Можно ли указывать логин и пароль от банка в приложении для учета расходов?

19
Аватар автора

Вадим Куликов

спросил в Сообществе

Страница автора

Подскажите, безопасно ли подключать в приложениях для учета расходов типа Coinkeeper импорт из Т⁠-⁠Банка? После подключения приложение получит логин и пароль от интернет-банка, будет видеть и записывать все транзакции, но не будет иметь доступа к смс.

Интересует не базовый ответ «никому не сообщайте логин и пароль», а реальная практика использования таких сервисов. Вижу, что многие герои статей в Т⁠—⁠Ж ими пользуются.

Аватар автора

Алексей Малахов 🦣

магистр информационных технологий

Страница автора

Из вопроса непонятно, какие риски вы имеете в виду: утечку данных о тратах и доходах или похищение денег с банковских счетов через приложение для учета расходов. Поэтому расскажу обо всем по порядку.

Безопасно ли доверять приложениям свои данные

Использование любого сервиса в интернете — это баланс между приватностью и удобством. Компании вкладывают в информационную безопасность миллионы рублей, но утечки данных все равно происходят регулярно. Например, одна из причин, почему я переехал и сменил номер телефона, — мой адрес с кодом от домофона попал в утечку «Яндекс-еды». С тех пор я у них ничего не заказываю.

По данным Group-IB, в 2022 году количество утечек в России росло каждый месяц. В мае и начале июня в даркнете обнаружили рекордное количество баз данных российских компаний — более 50. Для сравнения: в апреле их было 32, а в марте — всего 16.

Помимо «Яндекс-еды» в 2022 году стало известно об утечке данных клиентов СДЭК, «Деливери-клаба», GeekBrains, «Ростелекома», «Гемотеста» и «Теле-2». И это только крупные компании с серьезной защитой данных. Базы небольших пиццерий, салонов красоты или автомастерских утекают регулярно. Порой хакерам даже не надо никого взламывать: некоторые компании хранят данные в незашифрованном виде и в открытом доступе.

Поэтому есть общее правило: если доверяете свои данные компании, будьте готовы, что они могут попасть в открытый доступ. Даже если вероятность этого 0,001%. Конечно, это не значит, что Coinkeeper наплевательски относится к безопасности данных пользователей. Но при этом я не верю, что скромный разработчик охраняет данные лучше, чем «Яндекс» или «Ростелеком».

Так что вам решать, насколько вы хотите сохранить приватность. У меня логика такая: пока я живу обычной жизнью, трачу деньги в «Пятерочке» и в кафе на районе, мне все равно, что эти цифры узнают хакеры или их сольют в открытый доступ. Обидно, но не критично. Но если бы я был серьезным бизнесменом, депутатом или знаменитостью, я бы ни за что не доверил информацию о доходах и расходах кому-либо, кроме банка.

Безопасно ли давать приложению доступ к интернет-банку

Если бы приложение по контролю финансов общалось с банком по API, я бы сказал, что безопасно. API — это интерфейс прикладного программирования. Представьте: есть банк, который надежно хранит данные и не пропускает хакеров. Приложение по контролю финансов «звонит» в банк по горячей линии и уточняет какие-то данные, а банк проверяет, имеет ли оно право запрашивать такие данные и, вообще, не притворяется ли приложением хакер. Эта горячая линия и есть интерфейс API.

Разработчик приложения Coinkeeper не договорился с банками об использовании их API, поэтому работает по старинке: просит логин и пароль от интернет-банка. Как заверяет разработчик, эти данные хранятся на устройстве в зашифрованном виде и не передаются на серверы компании. Чтобы это подтвердить, нужно изучить код приложения, к которому у простых пользователей доступа нет. Так что тут вопрос в том, доверяете вы разработчику или нет.

Не думаю, что разработчик Coinkeeper готов пожертвовать долгосрочным доходом от подписок на популярное приложение и своей свободой, чтобы украсть деньги пользователей. Но с другими, менее известными приложениями я был бы аккуратен.

Например, в 2022 году в магазинах появились поддельные приложения Сбера, ВТБ, «Открытия», «Совкомбанка», «Промсвязьбанка» и «Новикомбанка». Они похищали данные пользователей и заражали устройства вирусами — почитайте, как это было, чтобы не попасться на подобную схему в будущем.

Второй вопрос: насколько вы доверяете защищенному хранилищу вашего смартфона? Пока я не слышал, чтобы кто-то их массово взламывал, зато знаю, что такие инструменты точно есть у спецслужб. Если вы планируете записывать в приложении операции вашего преступного картеля, вас обязательно взломают, если захотят. А вот обычному человеку переживать не стоит. По крайней мере пока не появится какая-нибудь уязвимость нулевого дня.

Это экстремально маловероятные сценарии. Но именно из-за них нельзя честно сказать, что доверять логин и пароль приложению безопасно на 100%. И тут снова вам решать, насколько приемлем такой риск.

Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк
Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк
1/2
Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк
Чтобы подключить интеграцию с Т⁠-⁠Банком, нужно ввести логин и пароль в приложении. А для интеграции, например, со Сбербанком открывается окно браузера. Разработчики обещают, что данные останутся на устройстве, а приложение не сможет получить доступ к коду подтверждения, который пришлет банк

Что в итоге

Может показаться, что я нагнал жути и лучше вообще удалить интернет. Но подобные сервисы делают нашу жизнь удобнее, а без социальных сетей или мессенджеров сложно представить современный быт. Вопрос только в приемлемости рисков, даже если они крайне маловероятны.

Доверяйте интернету лишь ту информацию, которую вы готовы потерять и которая не нанесет вам существенного вреда, если окажется не в тех руках. А если не хотите доверять, попробуйте вести бюджет в «Экселе» — у нас есть целый поток с примерами табличек читателей.

Алексей Малахов 🦣Расскажите, как вы ведете бюджет:
  • fluffЯ два года пользуюсь дзен мани с доступом к двум банкам. Автоматическая синхронизация с дебетовкой тинькофф и ручная с кредиткой втб (то есть я не вношу траты руками, а раз в неделю нажимаю на кнопку "синхронизировать"), долго искала форумы с жалобами об утечке - вроде ничего. Единственное - однажды все слетело и пришлось подключаться к банкам заново, снова выгружать траты, по отзывам у многих это хотя бы раз случалось.13
  • Максим НовиковУважаемый топикстартер, вы в итоге подключили импорт операций?0
  • Воинствующий котеистПользуюсь Той Самой Табличкой от Т—Ж и горя не знаю1
  • NessПользуюсь 1Money, но доверять им синхронизацию не стала - вношу вручную4
  • Natalia Syrkovafluff, я тоже пользуюсь дзеном. Почти за год ещё никто не жаловался на утечку денег4
  • Александр ТихомировИспользую программу "Мой бюджет", все записи в неё вношу вручную. У неё нет интеграций с приложениями банков, да и не стал бы я доверять сторонним приложениям такой доступ1
  • Random RussianCoinKeeper пользовался долго время, но теперь купил вечный премиум в ЗенМани — небо и земля, по удобству они на голову выше7
  • ТраблшутерСъехать из квартиры и сменить номер из-за утечки Яндекс - это сильно!13
  • Аннушка«Переехал и сменил адрес» из-за того что Яндекс слил код домофона и номер телефона?1
  • A.Немного переживал раньше давать данные приложения банка, поэтому пользуюсь 1money, купил пожизненный доступ, минус только то, что надо руками вносить. Но 5 минут вечером уже вошло в привычку, так что норм. И спокойно и безопасно и по категориям сам разношу.3
  • Larisa BУверена, что логин и пароль от интернет-банка точно никому нельзя давать ни при каких обстоятельствах.7
  • Юрий МельниковВ таблицах Excel в ручную.0
  • ЗеленоглазаяПользуюсь ДзенМани уже лет 5. Полная синхронизации со всеми банками, везде плачу только картой. Ни разу не было утечки денег.4
  • Наталия РозенкранцВоинствующий, уточните, где она, не видела(0
  • Андрей БВ приложении учёта финансов лучше использовать парсинг смс. В Коинкипере оно есть. Но я сменил коин на дзен мани, уж не помню, что стало последней каплей, по-моему, неработающая синхронизация между устройствами - чинили 2 недели, в итоге стало работать в 3 раза медленнее0
  • Воинствующий котеистНаталия, ах, самой бы вспомнить, давно же было... Попробуйте поискать здесь на сайте "таблица расходов" или что-нибудь подобное2
  • Наталия РозенкранцВоинствующий, благодарю0
  • JCТраблшутер, в нынешних реалиях переехать в другую квартиру проще, чем на другой номер телефона)0
  • РоманК слову у разработчика приложения CoinKeeper есть «ООО Дизрапп» но с 2021 г иностранный учередитель «КОИНКИПЕР ЛТД» Великобритания, раньше было вроде просто ИП и никаких иностранных лиц… вобщем тоже терзают сомнения пользоваться или нет этой программой темболее с британскими учередителями в такое то время0