Тинькофф банк скомпрометировал выписки по счетам клиентов?

Тема в разделе "Новости информационной безопасности", создана пользователем лис.хвост, 26 авг 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    На днях клиенты Тинькофф банка обнаружили занимательный факт – выписки с информацией о движении денег по счетам клентов банк разместил на своем сайте по прямой ссылке. Это оплошность специалистов по информационной безопасности и нарушение банковской тайны или очередной PR-ход известного своими выходками Олега Тинькова?

    Ежемесячно каждому клиенту Тинькофф банка на электронную почту приходит выписка – это симпатичное письмо с приложенным к нему pdf-файлом с информацией о движении денег по счетам.
    [​IMG]
    Пример вложенной выписки:
    [​IMG]
    В конце июля верстка письма немного изменилась, теперь файл с выпиской банк решил не прикладывать к письму, а ограничиться лишь ссылкой.
    [​IMG]
    Все бы хорошо, но ссылка ведет прямо на сайт банка – Кредитные карты и вклады | Тинькофф Банк на страницу по адресу:

    www.tinkoff.ru/statement/?ticket=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    Некоторые моменты:
    • В ссылке не передается никаких параметров кроме 64-значного id тикета.
    • По ссылке можно зайти с любого ip адреса.
    • Для доступа к странице по ссылке не нужно авторизовываться в личном кабинете на сайте банка.
    При загрузке волшебной страницы автоматически начинается скачивание выписки конкретного клиента.
    [​IMG]
    Сотрудники банка так прокомментировали ситуацию:
    [​IMG]
    UPD: Если заглянуть в код страницы с выпиской, то можно обнаружить встроенные виджеты:
    — Twitter
    — Facebook
    — Youtube
    — Google+
    — Instagram

    Если для получения выписки достаточно знать лишь адрес страницы, значит технический персонал данных сервисов уже имеет доступ к конфиденциальным данным клиентов банка.

    UPD 2: проблема с robots.txt
    Хабравчане в комментариях заметили, что ссылка в e-mail ведет на домен click.email.tinkoff.ru, где robots.txt пустой.
    Сама выписка (pdf документ) скачивается с www.tinkoff.ru/api/v1/statement_file — который в robots.txt не закрыт.

    Источник: Тинькофф банк скомпрометировал выписки по счетам клиентов?
     
    Kиpилл, orderman и akok нравится это.

Поделиться этой страницей