В свое время меня привлекла возможность оформления недорогого полиса, да еще и через интернет.
Залогинился в личном кабинете, нашел старые полисы, и, мягко говоря удивился, увидев с десяток полисов оформленных не на меня.
Номера полисов я замазал, чтобы не разглашать чужие персональные данные.
К примеру тут нет ни одного полиса, как-то связанных со мной.
Вот тут три верхних полиса оформлял я.
Остальные не мои.
Помимо подробной информации об автомобиле:
Можно посмотреть и информацию о водителе и его водительском удостоверении.
А также о его паспортных данных.
Такая же информация доступна и о дополнительных водителях, вписанных в полис.
Сканы самих полисов также присутствуют.
У всех полисов есть только одно общее — всех владельцев зовут также как и меня. Cовпадают полностью и фамилия и имя и отчество.
К сожалению, в ответ на мое обращения по электронной почте я получил, видимо, автоматическую отписку о том, что мое обращение принято, но с 28 февраля со мной никто не связался, поэтому считаю возможным опубликовать информацию тут.
Остается только догадываться, кому в личный кабинет привязаны мои полисы с персональными данными.
UPD
Вчера днём из личного кабинета исчез доступ ко всем чужим данным, а также один мой полис.
Вечером со мной связался представитель альфастрахования.
Принёс извинения за такой инцидент. Пообещал что пропавший полис вернётся в Личный кабинет, а такой ситуации больше не повторится.
Комментарии (64)
altervision
05.03.2018 11:02Какие же нынче все скоростные-то стали. С 28 февраля на момент публикации прошёл целый один (!) рабочий день (и начался второй), обращение могло ещё даже не дойти до рассмотрения ответственными лицами весьма крупной компании, а её уже обвиняют в недобросовестном отношении. Проблема, конечно, весьма серьёзная, но можно было бы дать и немного больше времени на её рассмотрение и решение.
MaxALebedev Автор
05.03.2018 11:05+1Простите, а 1 и 2 не считаются? 28, 1,2 и вот сейчас 5-е. По моей арифметике начался четвёртый день.
vassabi
05.03.2018 11:12сколько? неделя? месяц? полгода?
кому надо быть более скоростным — тому, кто за это получает деньги или тому, кто их (получается) дарит?
amarao
05.03.2018 13:25+12Я считаю, что у компании время реакции на факап должно быть сравнимо с временем реакции человека, который увидел несанкционированное списание по карте.
Банки ожидают «немедленно оповестить и заблокировать», вот и пользователи ожидают от компании «немедленно отреагировать и пофиксить».pansa
05.03.2018 23:17Напомнило. Когда-то у меня была карта альфы, и произошло странное списание средств. Звоню в поддержку, объясняю ситуацию — де, я никаких оплат не делал, а произошло списание, причем, на счёт иностранной компании. Подозреваю, говорю, мошенничество, что делать-то?
От ответа поддержки я онемел секунд на 15.
Они.
Предложили.
Оформить.
Кредит.
o_%
P.S. Да, кстати. Странным списанием оказалась автооплата сервисов амазона. Там произошла какая-то автоподписка. Я нагуглил это за 1 минуту (первая ссылка в поиске). И отменил списание средств у амазона за еще одну минуту.
Это к слову об уровне компетенции их саппорта. Понятно, ушел от них.
hardegor
05.03.2018 17:18+2Безопасники дежурят круглосуточно, по факту они могли сразу закрыть доступ к кабинетам, а потом разбираться.
MaxALebedev Автор
05.03.2018 20:23До сегодняшнего дня все доступно было. Пару скриншотов утром обновил.
SLASH_CyberPunk
05.03.2018 11:11+2К сожалению, поддержка у альфастрахования та еще, когда я писал им баг-репорт, что нельзя фильтровать на карте по типу мед учреждений, мне ответили, что вы вообще не должны видеть на карте. Отличный ответ я считаю!
Ну и до кучи напишу, что позвонив им на IVR и дождавшись фразы «Можете дождаться ответа оператора», вас просто скидывают, да и IVR тот еще…
Alozar
05.03.2018 13:22+1Шел 2018 год, а фильтрацию до сих пор делают по ФИО, а не ID…
artemerschow
06.03.2018 10:15+1Фильтрацию..) Как я во время учёбы недоумевал от того, что Primary Key «должен» быть ФИО или, в лучшем случае, серия/номер паспорта. Пытался спорить, понимая уже тогда, что это дичь какая-то, но…
Ugrum
05.03.2018 13:28Ну спасибо, я теперь боюсь в банк-клиент заглянуть. Одно успокаивает, что денег там почти не было. А теперь может появятся?
Шикарная история, правда шикарная. Эпичный факапище на самом видном месте, даже газеткой не прикрытый.Psykyler
06.03.2018 04:25С банкингом все отлично, просто поддержу информационных систем Альфа банка и альфастрахования осуществляют разные ИТ-команды.
huhen
05.03.2018 14:04+4Почитал отзывы о этой компании, они в нагрузку к ОСАГО по умолчанию ставят галку на доп. страховку(серый шрифт на сером фоне), но это еще не все, списание за ОСАГО происходит по стандартной схеме(через смс код подтверждения), а за доп.страховку списывают втихую второй транзакцией, и тем кто заметил возвращают деньги. Происходит это как минимум с ноября 2017г. так что на добросовестное отношение этой компании можно не рассчитывать.
ilyaplot
05.03.2018 14:17+1Я пытался прописать человека в свой страховой полис. У него множитель меньше моего, в офисе альфастрахования мне сказали, что доплачивать ничего не нужно, все должно быть нормально. Личный кабинет же считает, что у него множитель 1 и предлагает доплатить за страховку. Когда я по себе делал запрос КБМ у альфы, они вдруг обнаружили, что забыли передать мои данные в РСА. Жуть.
MaxALebedev Автор
05.03.2018 14:46-1Многие страховые откровенно «втюхивают» дополнительные страховки. Росгосстраху я возвращал полис страхования жизни с возвратом средств.
Tyusha
07.03.2018 14:00На Альфастрахование имею большой зуб. Когда я купила вторую машину, чтобы выехать из салона сделала ОСАГО у них. Так мне выписали "нулёвый" класс 3 водители (КБМ). А по факту у меня был на тот момент класс 9, по другой действующей ОСАГО. И всё, класс слетел на все времена вместе со скидками на страховку, начинай сначала безаварийную карьеру.
asmrnv777
05.03.2018 14:58Да у них на сайте всё через жопу. Полчаса пытался посчитать полис, не получилось, написал в саппорт — сказали, что больше нельзя на сайте (предупредить видать религия не позволяет).
При этом форма саппорта полурабочая и у меня аж 5 обращений за раз отправилось :)
Serge78rus
05.03.2018 16:37у меня аж 5 обращений за раз отправилось :)
Так это — дублирование информации для надежности.
JC_IIB
05.03.2018 18:08Да у них на сайте всё через жопу.
У них вообще все через нее. Они так и не смогли мне объяснить, как расторгнуть ДКБО. А ДКБО я хотел расторгнуть, так как при отзыве ПД они подсовывают форму, где написано что-то типа «мы не будем использовать ваши ПД больше ни для чего, кроме как предусмотрено ДКБО». То есть права на обработку ПД отнять у них очень сложно. Я, кстати, еще проверю, прекратили ли они обработку моих ПД или нет, есть способ.
upd: пардон, протупил. Речь об Альфа-Банке.
AlexGluck
05.03.2018 15:19+2Оповестил админа, будем посмотреть как быстро инфа до разработчиков дойдёт и они пофиксят.
UPD: Разрабы в курсе.MaxALebedev Автор
05.03.2018 16:15+1Молодцы разработчики :-D Из личного кабинета пропали полисы чужие, да заодно и мой один. Видимо, на всякий случай!
AlexGluck
05.03.2018 16:16Ахаха, они конечно оперативно запилили. Ну лучше так. Нужные полюсы откроют потом. Лучше перебдеть.
MaxALebedev Автор
05.03.2018 16:18+3Нет, лучше изначально делать нормально. Лучше реагировать на прямые запросы в техподдержку. Лучше не дожидаться огласки. Мне, кстати, так ни один человек не позвонил, не написал, все молча и скрытно.
Видимо стоило отправить запрос в Роскомнадзор, они это любят.AlexGluck
05.03.2018 16:26+1Руки вам никто не выкручивает, вы вольны делать как пожелаете. Я просто знаком с подноготной т.к. работал админом в Агима. Они разрабатывают портал и поддерживают его.
ggordeev
05.03.2018 20:24специально зарегистрировался на сайте посмотреть. Чистая регистрация, полисы не отображаются… но стоит открыть DevTools в хроме и вот они ссылочки на ПДФ. Но все полисы только мои подтянулись — уж не знаю с ФИО повезло или пофиксили.
LightSUN
05.03.2018 21:16А не оповестите ли вы кого-нибудь в альфа-банке, чтобы посмотрели вопросы? Уже месяц отправляю вопрос через страницу обратной связи (а так же пробовал через почту mail@alfabank.ru которая указана на странице реквизит), каждый раз пишется, что ответят в ближайшее время, но ответа так и нет :).
alexhott
05.03.2018 17:35+1Остается только догадываться, кому в личный кабинет привязаны мои полисы с персональными данными.
Вы их всех уже знаете и можете посмотреть их ФИО у себя в паспортеrPman
05.03.2018 19:01водительские удовстоверения, паспортные данные, информация об автомобилях отличнаются, ваш ко
Kalobok
05.03.2018 18:55Полное совпадение ФИО — еще не самый плохой вариант. Очень многие компании, особенно относительно мелкие, не проверяют принадлежность емейла при регистрации. И я постоянно получаю сообщения о чужой регистрации, часто с паролем и прочей информацией. Как-то росгосстрах прислал мне все данные о чужой машине и владельце. Сейчас вот от украинского blablacar каждый день пачками идут письма, судя по всему, кто с кем куда поехал (языка не знаю, что за сервис тоже, так что не уверен в сути писем). Видимо, все экономят на айтишниках.
Dmitri-D
06.03.2018 04:03А ваши однофамильцы, будьте уверены, видят ваши полисы и ваши данные. Они могут даже попробовать что-то оформить и повесить на вас если там есть сканы паспорта и прав.
В общемя, повод бить тревогу.
За соблюдением закона следит прокуратура, если что. Дело не политическое. Может и сработают как надо
AlfaStrah
06.03.2018 04:25-1Максим, добрый день еще раз
Как уже проговорили с вами после обеда, и чтобы оповестить аудиторию:
— к сожалению, в системе произошел единичный сбой, к которому привело ошибочное указание одной из дат рождения и их совпадение у двух разных клиентов при самостоятельном оформлении полиса на сайте компании.
Извините, что сразу не уведомили вас здесь, что увидели ваше сообщение, до момента устранения причины этой нелепой ошибки.
В любом случае, еще раз огромное вам спасибо, что обратили наше внимание на эту проблему.
В настоящее время она устранена.
С уважением, команда «АльфаСтрахование»
theIggs
06.03.2018 06:09+1Вот и поставлена точка в дискуссии о необходимости уникальных искусственных ключей в БД! ФИО и даты рождения должно быть достаточно.
RiseOfDeath
06.03.2018 09:47+2А вдруг у кого-то совпадет ФИО и дата рождения? Такое тоже возможно.
ALIron
06.03.2018 11:49+1blog.chirkov.net/2015/01/14/pro-tezok-sudebnyx-pristavov-i-vytekayushhie-iz-etogo-problemy
В Москве есть ~ 200 человек у которых совпадает всё ФИО+ДР+Место рождения (Москва большая).
По стране полных тесок десятки тысяч (ФИО), полных тесок с одним ДР тысячи.
Так что всё зависит от размера выборки (на страну суррогатный ключ «ФИО+ДР» явно недостаточен) и от уровня критичности данных и кросс-доступа, который автор получил.
Общий ID решение правильное, но не всегда реализуемое.
Если данные ведут в разных системах, то общего ID нет, его можно только сформировать в консолидирующей системе.
Обычно под такие задачи используют системы класса MDM, а под клиентов специализированное решение есть подкласс MDM-ов CDI (Customer Data Integration).
Если мне не изменяет память в Альфа Страховании внедрен CDI от HFLabs силами Джетинфосистемс. Почему разработчики личного кабинета не использовали общий ID из CDI — большая загадка.
mkll
07.03.2018 12:19С 28-го числа не вижу своего полиса ни на сайте, ни в приложении. Звонил дважды, заведены две заявки, два раза брали номер телефона и обещали перезвонить.
Изменилось ли что-нибудь после этого — вопрос риторический.
P.S. Относительно часто летаю и не ленюсь каждый раз после покупки авиабилетов забивать номера страховок пассажира, которые автоматически заключает а/к, на вашем сайте. Увидел свой полис пассажира только один раз, все остальные разы ничего не было. Каждый раз веселюсь и задаю себе вопрос — а зачем мне личный кабинет на сайте, зачем мне приложение.
P.P.S. При поиске полиса требуется вводить не только его номер, но и дату выдачи. Зачем? Номер полиса не уникальный, что ли? Что за бред.
Irker
06.03.2018 08:22+1Уже писал как-то: на мой ИНН налоговая повесила имущество и данные другого человека. Я от невнимательности даже немного налогов заплатил за него через личный кабинет. В ЛК были видны все его данные, паспортные, имущество, прописка и пр. Уже как 3 года не могу дочистить последствия вот такого их слияния аккаунтов =) А вы говорите альфастрахование =)
ingumsky
06.03.2018 11:03Вы, к сожалению, не единственный. Я не так давно видел сюжет о том, как у человека выбивают чужие долги, потому что в БД соответствующих товарищей его ФИО, дата рождения и город проживания совпадают с данными должника. И читал в Гардиан про аналогичную историю в США, когда девушке отказывались дать машину на прокат и вынуждали платить чужие штрафы, потому что её данные (там вообще только имя, инициал второго имени и фамилия) совпадали с данными других женщин.
ALIron
06.03.2018 11:57По стране таких историй много.
И заканчиваются они очень долго.
Кому то просто счета приставы опустошают, а кого то и «лицом в пол» потому что «обознались в базе»=)
Про запрет выезда из страны по чужим долгам — вообще история частая, так как ФССП не особо сильна в задачах поиска среди данных.WhoresOnAHorse
06.03.2018 18:26Не совсем по теме, но в свое время ныне не существующий ФСКН умудрился по ошибке взять штурмом квартиру одногруппника. А все дело в том, что у на этаже были две квартиры с одним номером. У одногруппника 1, а у потенциального диллера 11, но без цифры 1.
anprs
06.03.2018 09:02Жалоба в прокуратуру, роскомнадзор и ЦБ мне кажется будет эффективнее поста на хабре
OleG_I
06.03.2018 12:19-2Это уже давно починили)
этой уязвимости уже нет )))))))))))))
слишком поздно выложили)MaxALebedev Автор
06.03.2018 12:27Давно это когда? Вчера вечером?
Часть скриншотов я сделал в момент написания статьи.
Или вы один из «чинителей»?
ZverArt
Попробуйте позвонить на горячую линию. +7 495 788 0 999 — может там перенаправят на технического специалиста и получится быстрее довезти информацию о такой уязвимости.
P. S. Хорошо, когда твои ФИО уникальны…
nick_gabpe
С уникальными ФИО свои проблемы.
ZverArt
Тоже верно
hasu0
Было дело несколько раз звонил на их линию поддержки — совершенно совковый убогий сервис, их операторы не то что помочь не могут, но даже и вежливо разговаривать еще не научились.
Dmitri-D
горячая линия — это просто call-center, работающий по жесткому алгоритму. Нетипичные проблемы они не решешают, и добраться до решающего человека — сильно затруднительно.