На днях клиенты Тинькофф банка обнаружили занимательный факт – выписки с информацией о движении денег по счетам клентов банк разместил на своем сайте по прямой ссылке. Это оплошность специалистов по информационной безопасности и нарушение банковской тайны или очередной PR-ход известного своими выходками Олега Тинькова?
Ежемесячно каждому клиенту Тинькофф банка на электронную почту приходит выписка – это симпатичное письмо с приложенным к нему pdf-файлом с информацией о движении денег по счетам.
Пример вложенной выписки:
В конце июля верстка письма немного изменилась, теперь файл с выпиской банк решил не прикладывать к письму, а ограничиться лишь ссылкой.
Все бы хорошо, но ссылка ведет прямо на сайт банка – https://www.tinkoff.ru и имеет следующий вид:
www.tinkoff.ru/statement/?ticket=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Некоторые моменты:
- В ссылке не передается никаких параметров кроме 64-значного id тикета.
- По ссылке можно зайти с любого ip адреса.
- Для доступа к странице по ссылке не нужно авторизовываться в личном кабинете на сайте банка.
При загрузке волшебной страницы автоматический начинается скачивание выписки конкретного клиента.
Сотрудники банка так прокомментировали ситуацию:
Возникает вопрос:
Если найдется технарь с достаточным количеством свободного времени и азарта, сможет ли он получить доступ к ряду выписок клиентов банка?
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
ссылка на оригинал статьи http://habrahabr.ru/post/265365/
Добавить комментарий