Альфастрахование допускает утечку персональных данных

    Являясь клиентом компании Альфастрахование, при поиске страховки для поездки за границу заглянул на их сайт.
    В свое время меня привлекла возможность оформления недорогого полиса, да еще и через интернет.
    Залогинился в личном кабинете, нашел старые полисы, и, мягко говоря удивился, увидев с десяток полисов оформленных не на меня.
    Номера полисов я замазал, чтобы не разглашать чужие персональные данные.
    К примеру тут нет ни одного полиса, как-то связанных со мной.



    Вот тут три верхних полиса оформлял я.
    Остальные не мои.


    Помимо подробной информации об автомобиле:


    Можно посмотреть и информацию о водителе и его водительском удостоверении.


    А также о его паспортных данных.
    Такая же информация доступна и о дополнительных водителях, вписанных в полис.
    Сканы самих полисов также присутствуют.


    У всех полисов есть только одно общее — всех владельцев зовут также как и меня. Cовпадают полностью и фамилия и имя и отчество.
    К сожалению, в ответ на мое обращения по электронной почте я получил, видимо, автоматическую отписку о том, что мое обращение принято, но с 28 февраля со мной никто не связался, поэтому считаю возможным опубликовать информацию тут.
    Остается только догадываться, кому в личный кабинет привязаны мои полисы с персональными данными.

    UPD
    Вчера днём из личного кабинета исчез доступ ко всем чужим данным, а также один мой полис.
    Вечером со мной связался представитель альфастрахования.
    Принёс извинения за такой инцидент. Пообещал что пропавший полис вернётся в Личный кабинет, а такой ситуации больше не повторится.
    Поделиться публикацией
    Комментарии 69
      +1
      Попробуйте позвонить на горячую линию. +7 495 788 0 999 — может там перенаправят на технического специалиста и получится быстрее довезти информацию о такой уязвимости.

      P. S. Хорошо, когда твои ФИО уникальны…
        +2

        С уникальными ФИО свои проблемы.

          0
          Тоже верно
          +2
          Было дело несколько раз звонил на их линию поддержки — совершенно совковый убогий сервис, их операторы не то что помочь не могут, но даже и вежливо разговаривать еще не научились.
            0
            горячая линия — это просто call-center, работающий по жесткому алгоритму. Нетипичные проблемы они не решешают, и добраться до решающего человека — сильно затруднительно.
            –3

            Какие же нынче все скоростные-то стали. С 28 февраля на момент публикации прошёл целый один (!) рабочий день (и начался второй), обращение могло ещё даже не дойти до рассмотрения ответственными лицами весьма крупной компании, а её уже обвиняют в недобросовестном отношении. Проблема, конечно, весьма серьёзная, но можно было бы дать и немного больше времени на её рассмотрение и решение.

              +6
              Простите, а 1 и 2 не считаются? 28, 1,2 и вот сейчас 5-е. По моей арифметике начался четвёртый день.
                0
                сколько? неделя? месяц? полгода?

                кому надо быть более скоростным — тому, кто за это получает деньги или тому, кто их (получается) дарит?
                  +20
                  Я считаю, что у компании время реакции на факап должно быть сравнимо с временем реакции человека, который увидел несанкционированное списание по карте.

                  Банки ожидают «немедленно оповестить и заблокировать», вот и пользователи ожидают от компании «немедленно отреагировать и пофиксить».
                    +9
                    Напомнило. Когда-то у меня была карта альфы, и произошло странное списание средств. Звоню в поддержку, объясняю ситуацию — де, я никаких оплат не делал, а произошло списание, причем, на счёт иностранной компании. Подозреваю, говорю, мошенничество, что делать-то?
                    От ответа поддержки я онемел секунд на 15.
                    Они.
                    Предложили.
                    Оформить.
                    Кредит.
                    o_%

                    P.S. Да, кстати. Странным списанием оказалась автооплата сервисов амазона. Там произошла какая-то автоподписка. Я нагуглил это за 1 минуту (первая ссылка в поиске). И отменил списание средств у амазона за еще одну минуту.
                    Это к слову об уровне компетенции их саппорта. Понятно, ушел от них.
                    +3
                    Безопасники дежурят круглосуточно, по факту они могли сразу закрыть доступ к кабинетам, а потом разбираться.
                      0
                      До сегодняшнего дня все доступно было. Пару скриншотов утром обновил.
                    +2
                    К сожалению, поддержка у альфастрахования та еще, когда я писал им баг-репорт, что нельзя фильтровать на карте по типу мед учреждений, мне ответили, что вы вообще не должны видеть на карте. Отличный ответ я считаю!
                    Ну и до кучи напишу, что позвонив им на IVR и дождавшись фразы «Можете дождаться ответа оператора», вас просто скидывают, да и IVR тот еще…
                      +6
                      Шел 2018 год, а фильтрацию до сих пор делают по ФИО, а не ID…
                        +1
                        Фильтрацию..) Как я во время учёбы недоумевал от того, что Primary Key «должен» быть ФИО или, в лучшем случае, серия/номер паспорта. Пытался спорить, понимая уже тогда, что это дичь какая-то, но…
                          0
                          К моему счастью, мне не приходилось видеть такую шизофреническую дичь
                            0
                            Там этому так учили, чтобы показать что есть такое первичный ключ, а не для того чтобы повторять это на сайтах страховых)
                              0
                              Может сайт страховой студенты пилили? :)
                                0
                                Я лично знаком с командой разрабов, там только крутые спецы. Вы же понимаете, что не они принимают такие решения :)
                                  0
                                  Я исключительно в качестве шутки :)
                          0

                          Ну спасибо, я теперь боюсь в банк-клиент заглянуть. Одно успокаивает, что денег там почти не было. А теперь может появятся?
                          Шикарная история, правда шикарная. Эпичный факапище на самом видном месте, даже газеткой не прикрытый.

                            0

                            С банкингом все отлично, просто поддержу информационных систем Альфа банка и альфастрахования осуществляют разные ИТ-команды.

                            –1

                            Можно ли завести фейковый договор страхования, ради скрадывания данных интересного страхователя?

                              +1
                              Проверил, нельзя. Похоже, отображение чужих данных — это результат миграции из старых баз данных.
                              +11
                              Почитал отзывы о этой компании, они в нагрузку к ОСАГО по умолчанию ставят галку на доп. страховку(серый шрифт на сером фоне), но это еще не все, списание за ОСАГО происходит по стандартной схеме(через смс код подтверждения), а за доп.страховку списывают втихую второй транзакцией, и тем кто заметил возвращают деньги. Происходит это как минимум с ноября 2017г. так что на добросовестное отношение этой компании можно не рассчитывать.
                                +1
                                Альфа* и добросовестное отношение — оксюморон.
                                  +1
                                  Я пытался прописать человека в свой страховой полис. У него множитель меньше моего, в офисе альфастрахования мне сказали, что доплачивать ничего не нужно, все должно быть нормально. Личный кабинет же считает, что у него множитель 1 и предлагает доплатить за страховку. Когда я по себе делал запрос КБМ у альфы, они вдруг обнаружили, что забыли передать мои данные в РСА. Жуть.
                                    0
                                    многие страховые забывают (забивают) предать данные в РСА и это печально
                                    0
                                    Многие страховые откровенно «втюхивают» дополнительные страховки. Росгосстраху я возвращал полис страхования жизни с возвратом средств.
                                      0

                                      На Альфастрахование имею большой зуб. Когда я купила вторую машину, чтобы выехать из салона сделала ОСАГО у них. Так мне выписали "нулёвый" класс 3 водители (КБМ). А по факту у меня был на тот момент класс 9, по другой действующей ОСАГО. И всё, класс слетел на все времена вместе со скидками на страховку, начинай сначала безаварийную карьеру.

                                        +1
                                        Происходит это гораздо дольше, и не только с ОСАГО. С другими видами страховок тоже. В 2016 имел с ними двухмесячное разбирательство про «допстраховку», без всякого серого шрифта, обычная галочка. Галочка была снята, страховка оплачена картой с 3DSecure, через минуту — вторая транзакция без всякого подтверждения. Два письменных заявления с интервалом в месяц — на третий месяц деньги вернули.
                                        +1
                                        Да у них на сайте всё через жопу. Полчаса пытался посчитать полис, не получилось, написал в саппорт — сказали, что больше нельзя на сайте (предупредить видать религия не позволяет).
                                        При этом форма саппорта полурабочая и у меня аж 5 обращений за раз отправилось :)
                                          +1
                                          у меня аж 5 обращений за раз отправилось :)
                                          Так это — дублирование информации для надежности.
                                            +1
                                            Да у них на сайте всё через жопу.


                                            У них вообще все через нее. Они так и не смогли мне объяснить, как расторгнуть ДКБО. А ДКБО я хотел расторгнуть, так как при отзыве ПД они подсовывают форму, где написано что-то типа «мы не будем использовать ваши ПД больше ни для чего, кроме как предусмотрено ДКБО». То есть права на обработку ПД отнять у них очень сложно. Я, кстати, еще проверю, прекратили ли они обработку моих ПД или нет, есть способ.

                                            upd: пардон, протупил. Речь об Альфа-Банке.
                                            +3
                                            Оповестил админа, будем посмотреть как быстро инфа до разработчиков дойдёт и они пофиксят.

                                            UPD: Разрабы в курсе.
                                              +2
                                              Молодцы разработчики :-D Из личного кабинета пропали полисы чужие, да заодно и мой один. Видимо, на всякий случай!
                                                0
                                                Ахаха, они конечно оперативно запилили. Ну лучше так. Нужные полюсы откроют потом. Лучше перебдеть.
                                                  +7
                                                  Нет, лучше изначально делать нормально. Лучше реагировать на прямые запросы в техподдержку. Лучше не дожидаться огласки. Мне, кстати, так ни один человек не позвонил, не написал, все молча и скрытно.
                                                  Видимо стоило отправить запрос в Роскомнадзор, они это любят.
                                                    +2
                                                    Руки вам никто не выкручивает, вы вольны делать как пожелаете. Я просто знаком с подноготной т.к. работал админом в Агима. Они разрабатывают портал и поддерживают его. Скрин с сайта
                                                  0
                                                  специально зарегистрировался на сайте посмотреть. Чистая регистрация, полисы не отображаются… но стоит открыть DevTools в хроме и вот они ссылочки на ПДФ. Но все полисы только мои подтянулись — уж не знаю с ФИО повезло или пофиксили.
                                                  0
                                                  А не оповестите ли вы кого-нибудь в альфа-банке, чтобы посмотрели вопросы? Уже месяц отправляю вопрос через страницу обратной связи (а так же пробовал через почту mail@alfabank.ru которая указана на странице реквизит), каждый раз пишется, что ответят в ближайшее время, но ответа так и нет :).
                                                    +1
                                                    alfastrah != alfa-bank
                                                  –1
                                                  Остается только догадываться, кому в личный кабинет привязаны мои полисы с персональными данными.
                                                  Вы их всех уже знаете и можете посмотреть их ФИО у себя в паспорте
                                                    +1
                                                    водительские удовстоверения, паспортные данные, информация об автомобилях отличнаются, ваш ко
                                                    0
                                                    Полное совпадение ФИО — еще не самый плохой вариант. Очень многие компании, особенно относительно мелкие, не проверяют принадлежность емейла при регистрации. И я постоянно получаю сообщения о чужой регистрации, часто с паролем и прочей информацией. Как-то росгосстрах прислал мне все данные о чужой машине и владельце. Сейчас вот от украинского blablacar каждый день пачками идут письма, судя по всему, кто с кем куда поехал (языка не знаю, что за сервис тоже, так что не уверен в сути писем). Видимо, все экономят на айтишниках.
                                                      0
                                                      Блаблакар мелким не назовёшь, хотя у них и сделано многое через одно место.
                                                        0
                                                        Да, крупные тоже грешат, просто у мелких это гораздо чаще встречается. Видимо, слишком сильно экономят.
                                                        0
                                                        В сбере у меня постоянно приходят смс, что мол вот Вам код на подтверждение регистрации. Причем сначала только, что с устройства на андроид приходило, потом еще и о том, что с устройств на ios, и в этой же смс сообщение о том, что, если Вы этого не делали, то позвоните срочно на горячую линию. Что я и сделал, какого же было мое удивление, когда девушка милым голосом мне сказала, что «все в порядке, просто у вас имя пользователя очень простое ( четыре буквы я себе выбрал, тк это было на заре интернет банкинга у сбера) и по этому когда другие пользователи пытаются зарегистрироваться с таким же логином, Вам приходит данная смс»… занавес. Нет, ну я теперь зато в курсе сколько народу хочет такой же логин в сбере, но если честно подбешивает уже. Зачем рассылать такие смс. Почему нельзя сразу проверку занятости сделать и не беспокоить существующих клиентов?
                                                        0
                                                        А ваши однофамильцы, будьте уверены, видят ваши полисы и ваши данные. Они могут даже попробовать что-то оформить и повесить на вас если там есть сканы паспорта и прав.
                                                        В общемя, повод бить тревогу.
                                                        За соблюдением закона следит прокуратура, если что. Дело не политическое. Может и сработают как надо
                                                          0
                                                          За персональными данные также отвечает РКН.
                                                          0
                                                          Максим, добрый день еще раз

                                                          Как уже проговорили с вами после обеда, и чтобы оповестить аудиторию:
                                                          — к сожалению, в системе произошел единичный сбой, к которому привело ошибочное указание одной из дат рождения и их совпадение у двух разных клиентов при самостоятельном оформлении полиса на сайте компании.
                                                          Извините, что сразу не уведомили вас здесь, что увидели ваше сообщение, до момента устранения причины этой нелепой ошибки.
                                                          В любом случае, еще раз огромное вам спасибо, что обратили наше внимание на эту проблему.
                                                          В настоящее время она устранена.

                                                          С уважением, команда «АльфаСтрахование»

                                                            +1
                                                            Вот и поставлена точка в дискуссии о необходимости уникальных искусственных ключей в БД! ФИО и даты рождения должно быть достаточно.
                                                              +2

                                                              А вдруг у кого-то совпадет ФИО и дата рождения? Такое тоже возможно.

                                                                +1
                                                                blog.chirkov.net/2015/01/14/pro-tezok-sudebnyx-pristavov-i-vytekayushhie-iz-etogo-problemy

                                                                В Москве есть ~ 200 человек у которых совпадает всё ФИО+ДР+Место рождения (Москва большая).
                                                                По стране полных тесок десятки тысяч (ФИО), полных тесок с одним ДР тысячи.

                                                                Так что всё зависит от размера выборки (на страну суррогатный ключ «ФИО+ДР» явно недостаточен) и от уровня критичности данных и кросс-доступа, который автор получил.

                                                                Общий ID решение правильное, но не всегда реализуемое.

                                                                Если данные ведут в разных системах, то общего ID нет, его можно только сформировать в консолидирующей системе.
                                                                Обычно под такие задачи используют системы класса MDM, а под клиентов специализированное решение есть подкласс MDM-ов CDI (Customer Data Integration).

                                                                Если мне не изменяет память в Альфа Страховании внедрен CDI от HFLabs силами Джетинфосистемс. Почему разработчики личного кабинета не использовали общий ID из CDI — большая загадка.
                                                                +3
                                                                Угу, «ФИО и даты рождения хватит всем!» O:)
                                                                0
                                                                С 28-го числа не вижу своего полиса ни на сайте, ни в приложении. Звонил дважды, заведены две заявки, два раза брали номер телефона и обещали перезвонить.

                                                                Изменилось ли что-нибудь после этого — вопрос риторический.

                                                                P.S. Относительно часто летаю и не ленюсь каждый раз после покупки авиабилетов забивать номера страховок пассажира, которые автоматически заключает а/к, на вашем сайте. Увидел свой полис пассажира только один раз, все остальные разы ничего не было. Каждый раз веселюсь и задаю себе вопрос — а зачем мне личный кабинет на сайте, зачем мне приложение.

                                                                P.P.S. При поиске полиса требуется вводить не только его номер, но и дату выдачи. Зачем? Номер полиса не уникальный, что ли? Что за бред.
                                                                +1
                                                                Уже писал как-то: на мой ИНН налоговая повесила имущество и данные другого человека. Я от невнимательности даже немного налогов заплатил за него через личный кабинет. В ЛК были видны все его данные, паспортные, имущество, прописка и пр. Уже как 3 года не могу дочистить последствия вот такого их слияния аккаунтов =) А вы говорите альфастрахование =)
                                                                  0
                                                                  Вы, к сожалению, не единственный. Я не так давно видел сюжет о том, как у человека выбивают чужие долги, потому что в БД соответствующих товарищей его ФИО, дата рождения и город проживания совпадают с данными должника. И читал в Гардиан про аналогичную историю в США, когда девушке отказывались дать машину на прокат и вынуждали платить чужие штрафы, потому что её данные (там вообще только имя, инициал второго имени и фамилия) совпадали с данными других женщин.
                                                                    0
                                                                    Пора при рождении выдавать ID
                                                                      0
                                                                      И чип под кожу :/
                                                                        0
                                                                        Тоже не поможет кардинально. Чипы ломаются, изымаются, подделываются
                                                                        Только ДНК, только хардкор=)
                                                                      0
                                                                      По стране таких историй много.
                                                                      И заканчиваются они очень долго.
                                                                      Кому то просто счета приставы опустошают, а кого то и «лицом в пол» потому что «обознались в базе»=)
                                                                      Про запрет выезда из страны по чужим долгам — вообще история частая, так как ФССП не особо сильна в задачах поиска среди данных.
                                                                        0
                                                                        Не совсем по теме, но в свое время ныне не существующий ФСКН умудрился по ошибке взять штурмом квартиру одногруппника. А все дело в том, что у на этаже были две квартиры с одним номером. У одногруппника 1, а у потенциального диллера 11, но без цифры 1.
                                                                          0
                                                                          Дилер подстраховался, видать :) стер единичку. И сработало!
                                                                    0
                                                                    Жалоба в прокуратуру, роскомнадзор и ЦБ мне кажется будет эффективнее поста на хабре
                                                                      –2
                                                                      Это уже давно починили)
                                                                      этой уязвимости уже нет )))))))))))))
                                                                      слишком поздно выложили)
                                                                        0
                                                                        Давно это когда? Вчера вечером?
                                                                        Часть скриншотов я сделал в момент написания статьи.
                                                                        Или вы один из «чинителей»?
                                                                          0
                                                                          OleG_I, а что вы веселитесь-то так? Прям так смешно, так смешно, что смайликов на пол-строки.
                                                                        • НЛО прилетело и опубликовало эту надпись здесь

                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                          Самое читаемое