Можно ли указывать логин и пароль от банка в приложении для учета расходов?
Подскажите, безопасно ли подключать в приложениях для учета расходов типа Coinkeeper импорт из Тинькофф? После подключения приложение получит логин и пароль от интернет-банка, будет видеть и записывать все транзакции, но не будет иметь доступа к смс.
Интересует не базовый ответ «никому не сообщайте логин и пароль», а реальная практика использования таких сервисов. Вижу, что многие герои статей в Тинькофф Журнале ими пользуются.
Из вопроса непонятно, какие риски вы имеете в виду: утечку данных о тратах и доходах или похищение денег с банковских счетов через приложение для учета расходов. Поэтому расскажу обо всем по порядку.
Безопасно ли доверять приложениям свои данные
Использование любого сервиса в интернете — это баланс между приватностью и удобством. Компании вкладывают в информационную безопасность миллионы рублей, но утечки данных все равно происходят регулярно. Например, одна из причин, почему я переехал и сменил номер телефона, — мой адрес с кодом от домофона попал в утечку «Яндекс-еды». С тех пор я у них ничего не заказываю.
По данным Group-IB, в 2022 году количество утечек в России росло каждый месяц. В мае и начале июня в даркнете обнаружили рекордное количество баз данных российских компаний — более 50. Для сравнения: в апреле их было 32, а в марте — всего 16.
Помимо «Яндекс-еды» в 2022 году стало известно об утечке данных клиентов СДЭК, «Деливери-клаба», GeekBrains, «Ростелекома», «Гемотеста» и «Теле-2». И это только крупные компании с серьезной защитой данных. Базы небольших пиццерий, салонов красоты или автомастерских утекают регулярно. Порой хакерам даже не надо никого взламывать: некоторые компании хранят данные в незашифрованном виде и в открытом доступе.
Поэтому есть общее правило: если доверяете свои данные компании, будьте готовы, что они могут попасть в открытый доступ. Даже если вероятность этого 0,001%. Конечно, это не значит, что Coinkeeper наплевательски относится к безопасности данных пользователей. Но при этом я не верю, что скромный разработчик охраняет данные лучше, чем «Яндекс» или «Ростелеком».
Так что вам решать, насколько вы хотите сохранить приватность. У меня логика такая: пока я живу обычной жизнью, трачу деньги в «Пятерочке» и в кафе на районе, мне все равно, что эти цифры узнают хакеры или их сольют в открытый доступ. Обидно, но не критично. Но если бы я был серьезным бизнесменом, депутатом или знаменитостью, я бы ни за что не доверил информацию о доходах и расходах кому-либо, кроме банка.
Безопасно ли давать приложению доступ к интернет-банку
Если бы приложение по контролю финансов общалось с банком по API, я бы сказал, что безопасно. API — это интерфейс прикладного программирования. Представьте: есть банк, который надежно хранит данные и не пропускает хакеров. Приложение по контролю финансов «звонит» в банк по горячей линии и уточняет какие-то данные, а банк проверяет, имеет ли оно право запрашивать такие данные и, вообще, не притворяется ли приложением хакер. Эта горячая линия и есть интерфейс API.
Разработчик приложения Coinkeeper не договорился с банками об использовании их API, поэтому работает по старинке: просит логин и пароль от интернет-банка. Как заверяет разработчик, эти данные хранятся на устройстве в зашифрованном виде и не передаются на серверы компании. Чтобы это подтвердить, нужно изучить код приложения, к которому у простых пользователей доступа нет. Так что тут вопрос в том, доверяете вы разработчику или нет.
Не думаю, что разработчик Coinkeeper готов пожертвовать долгосрочным доходом от подписок на популярное приложение и своей свободой, чтобы украсть деньги пользователей. Но с другими, менее известными приложениями я был бы аккуратен.
Например, в 2022 году в магазинах появились поддельные приложения Сбера, ВТБ, «Открытия», «Совкомбанка», «Промсвязьбанка» и «Новикомбанка». Они похищали данные пользователей и заражали устройства вирусами — почитайте, как это было, чтобы не попасться на подобную схему в будущем.
Второй вопрос: насколько вы доверяете защищенному хранилищу вашего смартфона? Пока я не слышал, чтобы кто-то их массово взламывал, зато знаю, что такие инструменты точно есть у спецслужб. Если вы планируете записывать в приложении операции вашего преступного картеля, вас обязательно взломают, если захотят. А вот обычному человеку переживать не стоит. По крайней мере пока не появится какая-нибудь уязвимость нулевого дня.
Это экстремально маловероятные сценарии. Но именно из-за них нельзя честно сказать, что доверять логин и пароль приложению безопасно на 100%. И тут снова вам решать, насколько приемлем такой риск.
Что в итоге
Может показаться, что я нагнал жути и лучше вообще удалить интернет. Но подобные сервисы делают нашу жизнь удобнее, а без социальных сетей или мессенджеров сложно представить современный быт. Вопрос только в приемлемости рисков, даже если они крайне маловероятны.
Доверяйте интернету лишь ту информацию, которую вы готовы потерять и которая не нанесет вам существенного вреда, если окажется не в тех руках. А если не хотите доверять, попробуйте вести бюджет в «Экселе» — у нас есть целый поток с примерами табличек читателей.
