Работая в компании, специализирующейся на информационной безопасности, постоянно находишься в окружении параноиков увлечённых людей =) Но лично меня это очень радует, так как и сам такой же.
Недавно коллега Евгений Миронов обратил внимание на ежемесячную рассылку Банка Тинькофф электронных писем с информацией о выписке об операциях по карте. До июля банк присылал выписку в виде вложенного PDF-файла, а в июле решил изменить способ доставки.
Теперь в письме самой выписки не было — прислали лишь ссылку, где её можно посмотреть. Ссылка генерируется для каждого клиента (видимо) случайная и просто так её не подберёшь:
https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618
Вот только ссылка эта является прямой, т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки. В принципе, с точки зрения безопасности большой разницы между обоими вариантами (PDF-файл и прямая ссылка) нет, если бы не один нюанс, на который Евгений и обратил внимание.
Дело в том, что на странице банка, где размещается эта ссылка, были встроены сервисы рекламы и статистики, к которым при загрузке страницы происходило обращение.
Вот эти сервисы:
- adfocus.ru
- s.ytimg.com
- ssp-ext-bl.datamind.ru
- stats.g.doubleclick.net
- sync.pool.datamind.ru
- syncsw.pool.datamind.ru
- www.youtube.com
- tinkoffcreditsystems.d3.sc.omtrdc.net
- www.google-analytics.com
- top-fwz1.mail.ru
- www.googletagmanager.com
Получается, что фактически, любой, кто имеет доступ к статистике этих сервисов (например, их владельцы, администраторы и иной обслуживающий персонал) может увидеть в логах те самые прямые ссылки и воспользоваться ими, чтобы, не зная логина и пароля, получить доступ к выпискам клиентов банка (при условии, конечно, что клиенты пройдут по этим ссылкам).
Евгений обратился в банк и выписку по его ссылке оперативно удалили, но и только. Убедился в этом, проверив ссылку из собственного письма. Выписка прекрасно скачивалась без авторизации и сервисы были на месте:
К слову, посмотреть запросы, направляемые загружаемой страницей к внешним сервисам можно так:
- Safari: правая кнопка мыши -> Показать программный код страницы -> вкладка Шкала времени. Перезагрузите страницу и увидите полный список всех запросов как на скриншоте выше.
- Chrome: правая кнопка мыши -> Проверить элемент -> вкладка Sources.
Предположив, что результатом моего персонального обращения в банк станет очередное удаление одной единственной (теперь моей) выписки, обратился к ним через официальный аккаунт в Твиттере. Не сразу, но всё-таки меня там поняли. Более того, сейчас (по моим прикидкам на исправление было потрачено около недели) на всех страницах https://www.tinkoff.ru/statement/* вообще никаких сторонних сервисов больше нет, хотя с главной страницы сайта банка они, конечно, никуда не делись.
В целом, молодцы, что исправили, но плохо, что не позаботились об этом заранее. В конце концов, нет же никаких Google Analytics и прочих средств слежения за пользователем в Личном кабинете их Интернет-банка. Надеюсь, что г-н Оливер Хьюз будет следить за соблюдением озвученных им принципов: «Мы являемся единственным полностью дистанционным банком в России, поэтому развитие онлайн-каналов — наш приоритет, и мы инвестируем много времени и ресурсов, чтобы довести их до совершенства».
В конце концов, даже в Минэкономразвития всю опасность сторонних счётчиков понимают, там, правда, мотивация чуть другая =)
В заключение порекомендую два отличных расширения для браузеров: Ghostery и AdBlock, которые в описанном выше случае (пока я их не отключил для проведения тестов) прекрасно справлялись с проблемой.
Ghostery специализируется как раз на блокировке сервисов по слежению за пользователями и в работе очень информативен и удобен: для каждой страницы можно быстро посмотреть обнаруженные «жучки» и при необходимости некоторые из них разрешить (бывает нужно, например, для автоматической авторизации с использованием профиля соцсети).
Единственный недостаток Ghostery — не очень полная база, особенно для русскоязычного сегмента Интернет. Даже на примере страницы банка Тинькофф видно, что Ghostery выявил только два жучка.
AdBlock, наверное, популярнее и уже знаком многим как отличное средство борьбы с рекламой (а её в сети хватает), но это не единственный его функционал. В настройках можно включить дополнительные списки фильтров для блокировки:
Впрочем, если выбрать вообще все списки, то часть привычного функционала на многих сайтах может пропасть, так что в крайность впадать тоже не обязательно.
Ещё материалы по теме:
- ЯндексБот ходит по ссылкам, по которым ходит пользователь, ХабраХабр
- С официальных сайтов уберут иностранные счетчики посещаемости, Известия
- Как я чуть не «взломал» Альфа-Банк, ZLONOV.ru
- Почему DLP-система не защитила банк Санкт-Петербург от утечки?, ZLONOV.ru