Можно ли указывать логин и пароль от банка в приложении для учета расходов?
Подскажите, безопасно ли подключать в приложениях для учета расходов типа Coinkeeper импорт из Тинькофф? После подключения приложение получит логин и пароль от интернет-банка, будет видеть и записывать все транзакции, но не будет иметь доступа к смс.
Интересует не базовый ответ «никому не сообщайте логин и пароль», а реальная практика использования таких сервисов. Вижу, что многие герои статей в Тинькофф Журнале ими пользуются.
Из вопроса непонятно, какие риски вы имеете в виду: утечку данных о тратах и доходах или похищение денег с банковских счетов через приложение для учета расходов. Поэтому расскажу обо всем по порядку.
Безопасно ли доверять приложениям свои данные
Использование любого сервиса в интернете — это баланс между приватностью и удобством. Компании вкладывают в информационную безопасность миллионы рублей, но утечки данных все равно происходят регулярно. Например, одна из причин, почему я переехал и сменил номер телефона, — мой адрес с кодом от домофона попал в утечку «Яндекс-еды». С тех пор я у них ничего не заказываю.
По данным Group-IB, в 2022 году количество утечек в России росло каждый месяц. В мае и начале июня в даркнете обнаружили рекордное количество баз данных российских компаний — более 50. Для сравнения: в апреле их было 32, а в марте — всего 16.
Помимо «Яндекс-еды» в 2022 году стало известно об утечке данных клиентов СДЭК, «Деливери-клаба», GeekBrains, «Ростелекома», «Гемотеста» и «Теле-2». И это только крупные компании с серьезной защитой данных. Базы небольших пиццерий, салонов красоты или автомастерских утекают регулярно. Порой хакерам даже не надо никого взламывать: некоторые компании хранят данные в незашифрованном виде и в открытом доступе.
Поэтому есть общее правило: если доверяете свои данные компании, будьте готовы, что они могут попасть в открытый доступ. Даже если вероятность этого 0,001%. Конечно, это не значит, что Coinkeeper наплевательски относится к безопасности данных пользователей. Но при этом я не верю, что скромный разработчик охраняет данные лучше, чем «Яндекс» или «Ростелеком».
Так что вам решать, насколько вы хотите сохранить приватность. У меня логика такая: пока я живу обычной жизнью, трачу деньги в «Пятерочке» и в кафе на районе, мне все равно, что эти цифры узнают хакеры или их сольют в открытый доступ. Обидно, но не критично. Но если бы я был серьезным бизнесменом, депутатом или знаменитостью, я бы ни за что не доверил информацию о доходах и расходах кому-либо, кроме банка.
Безопасно ли давать приложению доступ к интернет-банку
Если бы приложение по контролю финансов общалось с банком по API, я бы сказал, что безопасно. API — это интерфейс прикладного программирования. Представьте: есть банк, который надежно хранит данные и не пропускает хакеров. Приложение по контролю финансов «звонит» в банк по горячей линии и уточняет какие-то данные, а банк проверяет, имеет ли оно право запрашивать такие данные и, вообще, не притворяется ли приложением хакер. Эта горячая линия и есть интерфейс API.
Разработчик приложения Coinkeeper не договорился с банками об использовании их API, поэтому работает по старинке: просит логин и пароль от интернет-банка. Как заверяет разработчик, эти данные хранятся на устройстве в зашифрованном виде и не передаются на серверы компании. Чтобы это подтвердить, нужно изучить код приложения, к которому у простых пользователей доступа нет. Так что тут вопрос в том, доверяете вы разработчику или нет.
Не думаю, что разработчик Coinkeeper готов пожертвовать долгосрочным доходом от подписок на популярное приложение и своей свободой, чтобы украсть деньги пользователей. Но с другими, менее известными приложениями я был бы аккуратен.
Например, в 2022 году в магазинах появились поддельные приложения Сбера, ВТБ, «Открытия», «Совкомбанка», «Промсвязьбанка» и «Новикомбанка». Они похищали данные пользователей и заражали устройства вирусами — почитайте, как это было, чтобы не попасться на подобную схему в будущем.
Второй вопрос: насколько вы доверяете защищенному хранилищу вашего смартфона? Пока я не слышал, чтобы кто-то их массово взламывал, зато знаю, что такие инструменты точно есть у спецслужб. Если вы планируете записывать в приложении операции вашего преступного картеля, вас обязательно взломают, если захотят. А вот обычному человеку переживать не стоит. По крайней мере пока не появится какая-нибудь уязвимость нулевого дня.
Это экстремально маловероятные сценарии. Но именно из-за них нельзя честно сказать, что доверять логин и пароль приложению безопасно на 100%. И тут снова вам решать, насколько приемлем такой риск.


Что в итоге
Может показаться, что я нагнал жути и лучше вообще удалить интернет. Но подобные сервисы делают нашу жизнь удобнее, а без социальных сетей или мессенджеров сложно представить современный быт. Вопрос только в приемлемости рисков, даже если они крайне маловероятны.
Доверяйте интернету лишь ту информацию, которую вы готовы потерять и которая не нанесет вам существенного вреда, если окажется не в тех руках. А если не хотите доверять, попробуйте вести бюджет в «Экселе» — у нас есть целый поток с примерами табличек читателей.
11.07, 07:44
Съехать из квартиры и сменить номер из-за утечки Яндекс - это сильно!
26.07, 20:46
Траблшутер, в нынешних реалиях переехать в другую квартиру проще, чем на другой номер телефона)
08.02.22, 08:11
Я два года пользуюсь дзен мани с доступом к двум банкам. Автоматическая синхронизация с дебетовкой тинькофф и ручная с кредиткой втб (то есть я не вношу траты руками, а раз в неделю нажимаю на кнопку "синхронизировать"), долго искала форумы с жалобами об утечке - вроде ничего. Единственное - однажды все слетело и пришлось подключаться к банкам заново, снова выгружать траты, по отзывам у многих это хотя бы раз случалось.
11.07, 07:04
fluff, я тоже пользуюсь дзеном. Почти за год ещё никто не жаловался на утечку денег
11.07, 08:53
Уверена, что логин и пароль от интернет-банка точно никому нельзя давать ни при каких обстоятельствах.
10.07, 16:50
Пользуюсь 1Money, но доверять им синхронизацию не стала - вношу вручную
11.07, 07:31
CoinKeeper пользовался долго время, но теперь купил вечный премиум в ЗенМани — небо и земля, по удобству они на голову выше
11.07, 08:51
Немного переживал раньше давать данные приложения банка, поэтому пользуюсь 1money, купил пожизненный доступ, минус только то, что надо руками вносить. Но 5 минут вечером уже вошло в привычку, так что норм. И спокойно и безопасно и по категориям сам разношу.
11.07, 11:09
Пользуюсь ДзенМани уже лет 5. Полная синхронизации со всеми банками, везде плачу только картой. Ни разу не было утечки денег.
10.07, 12:23
Пользуюсь Той Самой Табличкой от Т—Ж и горя не знаю
12.07, 19:14
Воинствующий, уточните, где она, не видела(
13.07, 09:40
Наталия, ах, самой бы вспомнить, давно же было... Попробуйте поискать здесь на сайте "таблица расходов" или что-нибудь подобное
14.07, 12:06
Воинствующий, благодарю
11.07, 07:06
Использую программу "Мой бюджет", все записи в неё вношу вручную. У неё нет интеграций с приложениями банков, да и не стал бы я доверять сторонним приложениям такой доступ
11.07, 08:26
«Переехал и сменил адрес» из-за того что Яндекс слил код домофона и номер телефона?
19.07.22, 11:44
Уважаемый топикстартер, вы в итоге подключили импорт операций?
11.07, 09:25
В таблицах Excel в ручную.
12.07, 20:25
В приложении учёта финансов лучше использовать парсинг смс. В Коинкипере оно есть. Но я сменил коин на дзен мани, уж не помню, что стало последней каплей, по-моему, неработающая синхронизация между устройствами - чинили 2 недели, в итоге стало работать в 3 раза медленнее