Как стать автором
Обновить

Тинькофф банк скомпрометировал выписки по счетам клиентов?

Время на прочтение2 мин
Количество просмотров69K
На днях клиенты Тинькофф банка обнаружили занимательный факт – выписки с информацией о движении денег по счетам клентов банк разместил на своем сайте по прямой ссылке. Это оплошность специалистов по информационной безопасности и нарушение банковской тайны или очередной PR-ход известного своими выходками Олега Тинькова?

Ежемесячно каждому клиенту Тинькофф банка на электронную почту приходит выписка – это симпатичное письмо с приложенным к нему pdf-файлом с информацией о движении денег по счетам.



Пример вложенной выписки:



В конце июля верстка письма немного изменилась, теперь файл с выпиской банк решил не прикладывать к письму, а ограничиться лишь ссылкой.



Все бы хорошо, но ссылка ведет прямо на сайт банка – https://www.tinkoff.ru на страницу по адресу:

www.tinkoff.ru/statement/?ticket=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Некоторые моменты:
  • В ссылке не передается никаких параметров кроме 64-значного id тикета.
  • По ссылке можно зайти с любого ip адреса.
  • Для доступа к странице по ссылке не нужно авторизовываться в личном кабинете на сайте банка.


При загрузке волшебной страницы автоматически начинается скачивание выписки конкретного клиента.



Сотрудники банка так прокомментировали ситуацию:



UPD: Если заглянуть в код страницы с выпиской, то можно обнаружить встроенные виджеты:
— Twitter
— Facebook
— Youtube
— Google+
— Instagram

Если для получения выписки достаточно знать лишь адрес страницы, значит технический персонал данных сервисов уже имеет доступ к конфиденциальным данным клиентов банка.


UPD 2: проблема с robots.txt
Хабравчане в комментариях заметили, что ссылка в e-mail ведет на домен click.email.tinkoff.ru, где robots.txt пустой.
Сама выписка (pdf документ) скачивается с www.tinkoff.ru/api/v1/statement_file — который в robots.txt не закрыт.

Возникает вопрос:
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Может ли такое решение привести к массовому раскрытию конфиденциальных данных пользователей?
86.94% Да, и это полный кошмар!1950
13.06% Это решение совершенно безопасно293
Проголосовали 2243 пользователя. Воздержались 1159 пользователей.
Теги:
Хабы:
Всего голосов 81: ↑61 и ↓20+41
Комментарии207

Публикации

Истории

Работа

Ближайшие события

2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань