Хороший плохой Тинькофф Банк

By Алексей Комаров on 24.07.2015 in информационная безопасность

Работая в компании, специализирующейся на информационной безопасности, постоянно находишься в окружении ~~параноиков~~ увлечённых людей =) Но лично меня это очень радует, так как и сам такой же.

Недавно коллега Евгений Миронов обратил внимание на ежемесячную рассылку Банка Тинькофф электронных писем с информацией о выписке об операциях по карте. До июля банк присылал выписку в виде вложенного PDF-файла, а в июле решил изменить способ доставки.

Ссылка на выписку

Теперь в письме самой выписки не было — прислали лишь ссылку, где её можно посмотреть. Ссылка генерируется для каждого клиента (видимо) случайная и просто так её не подберёшь:

https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618

Вот только ссылка эта является прямой, т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки. В принципе, с точки зрения безопасности большой разницы между обоими вариантами (PDF-файл и прямая ссылка) нет, если бы не один нюанс, на который Евгений и обратил внимание.

Дело в том, что на странице банка, где размещается эта ссылка, были встроены сервисы рекламы и статистики, к которым при загрузке страницы происходило обращение.

Вот эти сервисы:

adfocus.ru
s.ytimg.com
ssp-ext-bl.datamind.ru
stats.g.doubleclick.net
sync.pool.datamind.ru
syncsw.pool.datamind.ru
www.youtube.com
tinkoffcreditsystems.d3.sc.omtrdc.net
www.google-analytics.com
top-fwz1.mail.ru
www.googletagmanager.com

Получается, что фактически, любой, кто имеет доступ к статистике этих сервисов (например, их владельцы, администраторы и иной обслуживающий персонал) может увидеть в логах те самые прямые ссылки и воспользоваться ими, чтобы, не зная логина и пароля, получить доступ к выпискам клиентов банка (при условии, конечно, что клиенты пройдут по этим ссылкам).

Евгений обратился в банк и выписку по его ссылке оперативно удалили, но и только. Убедился в этом, проверив ссылку из собственного письма. Выписка прекрасно скачивалась без авторизации и сервисы были на месте:

Некоторые из сервисов на странице банка Тинькофф с выпиской клиента

К слову, посмотреть запросы, направляемые загружаемой страницей к внешним сервисам можно так:

Safari: правая кнопка мыши -> Показать программный код страницы -> вкладка Шкала времени. Перезагрузите страницу и увидите полный список всех запросов как на скриншоте выше.
Chrome: правая кнопка мыши -> Проверить элемент -> вкладка Sources.

Предположив, что результатом моего персонального обращения в банк станет очередное удаление одной единственной (теперь моей) выписки, обратился к ним через официальный аккаунт в Твиттере. Не сразу, но всё-таки меня там поняли. Более того, сейчас (по моим прикидкам на исправление было потрачено около недели) на всех страницах https://www.tinkoff.ru/statement/* вообще никаких сторонних сервисов больше нет, хотя с главной страницы сайта банка они, конечно, никуда не делись.

В целом, молодцы, что исправили, но плохо, что не позаботились об этом заранее. В конце концов, нет же никаких Google Analytics и прочих средств слежения за пользователем в Личном кабинете их Интернет-банка. Надеюсь, что г-н Оливер Хьюз будет следить за соблюдением озвученных им принципов: «Мы являемся единственным полностью дистанционным банком в России, поэтому развитие онлайн-каналов — наш приоритет, и мы инвестируем много времени и ресурсов, чтобы довести их до совершенства».

В конце концов, даже в Минэкономразвития всю опасность сторонних счётчиков понимают, там, правда, мотивация чуть другая =)

UPD. 24.07.2015 Как подсказывают в Facebook коллеги из Лаборатории Касперского, вероятно, проблема не была настолько опасна: настройки предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. Достоверно проверить сейчас данный факт уже не представляется возможным (все ссылки на выписки недействительны). С другой стороны, наличие любых запросов со страницы с конфиденциальной информацией к каким бы то ни было сторонним сервисам не желательно в любом случае.

UPD. 17.08.2015 Появилась возможность проверить справедливость моих опасений и не преминул это сделать: Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью.

В заключение порекомендую два отличных расширения для браузеров: Ghostery и AdBlock, которые в описанном выше случае (пока я их не отключил для проведения тестов) прекрасно справлялись с проблемой.

Ghostery специализируется как раз на блокировке сервисов по слежению за пользователями и в работе очень информативен и удобен: для каждой страницы можно быстро посмотреть обнаруженные «жучки» и при необходимости некоторые из них разрешить (бывает нужно, например, для автоматической авторизации с использованием профиля соцсети).

Ghostery vs Tinkoff Bank

Единственный недостаток Ghostery — не очень полная база, особенно для русскоязычного сегмента Интернет. Даже на примере страницы банка Тинькофф видно, что Ghostery выявил только два жучка.

AdBlock, наверное, популярнее и уже знаком многим как отличное средство борьбы с рекламой (а её в сети хватает), но это не единственный его функционал. В настройках можно включить дополнительные списки фильтров для блокировки:

Списки фильтров AdBlock

Впрочем, если выбрать вообще все списки, то часть привычного функционала на многих сайтах может пропасть, так что в крайность впадать тоже не обязательно.

Ещё материалы по теме:

_{Изображение}

AdBlock, Ghostery, банк, слежение, Тинькофф, утечка, УЦСБ