Разве плохо постоянно учиться на своем (и чужом, кстати, тоже) опыте? Как позитивном, так и негативном?
Просто банк постоянно ходит в челленджерах (хотя по размеру это уже не так), и при этом очень публичен в медийной сфере. Вот такие истории и находят интерес у публики.
Самый быстро растущий розничный банк? Самая крупная в финансовой сфере логистическая сеть? 4я подряд награда Delloite за лучшее мобильное приложение? Фи, как скучно. А вот Агарков или баг на сайте, это медиаповод.
Такая уж природа человека, нужны зрелища :)
Попробуйте заменить в заголовке этой статьи название нашего на название любого другого российского. Много у вас вариантов получится, чтобы вызвать такой интерес? Осмелюсь предположить, что не очень.
А тогда, через какой промежуток времени вы выходите на связь с автором письма?
Выходу на связь по таким обращениям предшествует, эммм, некая внутренняя работа СБ. Хотите верьте, хотите — нет, но, если бы статьи не было, с автором связались бы сегодня.
И я не передергиваю, это вы написали про десятки обращений, пишущих каждый день.
Да, я написал, что их немало. Но нигде не писал, о том, что они игнорируются.
Нет, потому что он один из десятков, пишущих каждый день от «я нашел у вас дырку» до «я спер у вас всю базу клиентов с номерами карт, отпечатками пальцев и ДНК» :) на общий ящик.
А вот и сам текст, раз уж автор разрешил.
Как видите, информации для реакции в нем, мягко говоря, немного. И самое неприятное, что оно отправлено на ящик, предназначенный для консультаций по кредитным продуктам. В нем и по делу-то немало сообщений, а уж похоже выглядящих «предложений сотрудничества» сыпется…
-----Original Message-----
From: ********[mailto:************@**********.ru]
Sent: Monday, August 08, 2016 10:52 AM
To: credit <credit@tinkoff.ru>
Subject: [[SOME_TECHNICAL_ID]]
Добрый день.
Я нашел ошибки в работе вашей системы, в следствии которых банк теряет деньги (возможные потери от 1-2 тысяч в месяц до примерно 10-20 на одном клиенте).
готов обсудить варианты сотрудничества по схеме
На конференции Black Hat представители компании Apple сделали важное объявление: с 1 сентября 2016 года Apple запускает собственную программу bug bounty. Компания обещает выплачивать исследователям награды в размере до $200 000, но пока только избранным.
В последнее время Apple оставалась одной из немногих компаний-гигантов, у кого до сих пор нет собственной программы вознаграждения за уязвимости. Такие инициативы достаточно давно есть у Micorosoft, Facebook, Twitter, Yahoo, Google и так далее.
Трактуется кем?
Если вам интересно мое мнение, то возможность узнать баланс по номеру любой введенной карты — неверное поведение систем ДБО банка. Поэтому она была закрыта, как только о ней стало известно. При этом стоит учитывать, что без дополнительной информации эта уязвимость достаточно сложно эксплутировать.
У вас, других хабражителей или ответственных органов точка зрения может быть другой.
Не совсем. Касательно своей карты: клиент, получая ее, соглашается с правилами использования.
Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.
Ссылка на то, что «это же хабр, тут все подкованные» тут не работает. У хабра хорошая цитируемость в соцсетях, а там публика бывает разная
К сожалению, разрешения на публикацию текста письма от уважаемого krommне дождался, попробуем обойтись без него. Далее — от лица пресс-службы:
Спасибо за то, что помогаете делать наши сервисы ещё более безопасными и удобными. Ошибка незначительная и уже исправлена.
Мы всегда открыты к работе по программе Bug Bounty, но и вы должны использовать законные методы, которые не задевают интересов наших клиентов.
Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.
Еще раз спасибо за внимательность!
С уважением, Тинькофф
Отправили тикет разработчикам.
Просто банк постоянно ходит в челленджерах (хотя по размеру это уже не так), и при этом очень публичен в медийной сфере. Вот такие истории и находят интерес у публики.
Самый быстро растущий розничный банк? Самая крупная в финансовой сфере логистическая сеть? 4я подряд награда Delloite за лучшее мобильное приложение? Фи, как скучно. А вот Агарков или баг на сайте, это медиаповод.
Такая уж природа человека, нужны зрелища :)
Попробуйте заменить в заголовке этой статьи название нашего на название любого другого российского. Много у вас вариантов получится, чтобы вызвать такой интерес? Осмелюсь предположить, что не очень.
Выходу на связь по таким обращениям предшествует, эммм, некая внутренняя работа СБ. Хотите верьте, хотите — нет, но, если бы статьи не было, с автором связались бы сегодня.
Да, я написал, что их немало. Но нигде не писал, о том, что они игнорируются.
ни одно обращение не игнорируется
отпечатками пальцев и ДНК» :) на общий ящик.извините, подробнее раскрыть тему не могу, это закрытая информациия
Как видите, информации для реакции в нем, мягко говоря, немного. И самое неприятное, что оно отправлено на ящик, предназначенный для консультаций по кредитным продуктам. В нем и по делу-то немало сообщений, а уж похоже выглядящих «предложений сотрудничества» сыпется…
Имел в виду техпроцесс в конкретном нашем банке. Я с ним хорошо знаком по роду деятельности
Очень спорное утверждение, поверьте. Вероятность крайне низка.
Попыток у вас будет немного. Карта будет заблокирована на анти-фроду.
Если вам интересно мое мнение, то возможность узнать баланс по номеру любой введенной карты — неверное поведение систем ДБО банка. Поэтому она была закрыта, как только о ней стало известно. При этом стоит учитывать, что без дополнительной информации эта уязвимость достаточно сложно эксплутировать.
У вас, других хабражителей или ответственных органов точка зрения может быть другой.
Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.
Ссылка на то, что «это же хабр, тут все подкованные» тут не работает. У хабра хорошая цитируемость в соцсетях, а там публика бывает разная
Как и любого другого, впрочем
А насчет несанкционированного пентестинга уже писали выше. Особо добавить нечего
Спасибо за то, что помогаете делать наши сервисы ещё более безопасными и удобными. Ошибка незначительная и уже исправлена.
Мы всегда открыты к работе по программе Bug Bounty, но и вы должны использовать законные методы, которые не задевают интересов наших клиентов.
Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.
Еще раз спасибо за внимательность!
С уважением, Тинькофф