नंबर। लेकिन पंजीकरण के दौरान, फोन नंबर के साथ कई क्षेत्रों को भरना संभव था - किसी भी तरह से यह नियंत्रित या सीमित नहीं था। वैसे, इस तरह की प्रणाली की उपस्थिति ने एक और सवाल उठाया - क्या यह संभव है कि किसी भी तरह से एसएमएस मेलिंग के साथ कठिनाइयों के ग्राहकों को सूचित किया जाए जब पोस्ट की शुरुआत में वर्णित समस्या उत्पन्न होती है? .. कुछ और बारीकियों: सिस्टम विशेष रूप से IE के साथ काम करता है, भुगतान दस्तावेजों की खोज की अनुमति नहीं देता है? भुगतान करने वाली कंपनी के नाम से, या खाता संख्या द्वारा - केवल दिनांक या दस्तावेज़ संख्या द्वारा।



सामान्य तौर पर, यह सब गीत है, और अब हम एक साथ बैठे हैं और सोच रहे हैं कि आने वाला दिन हमारे लिए क्या तैयारी कर रहा है और कल कर्मचारियों को भुगतान करने के लिए कुछ भी होगा या नहीं ...



PS लगभग 8 बजे, एक संदेश दिखाई दिया कि तकनीकी समस्याओं के कारण सिस्टम के साथ काम करना असंभव है। वसूली का अनुमानित समय सुबह एक है।