Pull to refresh

Comments 207

UFO just landed and posted this here
Что бы остальные запомнили, что «сливай сколько хочешь и что хочешь, эти клиенты только в интернете возмущаться горазды, а штрафы нам всё-равно не грозят». Как то так.
UFO just landed and posted this here
Я хотел сказать именно то, что сказал: сколько не факапь, бугуртить клиенты будут только в интернете. Штраф фирма за раскрытие персональных данных или ещё что-то подобное не получит. Можно думать о безопасности в последнюю очередь и не париться о клиентах вообще. Именно это я и сказал. Теперь уже дважды :-)
Запомнили, что так нельзя делать.
Если идентификатор достаточно длинный, случайный и ссылка живёт ограниченное время в совокупности с защитой от перебора, то это достаточно допустимый вариант.
Имеем 64 знака. Цифры и буквы разного регистра – вроде не плохо. Но если поисковый робот придет, а кто-то снова забудет robot.txt?
Ссылка в e-mail ведет на домен click.email.tinkoff.ru, где robots.txt пустой
А сама выписка (пдф документ) скачивается с www.tinkoff.ru/api/v1/statement_file — который в роботс.ткст на тинькове не закрыт.
Так что не аргумент.

Кроме того, afaik, по времени или количеству раз разумной блокировки нет, по крайней мере у нас 12 дневная выписка открывается.
поправьте тогда ссылку в статье, чтобы не было неоднозначности…
перепутал) на новых ответах не видно, автор ли пишет
Ребят, спасибо за наблюдательность! Сделал upd.
Ситуация приобретает новый ракурс! :)
Откуда придет? Или гугл индексирует почту в gmail?
Еще как индексирует. Банально проверяется жи, ну.
Если человек с установленным Яндекс.Бар (или как он там сейчас называется) переходит по какой-нибудь ссылке, то она замечательно влетает в индекс. Думаю Google при помощи Chrome так тоже умеет, поэтому не обязательно даже пользоваться Gmail.
Какой из этого можно сделать вывод? Что в топку Яндекс Бар — это тупо шпионский софт который с любого твоего сайта может слить приватную ссылку — таких страниц множество
То, что его в топку уже давно понятно. Но во-первых, попробуйте это объяснить не мне, а всем пользователям, многие из которых даже не могут знать о том, что он установлен. А во-вторых, не факт, что Яндекс.Браузер или Google Chrome не ведут себя также, их тоже в топку?
А также Гугль Хром, Яндекс.Браузер, Гугль.Аналитику, Яндекс.Метрику и их аналоги, любые счётчики, «поделиться» и фиг знает что ещё на всех страницах где есть ценные данные. Вот только манахерам хочется знать сколько человек кликает там и сям по сайту и им посрать на безопасность пользователей.
Помню историю как один из мобильных продуктов яндекса все время слал на сервер местоположение носителя. Когда народ увидел трафик и разобрал его, яндекс списал все на баг, но верится с трудом.
О том и речь. Те же ссылки что засветились в яндексовой метрике, вебвизоре и гугл аналитике запросто могут оказаться в поисковой выдаче. И никто гарантирует, что страницы которые ты посещал в Хроме, Я.Браузере или даже Опере не будут позже посещены пауком «для внутреннего пользования», без попадания в результаты поиска.
Если идентификатор достаточно длинный, случайный и ссылка живёт ограниченное время в совокупности с защитой от перебора, то это достаточно допустимый вариант.
Неограниченное, но даже если бы ограниченное…
Ссылка первоначальная — по протоколу http идет, что в принципе означает, что ее видит «вероятный противник»© А раз видит, значит и воспользоваться может ей так или иначе.
Нет никакой разницы, отправлять по небезопасному протоколу ссылку или сразу выписку.
Есть разница.
Почту человек может забрать по безопасному протоколу, т.е. уязвимость только на канале «ткс-почта».
В случае если посылается ссылка (а не выписка), добавляется еще один этап — доступ непосредственно к выписке по небезопасному протоколу.

Т.е. грубо говоря если Вам почтой россии отправляют 500 тысяч бумажками, то украсть их могут только на почте россии. А вот если Вам посылают письмо с данными для получения денег на предъявителя, то уязвимостей куда больше.
Нигде в письме не написано, что ссылка живет какое-то время.
Если это хеш ограниченный по времени, проблемы нет. Вы уверены, что там именно подряд идущие id?
Там не подряд идущие ID, они может быть даже шифрованы, но я только что нашел в странице с выпиской виджеты популярных сетей. Эти виджеты отдают на свой сервер для статистики url страниц где они запускаются.
Поправка. Там нет виджетов. Там есть ссылки. Сама страница во внешний мир никаких запросов не делает, и сервисы эти ничего не знают.
Единственное, что могло бы произойти, будь там http, это передача заголовка referer когда на ссылку кликнули. Но там https, он этот заголовок не передаёт. Здесь никакой проблемы/дыры нет.
Отредактируйте пост, а то народ в заблуждение вводите :)

Я ТКС ни в коем случае не защищаю, и комментарий Natalia Lutay, сотрудника банка, который она выдвигает «с уверенностью», выглядит как детский лепет. Мне даже стыдно стало. Хотя опозорилась она. Налицо подмена тезиса.
Если злоумышленник имеет доступ к почте, в любом случае он имеет доступ к выписке.

Да, но ранее это можно было сделать имея ТОЛЬКО доступ к почте. Сейчас это можно сделать кучей других методов. Да даже банально подсмотреть/сфотографировать адрес. Я уже молчу про историю браузера, которую может найти жена, и узнать, что её муж просаживает в баре половину зарплаты.

Ещё проблема — это индексация недобросовестными поисковиками, следящими за пользователями с помощью браузеров. Если данные утекут в какую-нибудь поисковую систему, узнаем, кто и насколько нагло за нами следит.

Яндекс вон недавно попался на этом.

ТКС, если вы читаете мой комментарий. Я ваш клиент, и меня напрягает такое отношение к моим данным, и ваши самоуверенные и некомпетентные сотрудники.
> Я уже молчу про историю браузера, которую может найти жена, и узнать, что её муж просаживает в баре половину зарплаты.

А ещё жена может в кеш браузера сходить, устроить MitM-атаку (даже установить доверенный сертификат) и выбить пароль скалкой.
Какая-то специально обученная жена
Ну так на ком попало не женимся))
Хм, я не первый об этом пишу, но почему банк до сих пор не закрыл все эти дыры?
А зачем? Ему и так хорошо. «Пока гром не грянет, мужик не перекрестится» © Поговорка.
UFO just landed and posted this here
Ставки по сравнению в прошлой зимой очень сильно упали. И падают у многих банков.
Так что даже и не очень понятно куда топать ногами.
Я тоже не знаю как ТКС отслеживает устройства, но отслеживает не только по кукам.

Такой эксперимент надо проводить не на виртуалке.
Придется поковыряться.
Можно рассуждать о потенциальной опасности этого хеша, индексации, и т.п,
но заголовок и первый абзац откровенно желтушные, и уж по крайней мере не для хабра.

Учитывая появление публикаций на разных ресурсах примерно в одно время — все это больше похоже на заказуху.
Появление публикаций «в одно и то же время» скорее объясняется тем, что это недавнее изменение, все предыдущие месяцы выписка приходила pdf-кой в письме (аттачментом) и проблемы не было.
Тема эта начала обсуждаться сразу же, обсуждается уже недели 2 минимум, плавно перетекая с ресурса на ресурс, вот почему докатилась до хабра только сейчас — це загадка.

Ну и раз уж пошли теории заговоров, напомним, что ткс в одностороннем порядке изменил условия части вкладов в части процентных ставок, вкладов давно уже заключенных. Этого пассажа явно не хватает в «заказухе», так что пускай будет для полноты картины:)
Кстати, выписки же всем в разное время приходят? В зависимости от даты открытия?
Да, смотрю я на свою карму, которая исчезает на глазах, тоже начинаю верить в конспирологию :)
Нет, этот пост точно не заказуха, я сам клиент ТКС банка и именно поэтому меня волнует тема.
Это фактически моя безопасность. Пишу я здесь с призывом – закройте уже дыры!
Abac и edogs
не удивлен что именно вы на меня накинулись, точнее ты :)
Я на вас не накидывался. Разве я вас чем-то обидел?
Если да, прошу прощения.
Какой-то параноик ноет. Правильно тебе банк ответил, выписка твоя защищена ключом, ключ приходит в письме. Этого я считаю вполне достаточно.

Думаешь легко подобрать ГУИДэшник? Так иди подбирай на Стиме или ПСНе ключи для игр.

Ну и самое главное: твоя выписка никому нафиг не сдалась.
подобными комментариями вы, помимо элементарной невежливости, демонстрируете свой невысокий уровень интеллекта. Ещё раз для непонятливых: никто здесь не говорит о подборе ID — речь о том, что отдельным сервисам этот ID (был) доступен в готовом виде.
Каким ключом? Сказано же, кроме ссылки никаких данных не передается. Вся защита, это как бы только точный адрес файла, который по почте (то есть по открытым сетям) передается пользователю.
Риск в том что на общедоступном ресурсе какое то время лежит файл с выпиской клиента. И все что требуется, перехватить, найти, подобрать правильный id. 64 знака, буквы, цифры выглядят не плохо пока мы думаем о подборе одного id. А сколько там лежит выписок вообще? Просто перебором, что то да можно нарыть.
Дорогие параноики!

Предлагаю вам всем вместе объединиться и до вечера попробовать подобрать хотя бы парочку (не своих) выписок.
То есть вы считаете, что огромным трудом для того, кому это нужно, окажется написание парсера, который пробежит по ИД простым перебором, сольет все что возможно и предоставит удобный поиск, скажем, по имени и фамилии?
Я считаю, что сперва надо доказать, что слить выписки реально в жизни, а не только в фантазиях паникеров.

Это же не сайт woman.ru, а все-таки технический ресурс.
так это ж не тупые id, это хеши
если они скопрометированы, то тогда скопрометированы почти все все сайты юзающие хэши для сессий
М… 64 знака хеша перебрать… когда у вас начнет получаться, давайте перейдем к взлому биткоин-кошельков.
> А сколько там лежит выписок вообще?

меньше 10 000 000 (7 знаков, только цифры). Можете начинать перебирать.

Как найдёте — расскажете что именно вы планируете делать с прошлогодней выпиской домохозяйки из Саранска, покупающей продукты.
Несколько возможных вариантов использования из разных областей:

1. С информацией о трех покупках по карте можно пройти авторизацию при обращении в банк по телефону.
2. Если знать когда человек получает зарплату и когда он ее снимает, можно подкараулить у банкомата.
3. Зная в каких магазинах и когда человек закупается, можно запускать очень эффективные рекламные кампании.
1) Позвонил в ТКС, заверили что три операции — это данные, которые может знать третье лицо и никаких авторизаций у них по такому методу нет
2) В Саранск. Ради 10к. Удачи :)
(блин, да любого пенсионера у выхода почты с 3 по 10-е каждого месяца можно брать)
3) В Саранске. Для конкретного клиента. Удачи )
sed 's@Саранск@Москва@g' и цифры становятся очень интересными. Не зря же так много сюжетов в последнее время, когда «у водителя украли десять миллионов рублей из машины» ;)

P.S. Да какая разница, как использовать эти данные. То, что их может получить третий человек ставит крест на желании даже присматриваться к этому банку, который наплевательски относится к своим клиентам не только на словах, но и на деле.
> То, что их может получить третий человек

А вы ведь не задумывались сколько народу любом другом банке имеет к этому доступ?
Ну мы и не о вас говорим. Вы обращали на максимальные лимиты по депозитам у ТКС?
Сколько там? Не более 10 млн на депозит и не более 5 депозитов на одного человека? Вы же не думаете, что такие лимиты банк просто так поставил? Не наталкивает ли вас эта информация на мысли о том, что не только люди среднего достатка пользуются этим банком?
1) Позвонил в ТКС, заверили что три операции — это данные, которые может знать третье лицо и никаких авторизаций у них по такому методу нет

Сам лично при звонке в ТКС называл последнюю операцию по карте – сумму и время – по просьбе оператора.

И последний вопрос:
2) В Саранск. Ради 10к. Удачи :)
А ради 10 млн?
> Не наталкивает ли вас эта информация на мысли о том, что не только люди среднего достатка пользуются этим банком?

А с чего вы взяли, что вы сможете подобрать выписку именно к такому клиенту?

Средний человек там держит меньше АСВ, не получает ЗП на карту ТКС, не имеет зарплату в 10 млн, и, вероятно, картой вообще пользуется только для снятия процентов при случае.

Если вам не нравится пенсионеров караулить — караульте у банков, выплачивающих страховки из АСВ. В первый день выплат джекпот гарантирован(там не 10, но ~1.4 будет). Вы какие-то сложности придумываете.

> Сам лично при звонке в ТКС называл последнюю операцию по карте – сумму и время – по просьбе оператора.

Не обязательно речь шла о (полноценной) авторизации.
История с индексированными поисковиками сообщениями Билайна никого не учит?
Это ладно, мне вон карму дико опустили за этот пост. Хотя и призыв созидательный.
Я думаю, вам карму слили за коммент habrahabr.ru/post/265367/#comment_8547885, а не за пост. Никого не критикую, просто замечено, что в политически ориентированных постах комментировать опасно. Сам когда-то попал на гиктаймсе.
Теоретически, если у них соблюдены все необходимые меры безопасности, то открытые ссылки сопоставимы по безопасности с email. Только защиту от подбора сложнее настраивать и я не уверен, что на практике она так хорошо работает.

А вообще я против и того и того ну зачем клиенту навязывать эту выписку. лучше дать возможность её формировать автоматически с сайтов.
Security through obscurity — это неизвестность алгоритма защиты. Здесь же алгоритм известен (отправка ссылки) а неизвестен ключ (сама ссылка) — так что это не тот случай.

Проблема «лишь» в том, что ссылку достаточно сложно держать неизвестной никому постороннему.
Ваша правда, но нынче под этот же термин приписывают то, что показали в статье — «ну ID-шник же никто не знает».
> но нынче под этот же термин приписывают то

А процессор — это ящик под столом.

«ну пароль же никто не знает» — это полная противоположность «Security through obscurity»
Ее невозможно сформировать, это случайная строка символов. Единственный минус в том, что ссылка останется в истории браузера и теоретически может утечь в G/MS. А вот по поводу навязывание выписки полностью согласен, лучше бы по запросу отдавали.
Да и вариант с PDF в открытом виде в простом письме, мягко говоря, не блещет заботой о конфиденциальности.
Плохо, что ссылка появляется в адресной строке и сохраняется в истории браузера. С другой стороны, пароли тоже хранятся в браузере. Но они не появляются на экране в открытом виде при обычном использовании.
Здесь сыграла отмазка банка. Если бы они эти изменения не подавали под соусом «почта плохой канал», все было бы нормально.
Не понимаю, почему нельзя было отдать выписку по этой же ссылке, но только авторизованному пользователю, а в письме написать, что выписка готова, авторизуйтесь и качайте.
UFO just landed and posted this here
18 августа я написал о вопросах безопасности HTTP-ссылок на cso@tinkoff.ru, а ещё раньше здесь.
В общем банк уже пару недель в курсе, но ничего не предпринял…
Печально.
Если итоговая страница www.tinkoff.ru/statement/?ticket=*** (а у моих друзей именно такая в итоге открывается), то она закрыта от индексации в robots.txt: Disallow: /*ticket=

Следовательно нет причин для паники истерики.
UFO just landed and posted this here
автор развел вонь на пустом месте. ссылка одноразовая и после первого скачивания уже не действительна.
Ты считаешь, что это менее безопасно, чем отправлять выписку на почту? По твоему подобрать пароль к твоей почте сложнее, чем сгенерировать валидную ссылку содержащую тикет длинной 64 символа?
кроме того на почту приходит ссылка с одним ключом, а отдается выписка по другому ключу, уверен, что вторая ссылка активна, только после того как первая будет активирована, а в первой ссылке ключ длинной уже 80 символов.
Ссылка не одноразовая. И работает неограниченное время. У меня есть ссылка из письма 20-ти дневной давности.
Прекрасно открывается. И давайте не будем хамить.
только что перешел по ссылке из своего письма второй раз и она не работает. Сдается мне, что тебе лимит не прибавляют, вот ты и злишься тут в хабре
Зачем мне на вас злиться? Хамство это ваша проблема, не моя :)
Лимит имеете в виду кредитный? Хм, у меня нет кредитных карт, только дебетовые карты и депозиты ;)
на банк злишься, наверное.

а выписка, то все таки по кредитной карте, в тексте. Если у тебя только депозиты, то откуда тогда эта выписка?
ты выложил всем на обозрение чужую выписку? откуда взял?

надо провести расследование, почему ты выкладываешь чужие выписки всем на обозрение и откуда их берешь.

Возможно служба безопасности заинтересуется тобой.
Уважаемый, попейте чаю и успокойтесь. Я не идиот и выкладывать свою выписку не собираюсь.
В опубликованной выписке убраны личные данные, а сама выписка свободно находится в поиске по картинкам Яндекса.
И была использована мной как пример.

На ТКС зачем мне злиться? Я как клиент требую от них усилий в вопросе хранения банковской тайны. А почему вы такой агрессивный и хамоватый – это для меня загадка. Только вот разгадывать мне ее не хочется, может у вас просто в детстве велосипеда не было… :)
уважаемые клиенты обычно репортят в службу поддержки банка напрямую, а не разводят срачь на пустом месте в хабрахабре.

В твоем посте нет ни одного довода о плохой безопасности банка. Уверен, что твоя компетенция вести разговоры о безопасности инф. технологий, находится на 0 уровне, а ты пытаешься еще лить воду на хабре.

я совершенно не агрессивный, ты хотя бы в одном моем комментарии видел, чтобы я переходил на личности и оскорблял кого то?

и кого я тут упомянул? абстрактных лиц? оскорбил выписку?
UFO just landed and posted this here
Думается, велосипед у него дядя Олег отберёт, если статью прочитает.
Я тоже только что перешел — и снова скачал текущую выписку. А потом нашел письмо месячной давности — и из него по ссылке тоже скачал предыдущую выписку.

Ps. клевая у нас получилась перепись клиентов ТКС
Что-то у вас слишком борзая манера общения для сотрудника банка.
Да как-то не по рангу будет, когда рядовой фронтендщик банка выступает с такой речью, огрызается, да еще смеет высмеивать суммы в чужих выписках.
Это еще и сотрудник был (сейчас уже в Read-Only, не посмотреть)? Это прямо за гранью. Хотя обычно у ТКС сотрудники вежливые, удивлен.
Да, можно проверить по корпоративному блогу.
http://habrahabr.ru/company/tcsbank/blog/251421/
http://habrahabr.ru/company/tcsbank/blog/196632/
Таки в чем проблема то? Конкретной атаки не показали. «Выглядит небезопасно» это не аргумент
Вот вам атака: google:allinurl:www.tinkoff.ru/statement/ Конечно, там (сейчас) всего две ссылки — и обе нерабочие — но откуда они там вообще взялись и не будет ли большего «улова» в будущем?
Например, кто-нибудь напрямую скормил гуглу выписки для индексации, прочитав этот топик или ему подобные.
Не обязательно. Например, Яндекс индексирует ссылки, по которым переходит пользователь, если у него установлен Яндекс.Бар (или как его сейчас там). Вполне вероятно, что Google так же делает и в случае с Chrome.
Может и так. Еще вариант — кто-нибудь разместил ссылку на свою выписку в каком-то индексируемом месте, форуме каком-нибудь, чтобы другим показать.
Это проблема пользователей и их инструментов. Веб был задуман так что если у тебя приватный токен в ссылке, не нужно его никому давать или использовать софт который его сливает. Винить тут надо поисковик, так как случай не первый.
Эта задумка устарела. К сожалению, давно уже появились браузеры, которые сливают ссылки — и перекладывание ответственности на пользователя означает отказ от поддержки таких браузеров.
А может и правда на такие браузеры «ругаться» или даже «не пускать»? Чтобы шпионить неповадно было.
До тех пор, пока в ТЗ соседней строчкой стоит поддержка всех популярных браузеров, это невозможно. А так, конечно, идея интересная…
такую нищебродную выписку лучше вообще убрать, учитывая лимит по кредитной карте в 6000 рублей, за хлебом ходишь что ли с этой картой?
UFO just landed and posted this here
почему неуместно? вроде подстать темы и тексту поста…
желчь вскипела в пустых головах, ватники налетели
А Вы кого под словом «ватники» подразумеваете? Просто чтобы понять, спрашиваю. Сам зову ватником такую куртку, на ватной подложке.
Перед глазами картина: куртки на ватной подложке налетают на человека в стиле мультфильма «Мойдодыр».
Слушайте, вы же разработчик, а не пиарщик. Почему вам поручили «негатив отрабатывать»?
я к банку не имею никакого отношения, лишь как довольный клиент.

а негатива в этом посте для банка нет никакого, потому что нет проблемы, пост ни о чем совершенно.

скорее всего пост, чтобы потешить свое самолюбие.

А своими комментариями лишь доказал, что на хабре не важно качество информации, которое доносится в постах, на хабре важно развести своим постом срач и вылеть как можно больше желчи, на какой-нибудь известный бренд, особенно на бренд за которым стоит столь эксцентричный бизнесмен, который известен в интернете своими поражающими воображение высказываниями. На хабре важно развести срач и на него сразу же переключаются, позабыв об основной теме поста. Хотя тема и пост так себе, если честно.
Я специально перечитал все комментарии и не нашёл подтверждение вашему тезису о том, что сразу все переключаются на «столь эксцентричного бизнесмена, который известен в интернете своими поражающими воображение высказываниями.
Вы к банку не имея никакого отношения — пишете статьи в его корпоративном блоге? (*писали)
ой прямо никакого не имеете? habrahabr.ru/company/tcsbank/blog/251421 это вроде ваш пост в корпаративном блоге банка тинькова? у вас все сотрудники так нагло врут в лицо и хамят? или вы единственный такой кадр? твиттер свой удалили от греха подальше, и типа теперь не сотрудник?
Или вот — кэш
«Руководитель отдела разработки веб-интервейсов Тинькофф Банка ekubyshin решил поделиться, как строилась и проходила работа.»
UFO just landed and posted this here
Ну сделать пароль, хотя бы «введите 4 последние цифры номера паспорта», и по попытке перебора блочить…
Откуда известно, что при попытке перебора они не блочат? Вы проверяли?
Потому что получить URL-ы можно при помощи отчета от браузера, можно при помощи перехвата трафика, можно еще как-то. Если бы, кроме части в URL (которая узнается в автоматическом режиме), от юзера бы попросили некое интерактивное действие, в идеале связанное с данными, которые известны только юзеру (обычно это пароль, но как худший вариант, можно что-то потупее предложить, вроде номера части паспорта), то шансы, что робот в авторежиме сможет воровать, стали бы меньше (а не-робот много не навоюет, устанет).

И блокировка была бы тогда по колву попыток войти с тем же 64 хешем и разными номерами паспорта.

А вы как предлагаете им блочить, просто по кол-ву попыток с IP-адреса? )
многие себя мнят знатоками, но таковыми не являются, а уподобляются лишь мерзким созданиям, которым трудно сказать что-то в лицо или доложить о проблеме на прямую, а стараются разводить демагогию на пустом месте, да бы потешить свое самолюбие и заткнуть брешь в своей и без того низкой самооценке, давая пищу другим таким же как и они для высмеивания не существующих проблем и теша себя и свои мерзкие мысли.
Я и некоторые другие клиенты банка уже обращались в службу поддержки. Ссылки на обращение и ответ банка есть выше. И мы сделали это в первую очередь, на что банк отвечает одинаково: «текущая система не менее безопасна используемой до этого».

Первые жалобы появились еще в прошлом месяце. В т.ч. на банки.ру. В Тинькове об этом недовольстве клиентов и обращениях знают, но ничего не меняют. И даже не попытались озвучить компетентные мнения своих технарей. Я написал этот пост после личного обращения в свой банк.

Вы спрашивали где вы кого-то оскорбили, так вот: «уподобляются мерзким созданиям», «нищебродную выписку» и прочее – это и есть оскорбление личности собеседника. Прошу вас воздержаться от таких выпадов. Вы же взрослый человек?
Какого собеседника я оскорбил? личности не указаны, а если кого-то эти комментарии задевают, то это больше его личностные проблемы.

Каждый человек, когда читает книгу воспринимает ее по своему исходя из своих нравственных и моральных качеств, так же и с этими комментариями.

Писать буду ровно все, что мне вздумается.

Раз писали жалобы и банк официально ответил, что это безопасно значит так оно и есть.

Я точно знаю, что служба безопасности ткс банка одна из лучших в России и это они не раз подтверждали. Только служба безопасности ТКС банка смогла найти злоумышленника, который ддосил кучу ресурсов, причем другие банки не смогли этого сделать. Как пример. Поэтому их мнению и решениям стоит доверять, в отличие от твоего мнения.
Раз писали жалобы и банк официально ответил, что это безопасно значит так оно и есть.

Заголовок спойлера
image
Олег Юрьевич, перелогиньтесь )
Товарищ уже переведен в ридонли — так что перелогин ему не поможет :) Думаю как раз за хамство.
Озвучу здесь позицию Тинькофф Банка в ответах на самые популярные вопросы по этой теме:

Почему выбрали такой метод доставки?
В последнее время участились случаи компрометации публичных почтовых сервисов.
Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.
В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.
При этом у нас настроены рейт-лимиты (время жизни ссылки по выписке, допустимое количество открытий с одного устройства или одного ip-адреса и т.д.), значение которых выбрано, исходя из удобства и обеспечения безопасности для конечного пользователя.
При соблюдении элементарных мер предосторожности (в частности, проверка личной почты только с персонального устройства без передачи его впоследствии третьим лицам) риски компрометации пользовательской информации при данном способе доставки выписки минимальны.
При этом любой клиент может отписаться от рассылки в письме и сформировать выписку за любой период самостоятельно в мобильном или интернет-банке. Более того, любой клиент может отказаться от отправки выписок на email, ограничившись лишь бумажными выписками по почте.

Почему это безопасно?
Ссылка устойчива к взлому и перебору: она каждый раз уникальна в отличие от пользовательских паролей почты, которые зачастую не меняются в течение продолжительного периода времени.
Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.

Какие рейт-лимиты используете?
Рейт-лимиты настроены, исходя из удобства и безопасности конкретного конечного пользователя, однако по понятным причинам мы не можем их раскрыть.
При этом у нас есть возможность при необходимости ввести дополнительную идентификацию.

Если будут пожелания по подробностям, также с удовольствием отвечу в этой ветке.
При этом у нас есть возможность при необходимости ввести дополнительную идентификацию.

Это для каждого пользователя? т.е. мне нужно обратиться в тех.поддержку для того что бы мои выписки требовали идентификации? Или необходимость будет оцениваться количеством обращений по этому вопросу и будет включена для всех «при необходимости»?
Скорее второе. Как видите, даже в комментаторах этого топика нет единодушия.
Влад, вы сотрудник банка. Это официальный ответ банка? Вы имеете полномочия для трансляции официальной позиции банка?
Очень здорово! Наконец банк серьезно обратил внимание на проблему.
В последнее время участились случаи компрометации публичных почтовых сервисов.
Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.

1. Если злоумышленник получает доступ к моей почте, то что ему помешает скачать выписки по ссылкам из писем?
2. Если вы перестали доверять почтовым сервисам, то зачем вообще ежемесячно присылать выписку? Не лучше ли сделать ее доступной по запросу из личного кабинета после авторизации на сайте?
1. Если бы выписки слались вложениями, как раньше, злоумышленник получил бы доступ во ВСЕМ вашим выпискам. В нынешнем варианте — к последней, и то, если ссылка не протухла.
2. Доставка выписки одинаково в интересах клиента и Банка. Причем, с нашей стороны есть желание сделать это максимально удобным и простым для клиента способом. Авторизация для получения выписки очевидно уменьшит конверсию их просмотра. Логика же нашего интереса в том, чтобы клиент был проинформирован о сумме задолженности и сроках ее погашения также проста: чем больше клиентов будет увидят выписку, тем меньше по забывчивости пропустят платеж. И значит, это уменьшает просроченную задолженность. У нас есть статистика, прямо подтверждающая эту корреляцию.
чем больше клиентов будет увидят выписку, тем меньше по забывчивости пропустят платеж.

Это очень странный вывод. Если выписка мне приходит ежемесячно в день открытия счета, а платить я должен в определенном интервале (не совпадающем с днем открытия счета), то назвать это эффективным решением можно с натяжкой.
Поставьте напоминалку клиенту, в худшем случае – пришлите на почту за несколько дней до DL доброе письмо с напоминанием в срок оплатить очередной взнос.

И второй вопрос по этому же утверждению: у меня нет ни одного кредитного счета у вас. Зачем меня пушить этими выписками? Лучшая мотивация для меня – видеть зачисленные на карту проценты. Выписка мне нужна только за конкретный период по требованию.
> Поставьте напоминалку клиенту, в худшем случае – пришлите на почту за несколько дней до DL доброе письмо с напоминанием в срок оплатить очередной взнос
Как я уже писал, мы сообщаем не только срок, но и сумму. Которая меняется от выписки к выписке. При недоплате, как и при полной неоплате возникнет просроченная задолженность. Да и дата выписки, как и дата платежа — не константа для счета.

> у меня нет ни одного кредитного счета у вас. Зачем меня пушить этими выписками?
Может, не ваш кейс, но большое количество клиентов, имеющих только дебетовые продукты, звонят в контакт-центр как раз узнать эти самые проценты. Кроме того, есть ненулевая вероятность возникновения минуса и на дебетовой карте (самый частый пример — скачок курсов валют между валютной авторизацией и транзакцией по ней). И об этой задолженности мы также должны сообщить клиенту.
Все перечисленное по дебетовым клиентам – ситуационные сообщения, а не регулярные же?

Какое количество ваших клиентов не пользуется интернет-банком?
Почему нельзя для активных пользователей альтернативными сервисами – приложением и интернет-банком изменять модель оповещения? Каждый раз когда мне начисляют проценты, мне приходит СМС, пуш от приложения и выписка на почту. Зачем так много спама?
> Все перечисленное по дебетовым клиентам – ситуационные сообщения, а не регулярные же?
Звонки в КЦ очень даже регулярная вещь.

> Какое количество ваших клиентов не пользуется интернет-банком?
В цифрах, понятно, не могу сказать. Но охват не 100%-ный. Потому каналы SMS и e-mail очень нужны и важны.

> Почему нельзя для активных пользователей альтернативными сервисами – приложением и интернет-банком изменять модель оповещения?
Не то, чтобы нельзя. Скорее неправильно. В этом месяце человек активно пользуется, в следующем — нет. А сообщить о задолженности по той же кредитке, все же нужно.
Не работаю в банке, но могу предположить, что банки заинтересованы в том, что бы клиент немного задерживал выплаты по кредитам. Задерживал — потому что это лишние проценты, немного — потому что иначе он не сможет выплатить сильно раздувшийся долг и начнется история с судами, реструктуризацией и т.п. А так клиент поругается немного и заплатит чуть больше.
Ежемесячная выписка в этом плане интереснее, чем напоминания. И plausible deniability соблюдается, вроде как заботятся о клиентах.
Смелое предположение. Расскажите о нем ЦБ, с их нормативами резервирования по просроченной задолженности.
Да, я тоже с вами согласен. Правильные напоминания куда более эффективны в этом деле, чем однократный меил с выпиской. Почему не внедряют систему нативных напоминаний и мотивации для меня загадка. Хотя может вы и правы…
Это очень распространённое в народе мнение — мол, банкам только бы клиента наэтосамовать.
На практике есть регуляторы, которые весьма зорко следят за происходящим, и на фоне рисков многосоттысячных штрафов, а то и лишения лицензии, эти три копейки от физика банку никуда не упёрлись.
Не знаю, как сейчас, а в те годы, когда я работал в этой сфере, был норматив — при просрочке клиентского платежа более 3-х дней, банк обязан был заморозить на счетах в ЦБ сумму, равную всей сумме задолженности.
Ну и что банку выгоднее — получить сто рублей пеней от взявшего полмиллиона на машину физика, которого ещё придётся уговаривать и при этом зарезервировать ещё полмиллиона в ЦБ, или эти же полмиллиона покрутить на бирже или краткосрочных овернайт-кредитах по МБК и получить на порядок больше?..
А ЦБ ещё может не понравившемуся банку задрать цены на тот же овернайт или на проведение операций…
Возвращаемся к кредиткам. Платёж (не) оплачивается на ~50-й день, при этом льготный кредит становится нельготным и в долг автоматом дописывается, по минимуму, 30%*50 дней=4%.

Сколько на овернайтах надо крутить за 4%? Полгода?
Спасибо за развернутый комментарий!
Выше я имел ввиду скорее не кредиты с определенным графиком погашения, а кредитные карты с беспроцентным овердрафтом на определенный период. Или механизмы там те же?
Принципы те же. Резервы формируются на любые предоставленные банком кредиты, независимо от инструмента.
Деталей, честно говоря, уже не помню, потому что лет уже прошло порядком, а я всё-таки айтишник и в смежные сферы очень уж глубоко не вдавался.
Если не изменяет память, то резервы все-таки формируются в меньшем количестве, чем долги, в разных странах по-разному, но нормой считается иметь резерв 1:9(хотя можно встретить и 1:2, и 1:200 в зависимости от страны)
Там есть положение ЦБ 254-П (не знаю, может, уже что-то новее выпустили), которое регламентирует формирование резервов в разных случаях.
Объёмы зависят от множества вещей — категория риска, объёмы ссудной задолженности, вида кредитора, наличия обеспечения и чёрт его помнит от чего ещё.
Справедливости ради скажу, что ТКС напоминает о платеже очень настойчиво. Несколько писем на email (за 6, за 3 и в день платежа), SMS, если не заплатить в последний день, то могут и позвонить. Так что здесь у них все хорошо.

Некоторые другие банки действительно не напоминают о платеже, или напоминают слишком рано (например, за 15 дней), или в последний момент.
Тогда слова представителя банка здесь в комментах о том, что выписка вот жизненно необходима и прочее, теряют свой смысл полностью. Напоминалки и так уже есть.
Тут либо сотрудник некомпетентен и не знает какие виды уведомлений работают у них, либо они нам врут, но зачем?
Оно случайно не регламентируется законом? Просто абсолютно все банки присылают выписки по кредитным картам, если у кого-то нет возможности получения online выписки, то шлют обычной почтой, что, подозреваю, не очень дешево.

Вообще в самом получении выписки я не вижу ничего плохого, только вот в индекс оно все равно попадать будет, даже если запретить в robots.txt (по крайней мере у Google попадают ссылки в индекс даже если они закрыты в robots.txt, просто в сниппете пишется, что «Описание веб-страницы недоступно из-за ограничений в файле robots.txt»). Этот момент неплохо бы было исправить.
> Оно случайно не регламентируется законом?

Оно регламентируется договором и здравым смыслом. Клиент оплачивает согласно выписке, для этого выписку он должен получать.

> только вот в индекс оно все равно попадать будет

как видите — нет.
ТКС разослал несколько миллионов выписок, ваши 2 нерабочие ссылки что конкретно должны показать? Что пользователей хрома и гмейла двое?
Ну подождите немного, если ничего не предпринять, то в индексе ссылок будет больше. Примеры Мегафона и Вебасиста ничему не учат что ли?

Впрочем, на данный момент проблема, кажется, исправлена и ссылка действует один раз. Так что уже ничего страшного.
> Ну подождите немного

2 месяца прошло

> ссылка действует один раз

Нет
Это не выгодно банку. Просрочки снижают «кредитный рейтинг» заёмщика. И в последствие он не сможет получить ещё один кредит. А это уже потеря клиента.
Есть один банк с зеленым логотипом (не Сбер), у которого любая просрочка (даже на пару часов) приводит к блокировке карты и требовании возврата всей суммы задолженности немедленно. И штраф начисляют, да. При этом возможности разблокировать карту внеся необходимый платеж нет. Возможности реструктуризировать кредит тоже нет. А самое интересное, что единственный моментальный способ пополнения — Qiwi (с комиссией, ага), все остальные идут от трех дней (причем платеж может идти довольно по-разному). То есть, даже если внести платеж в офисе банка, то придет он далеко не моментально и комиссию возьмут (еще и больше чем Qiwi).
Создается такое устойчивое впечатление, что конкретно этому банку выгодно вгонять клиента в просрочку. Может я и не прав, но создается такое ощущение.
Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.

https://support.google.com:
Инструкции robots.txt носят рекомендательный характер
Настройки файла robots.txt являются указаниями, а не прямыми командами. Googlebot и большинство других поисковых роботов следуют инструкциям robots.txt, однако некоторые системы могут игнорировать их. Чтобы надежно защитить информацию от поисковых роботов, воспользуйтесь другими способами – например, парольной защитой файлов на сервере.
Есть идея: распечатать гуглосправку на бумаге и отправить Олегу Тинькову.
После того как увидел сидбокс из сети ТКС в списке пиров к образовальному торренту, я уже ничему не удивляюсь.
Ещё кто-то зарегистрировал мой адрес у левого человека, хорошо им об этом сообщил и мне всего один раз позвонили в поисках неплательщика.
Пару лет назад сделал этот скриншот:
А вы каждый ip в списке пиров проверяете?
Иногда могу глянуть, особенно когда народу мало. А этот адрес показался знакомым, вот и решил проверить по WHOIS.
Если прямо здесь – в комментариях к посту уже два представителя банка, то не могли они за ночь и roots.txt поправить?
Вчера когда писали api там не было, что кстати Ваша ссылка подтверждает.
А tickets для statement_file и не нужен.
24го августа 2015 года запрета на /api/ еще не было в robots.txt
Рекомендую сотрудникам ТКС заблокировать и Web Archive от греха подальше :)
web.archive.org/web/20150824194714/https://www.tinkoff.ru/robots.txt
Они бы хоть признали: «спасибо за помощь, ребята! Мы баг этот закрыли».
Но нет, мы сами с усами, ага.
Disallow: /*ticket= было давно. Так что выписки от индексирования закрыты были всегда.
Сегодня добавили /api.
ticket= это просто страница где есть ссылка на выписку
а непосредственно сама выписка скачивалась по /api
Теперь понятно, спасибо. Я думал, что до этого тоже было. Просто в посте не сделали апдейт, а в robots.txt оно закрыто.
Делал апдейты пока мне позволяла карма :) Увы.
Почему то никто не пишет, что есть достаточно много расширений для браузеров, которые отправляют списки посещённых URL на сервера создателей этого расширения: discuss.howtogeek.com/t/warning-your-browser-extensions-are-spying-on-you/12394 (список далеко не полный конечно же).

Т. е. содержимое выписок будет доступно создателям таких расширений. Пароли и содержимое страниц такие расширения не передают потому что это может быть незаконно, а URL-ы собирают.

Так что дополнительный пароль (например несколько цифр из номера карты, например) в данном случае необходим и беспечность сотрудников ТКС меня удивляет.
Беспечность… Все же это уже не беспечность, а пофигизм. Пришли сюда, флагами помахали и ушли.
Изменения где, Олег Тиньков?
Проверил только что у себя — со второго раза ссылка перестаёт работать. Возможно, оперативно пофиксили.
Может ли такое решение привести к МАССОВОМУ раскрытию конфиденциальных данных пользователей?

То что 87% ответили «да» печально. Аудитория хабра уже не та…
А вы видать не в курсе событий по сливу данных с fl.ru, билетов с укр. ЖД и информации о том что часто вслед за пользователем по ссылкам ходят поисковые боты?
И да, запрет в robots.txt не спасает. Гугл к примеру напишет что описание страницы закрыто, но ссылка будет в списке при определенном запросе.
Вообще правильно было бы отдавать выписку шифруя её открытым ключём электронной подписи клиента, но в данный момент это непрактично т.к. получить подпись проблемно (нужно искать удостоверяющий центр) и дорого (в районе 1000 рублей в год) соответственно она есть у единиц.
О, да!!! Я как-то получал персональную ЭП для физлица, это был тот еще квест!
А в каком банке, если не секрет?
Я не в банке, получал в удостоверяющем центре универсальную ЭП. Ей можно было заходить на большинство сайтов госуслуг. И я не понял зачем мне выпускать новую ЭП в каждом банке, у меня уже есть одна. Можно же все сервисы привязывать к одной ЭП?
А что мешает банку самому выдавать ключ? Другое дело, зачем это надо, лишние пляски с бубном ради всего лишь выписки. Вполне достаточно авторизации по паролю.
off: ключОм
Так лучше бы и слали ее дальше по почте. Отмазка нелепая: «почту слишком часто взламывают» (… поэтому мы решили сразу выложить выписки у себя на сайте).
Вообще-то присылать выписку аттачментом — само по себе ахтунг. С каких это пор электронная почта стала безопасным каналом связи???
Ни один уважающий себя западный банк или правительственная организация никогда, ни при каких обстоятельствах не пришлёт персональные данные в письме. Максимум имя-фамилия. Всё остальное — по ссылке с авторизацией.
Аргументация у сотрудницы, конечно, тупейшая.
Я, наверно, скажу глупость не относящуюся к теме, но…

Зачем в выписку встраивать виджеты социальных сетей? Не для того ли, что бы узнать однозначно какие у клиента банка аккаунты в социальных сетях?

Зачем это банку? Для таргетинга? Возможно, но… Я думаю, что всё это сбор данных для коллекторского агентства Банка. Ну надо же и через соцсети, а не только через мобилы, донимать злостных неплательщиков. Номер то мобильный поменять легко, а вот отказаться от нажитого аккаунта — на такое пойдёт не каждый.

Вот и вопрос — а безопасен ли в таком случае данный способ предоставления выписки для меня? Не думаю. Не слишком ли много Банк желает знать обо мне?

Выше уже писали, что там не виджеты, а просто «пассивные» ссылки на социалки. Так что теория заговора отменяется.
Спасибо, я как-то пропустил этот комментарий. Теперь моя паранойя меня не побеспокоит.
нажитого аккаунта

Вы же не серьёзно, правда?
А мне в техподдержке отказали отключить полностью функцию «подтверждения кодом по СМС» при входе в интернет-банк из-за меры безопасности, сославшись на невозможность отключения данной услуги в их системе.
Хотя в других банках никаких проблем. Из чего я могу сделать вывод, вкупе с данным топиком, что дело не в безопасности вовсе, а в более углублённом электронном порабощении.
Пару лет назад можно было выключить оба предлагаемых на выбор варианта — и СМС-оповещение о входе, и СМС-подтверждение входа. До сих пор жалею, что потом включил один из них.
Хотя в других банках никаких проблем.
Если Вы хотели сказать «в других банках с демократическими взглядами», то можно согласиться. Если нет — значит мало с какими банками имели дело. Попробуйте добиться этого от МТС Банка, или Траста, например. В последнем, кстати, переключатель и вообще дизайн ИБ очень напоминает старую версию ИБ ТБ.
На днях клиенты Тинькофф банка обнаружили
Не будьте таким же слоупоком, поправьте текст, файл заменили ссылкой с июля
Андрей, выписки всем приходят раз в месяц. В день открытия счета. Так что каждый клиент об этом узнал в свой день.
Можно в этой ситуации я не буду менять текст?
То бишь читать как: можно я останусь таким же малолюбознательным, буду ориентироваться на жалобы каких-то избранных клиентов в FB, про которые узнал из Roem или какого-нибудь иного СМИ, и писать «в конце июля», даже не пытаясь установить истинную дату перемен? А какая разница, пара недель раньше, пара недель позже… Только почему тогда было не написать об этом через год? :) А истинная дата — это ключ к первым обсуждениям и ответам банка.

Изменения произошли максимум в середине июля
Друзья, это победа! Здравый смысл в Тинькове восторжествовал. Они внесли изменения, а именно: письмо приходит как и прежде со ссылкой, но теперь посетить ее можно лишь один раз, а при повторном посещении – интерфейс просит ввести одноразовый пароль, параллельно он приходит на телефон без дополнительного запроса.

Возникает только один вопрос: почему представители бренда (в комментариях было целых 2 сотрудника ТКС) не смогли сразу согласиться с критикой сообщества и клиентов?

Возникает только один вопрос: почему представители бренда (в комментариях было целых 2 сотрудника ТКС) не смогли сразу согласиться с критикой сообщества и клиентов?

Каков руководитель, таковы и представители.
Sign up to leave a comment.

Articles