Как монобанк пол года игнорировал дыру в безопасности и извинялся. Или история про гиганта на глиняных ногах

Мое сотрудничество с Монобанком началось с первых месяцев его появления на рынке. Вот то что нужно, подумал я. Прислушиваются к комьюнити, удобный интерфейс приложения, решение вопросов без «идентифицируйте себя назвав все семейные секреты, явки, пароли» — ну вот отлично и все тут. Но как говорили опытные люди, чтобы познать человека нужно либо пуд соли с ним сьесть либо в горы. Ни того не другого я делать не стал, а произошло вот что.
Однажды вечером я решил добавить новые отпечатки своих пальцев в свой смартфон (Oneplus 7 pro, os Android 10) для более быстрого срабатывания датчика и заметил следующее:
Все банковские приложения (Укрсиббанк, Привабанк) выдали сообщение «Внесены изменения в меню отпечатков пальцев, введите пароль приложения для подтверждения». «Заругались» всекроме Монобанка. Монобанк продолжил пускать в приложение не смотря на изменившиеся настройки отпечатка. Я подумал что это не отработала операционка или просто глюк приложения, и попробовавал вновь проделать то же самое, и опять приложение Приватбанка и Укрсиббанк не пустили меня выдав окно предупреждения а Монобанк проигнорировал проверку продолжая считать что все нормально и перед ним клиент-владелец.
Я решил усложнить задачу, и дал своему другу добавить в мой телефон, в настройки отпечатка пальцев, свой отпечаток пальца (к моим уже существующим) и как думаете что произошло… правильно, Монобанк пустил в приложение и был готов пересылать средства куда заблагорассудится.
Не долго размышляя в ту же минуту я быстренько связался со службой поддержки Монобанка в Телеграмме и 26 ноября 2019 года, специалист Дмитрий принял мое обращение и пообещал скорейшее решение по закрытию данной уязвимости. Я наивно рассчитывал что данный баг будет взят в работу незамедлительно в связи с тем что под угрозой стоят финансы клиентов и авторитет банка как надежного и безопасного.

01.12.2019 со мной связываются и меня просят снять видео всего того, что я описал. Я оперативно снимаю видео с экрана и отправляю специалисту в чате моноподдержки.
02.12.2019 со мной вновь связываются и просят стянуть с приложения баг-репорт. Окей берите все что нужно.
11.12.2019 — интересуюсь у поддержки характером данного бага и статусом "
Я: — Это настолько сложно или так неприоритетно?
Ответ: — Первое. Нужно учесть множество фактров
(Монобанк подтверждает что это СЛОЖНО и ВАЖНО)
28.12 — мой запрос к поддержке. Ответ «Ждите, в работе»
25.01.2020 — обращаюсь на поддерку и вновь интересуюсь статусом решения проблемы, ответ «в работе, ждите»,
начинаю думать что что то не так, либо игнорируют, либо это для них не проблема.
11.02 — со мной связываются и спрашивают какая версия приложения у меня установлена, после чего исчезают.
02.03 — обращаюсь и получаю стандартную отписку «Разработчиками выставлена задача на исправление и уже в ближайших обновлениях будет исправлено. Спасибо, что помогаете нам стать лучше!»
13.03 — Обращаюсь вновь на поддержку, специалист просит обьяснить и описать проблему заново (в этом за долгое время, я впервые увидел заинтересованность). Специалист Егор (возможно лучший специалист в системе поддержки) наверное сам пробует проделать тоже самое с добавлением чужого отпечатка и скорее всего ооооочень удивляется системе безопасности банка.
16.03 — и вот наконец спустя 4 месяца и общению с Егором этот баг фиксят. Вы скорее все заметили эти изменения интерфейса при авторизации в монобаковское приложение.
Занавес.
А не совсем.
21.03 — я так же интересуюсь возможностью банка отметить мои заслуги и лояльность каким либо образом за найденую уязвимость. Поддержка всячески обещает помочь ииииииии
— выдает мне кэшбек на покупки в Play market размером 50% и сроком на месяц о_О. (сразу скажу покупками в плей маркете я не интересуюсь от слова совсем. И вся эта благодарность называется «сорри бонус». Только за что извиняется Моно банк? Меня ни чем не обидели и извинений я не ждал, я ждал скорейшего закрытия этой бреши в безопасности. И конечно отметки моих потуг как лояльного клиента, который не выложил в паблик эту инфу и тем самым не нанес ущерб банку и его клиентам, а продолжал терпеливо 4 месяца общаться с теми кто без желания и энтузиазма пытался (или нет) решить данную проблему.
Сказать что этим кешбеком сделали еще хуже — ничего не сказать. Я потребовал связать меня с тем кто назначил эту подачку. На удивление меня связывают в чате с неким Николаем (старший специалист поддержки возможно зря занимающий эту должность) который вообще не понимая сути ситуации назначает мне этот кешбек.
После длительного общения с ним, он так и не понял всей ситуации и пропадает на неделю с просьбой дать ему время на решение вопроса о благодарности клиенту за данный поступок.
Сегодня 28 марта после моего обращения мне согласовали опять этот чертов «сорри бонус» в виде именного пластика бесплатно (зачем он мне?). Я отказался так как нахожу достатоно удобным и дефолтную карту монобанка.
Уверен своим QA, и разработчикам Монобанк тоже платит кешбеком с плей маркета ;)
Мораль:
Чему учит эта история? Крупным компаниям-банкам плевать на своих клиентов их финансовую безопасность и лояльность. А в виде благодарности вам максимум кинут пару монет в чашку с гроким звоном. Даже без слова спасибо.
Спасибо