Хороший плохой Тинькофф Банк
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Работая в компании, специализирующейся на информационной безопасности, постоянно находишься в окружении параноиков увлечённых людей =) Но лично меня это очень радует, так как и сам такой же.
Недавно коллега Евгений Миронов обратил внимание на ежемесячную рассылку Банка Тинькофф электронных писем с информацией о выписке об операциях по карте. До июля банк присылал выписку в виде вложенного PDF-файла, а в июле решил изменить способ доставки.
[caption id=”attachment_7213” align=”aligncenter” width=”608”] Ссылка на выписку[/caption]
Теперь в письме самой выписки не было - прислали лишь ссылку, где её можно посмотреть. Ссылка генерируется для каждого клиента (видимо) случайная и просто так её не подберёшь:
https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618 Вот только ссылка эта является прямой, т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки. В принципе, с точки зрения безопасности большой разницы между обоими вариантами (PDF-файл и прямая ссылка) нет, если бы не один нюанс, на который Евгений и обратил внимание. Дело в том, что на странице банка, где размещается эта ссылка, были встроены сервисы рекламы и статистики, к которым при загрузке страницы происходило обращение. Вот эти сервисы:Получается, что фактически, любой, кто имеет доступ к статистике этих сервисов (например, их владельцы, администраторы и иной обслуживающий персонал) может увидеть в логах те самые прямые ссылки и воспользоваться ими, чтобы, не зная логина и пароля, получить доступ к выпискам клиентов банка (при условии, конечно, что клиенты пройдут по этим ссылкам). Евгений обратился в банк и выписку по его ссылке оперативно удалили, но и только. Убедился в этом, проверив ссылку из собственного письма. Выписка прекрасно скачивалась без авторизации и сервисы были на месте: [caption id="attachment_7214" align="aligncenter" width="215"] Некоторые из сервисов на странице банка Тинькофф с выпиской клиента[/caption] К слову, посмотреть запросы, направляемые загружаемой страницей к внешним сервисам можно так:
- adfocus.ru
- s.ytimg.com
- ssp-ext-bl.datamind.ru
- stats.g.doubleclick.net
- sync.pool.datamind.ru
- syncsw.pool.datamind.ru
- www.youtube.com
- tinkoffcreditsystems.d3.sc.omtrdc.net
- www.google-analytics.com
- top-fwz1.mail.ru
- www.googletagmanager.com
Предположив, что результатом моего персонального обращения в банк станет очередное удаление одной единственной (теперь моей) выписки, обратился к ним через официальный аккаунт в Твиттере. Не сразу, но всё-таки меня там поняли. Более того, сейчас (по моим прикидкам на исправление было потрачено около недели) на всех страницах https://www.tinkoff.ru/statement/* вообще никаких сторонних сервисов больше нет, хотя с главной страницы сайта банка они, конечно, никуда не делись. В целом, молодцы, что исправили, но плохо, что не позаботились об этом заранее. В конце концов, нет же никаких Google Analytics и прочих средств слежения за пользователем в Личном кабинете их Интернет-банка. Надеюсь, что г-н Оливер Хьюз будет следить за соблюдением озвученных им принципов: «Мы являемся единственным полностью дистанционным банком в России, поэтому развитие онлайн-каналов — наш приоритет, и мы инвестируем много времени и ресурсов, чтобы довести их до совершенства». В конце концов, даже в Минэкономразвития всю опасность сторонних счётчиков понимают, там, правда, мотивация чуть другая =) [box type="info" style="rounded"]UPD. 24.07.2015 Как подсказывают в Facebook коллеги из Лаборатории Касперского, вероятно, проблема не была настолько опасна: настройки предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. Достоверно проверить сейчас данный факт уже не представляется возможным (все ссылки на выписки недействительны). С другой стороны, наличие любых запросов со страницы с конфиденциальной информацией к каким бы то ни было сторонним сервисам не желательно в любом случае.[/box] [box type="info" style="rounded"]UPD. 17.08.2015 Появилась возможность проверить справедливость моих опасений и не преминул это сделать: Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью.[/box] В заключение порекомендую два отличных расширения для браузеров: Ghostery и AdBlock, которые в описанном выше случае (пока я их не отключил для проведения тестов) прекрасно справлялись с проблемой. Ghostery специализируется как раз на блокировке сервисов по слежению за пользователями и в работе очень информативен и удобен: для каждой страницы можно быстро посмотреть обнаруженные "жучки" и при необходимости некоторые из них разрешить (бывает нужно, например, для автоматической авторизации с использованием профиля соцсети). [caption id="attachment_7217" align="aligncenter" width="550"] Ghostery vs Tinkoff Bank[/caption] Единственный недостаток Ghostery - не очень полная база, особенно для русскоязычного сегмента Интернет. Даже на примере страницы банка Тинькофф видно, что Ghostery выявил только два жучка. AdBlock, наверное, популярнее и уже знаком многим как отличное средство борьбы с рекламой (а её в сети хватает), но это не единственный его функционал. В настройках можно включить дополнительные списки фильтров для блокировки: [caption id="attachment_7218" align="aligncenter" width="550"] Списки фильтров AdBlock[/caption] Впрочем, если выбрать вообще все списки, то часть привычного функционала на многих сайтах может пропасть, так что в крайность впадать тоже не обязательно. Ещё материалы по теме:
- Safari: правая кнопка мыши -> Показать программный код страницы -> вкладка Шкала времени. Перезагрузите страницу и увидите полный список всех запросов как на скриншоте выше.
- Chrome: правая кнопка мыши -> Проверить элемент -> вкладка Sources.
Комментарии из Telegram
Комментарии ВКонтакте