Сегодня стал свидетелем ситуации, при которой сотрудник хочет узнать подробности одного из счетов юридических лиц.
Итак, информация, которую запросили:
1) Наименование организации.
2) Имя.
3) Номер счета.
Как Вы понимаете наименование и номер счета данные, которые получить достаточно просто.
Имя хватило действительно только имени, никакой проверки по данной информации нет.
Услышав этот диалог я недоуменно поинтересовался, неужели эта вся проверка, на что мой товарищ сообщил, что проверят так же сведения по последним операциям.
И действительно:
4) Любая сумма последнего прихода или расхода.
И вот уже после этого удалось узнать подробности счета (точный остаток, статус арестов, состояние по различным долгам).
Так вот я к чему, если игра стоит свеч в рамках этого же дня я отправлю на счет, о котором хочу узнать подробности какую-нить сумму некруглую, чтобы мой ответ был убедителен для ответа на вопрос №4, найти информацию по вопросам №1-3 труда не составляет.
Подумали мы с товарищем, а что можно еще сделать по телефону, пришли к выводу, что риски именно информационные о состоянии счета, также полученную информацию можно использовать для убедительности атаки на главного бухгалтера например.
Кстати, мой товарищ формально не является сотрудников организации о которой запрашивал информацию.
