Как стать автором
Обновить
8
0

Пользователь

Отправить сообщение
Комментирую.
Отправили тикет разработчикам.
Разве плохо постоянно учиться на своем (и чужом, кстати, тоже) опыте? Как позитивном, так и негативном?
Просто банк постоянно ходит в челленджерах (хотя по размеру это уже не так), и при этом очень публичен в медийной сфере. Вот такие истории и находят интерес у публики.
Самый быстро растущий розничный банк? Самая крупная в финансовой сфере логистическая сеть? 4я подряд награда Delloite за лучшее мобильное приложение? Фи, как скучно. А вот Агарков или баг на сайте, это медиаповод.

Такая уж природа человека, нужны зрелища :)
Попробуйте заменить в заголовке этой статьи название нашего на название любого другого российского. Много у вас вариантов получится, чтобы вызвать такой интерес? Осмелюсь предположить, что не очень.
предлагаю считать, что это просто miscommunication :)
А тогда, через какой промежуток времени вы выходите на связь с автором письма?

Выходу на связь по таким обращениям предшествует, эммм, некая внутренняя работа СБ. Хотите верьте, хотите — нет, но, если бы статьи не было, с автором связались бы сегодня.

И я не передергиваю, это вы написали про десятки обращений, пишущих каждый день.

Да, я написал, что их немало. Но нигде не писал, о том, что они игнорируются.
вы передергиваете
ни одно обращение не игнорируется
У вас пропуски в хронологии. После письма была еще эта статья.
Нет, потому что он один из десятков, пишущих каждый день от «я нашел у вас дырку» до «я спер у вас всю базу клиентов с номерами карт, отпечатками пальцев и ДНК» :) на общий ящик.
не так, и не так
извините, подробнее раскрыть тему не могу, это закрытая информациия
А вот и сам текст, раз уж автор разрешил.
Как видите, информации для реакции в нем, мягко говоря, немного. И самое неприятное, что оно отправлено на ящик, предназначенный для консультаций по кредитным продуктам. В нем и по делу-то немало сообщений, а уж похоже выглядящих «предложений сотрудничества» сыпется…

-----Original Message-----
From: ********[mailto:************@**********.ru]
Sent: Monday, August 08, 2016 10:52 AM
To: credit <credit@tinkoff.ru>
Subject: [[SOME_TECHNICAL_ID]]


Добрый день.
Я нашел ошибки в работе вашей системы, в следствии которых банк теряет деньги (возможные потери от 1-2 тысяч в месяц до примерно 10-20 на одном клиенте).
готов обсудить варианты сотрудничества по схеме

На конференции Black Hat представители компании Apple сделали важное объявление: с 1 сентября 2016 года Apple запускает собственную программу bug bounty. Компания обещает выплачивать исследователям награды в размере до $200 000, но пока только избранным.

В последнее время Apple оставалась одной из немногих компаний-гигантов, у кого до сих пор нет собственной программы вознаграждения за уязвимости. Такие инициативы достаточно давно есть у Micorosoft, Facebook, Twitter, Yahoo, Google и так далее.

Заранее спасибо!

— Завершение пересылаемого сообщения —
Я тоже про 15 цифр, просто неудачно сократил цитату.
Имел в виду техпроцесс в конкретном нашем банке. Я с ним хорошо знаком по роду деятельности
Поясню, чтоб было понятно: письмо от автора не содержало никакой информации о характере ошибке.
Соответственно у всех номера пластиковых карт будет идти по порядку

Очень спорное утверждение, поверьте. Вероятность крайне низка.

Соответственно остается просто подобрать 3 цифры на обратной стороне карты

Попыток у вас будет немного. Карта будет заблокирована на анти-фроду.
Трактуется кем?
Если вам интересно мое мнение, то возможность узнать баланс по номеру любой введенной карты — неверное поведение систем ДБО банка. Поэтому она была закрыта, как только о ней стало известно. При этом стоит учитывать, что без дополнительной информации эта уязвимость достаточно сложно эксплутировать.

У вас, других хабражителей или ответственных органов точка зрения может быть другой.
Мне сложно комментировать, я не юрист. Возможно, у наших профильных специалистов мнение отличается от высказанного в комментарии.
Не совсем. Касательно своей карты: клиент, получая ее, соглашается с правилами использования.
Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.

Ссылка на то, что «это же хабр, тут все подкованные» тут не работает. У хабра хорошая цитируемость в соцсетях, а там публика бывает разная
Конечно же мы ведем подробнейший разбор этого инцидента.
Как и любого другого, впрочем
Это если говорить про передачу номеров.
А насчет несанкционированного пентестинга уже писали выше. Особо добавить нечего
К примеру, явно запрещены правилами платежных систем.
К сожалению, разрешения на публикацию текста письма от уважаемого kromm не дождался, попробуем обойтись без него. Далее — от лица пресс-службы:

Спасибо за то, что помогаете делать наши сервисы ещё более безопасными и удобными. Ошибка незначительная и уже исправлена.
Мы всегда открыты к работе по программе Bug Bounty, но и вы должны использовать законные методы, которые не задевают интересов наших клиентов.
Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.

Еще раз спасибо за внимательность!
С уважением, Тинькофф


Я бы с удовольствием, но все же хочется дождаться ответа топикстартера :)

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Работает в
Дата рождения
Зарегистрирован
Активность