Тинькофф Банк выложил выписки всех своих клиентов в интернет? (+Тинькофф Банк заверил в безопасности ссылочной авторизации для выписок)

Увлекательный тред в Facebook с участием сотрудников Тинкофф Банка, из которого можно сделать вывод, что выписки всех клиентов доступны на сайте банка без аутентификации — по «секретным» ссылкам.

Осталось подождать, пока кто-нибудь угадает паттерн или перебором составит список страниц с выписками, после чего выложит их на Хабр или скормит поисковикам. Время купить попкорн еще есть.

А пока можно почитать о том, как «Яндекс» индексировал (+1) SMS пользователей сайта «Мегафона» и покупателей секс-шопа.

* * *

(добавлено 25 августа в 12:50)

Тинькофф Банк заверил в безопасности ссылочной авторизации для выписок (болдом — вопросы Роем):

Почему выбрали такой метод доставки, а не размещение выписки в теле письма или в аттаче? (ведь, помимо прочего, размещение в письме гарантирует неизменность после доставки, а на сервере вы можете менять постфактум)

В последнее время участились случаи компрометации публичных почтовых сервисов. Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.

В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.

При этом у нас настроены рейт-лимиты (время жизни ссылки по выписке, допустимое количество открытий с одного устройства или одного ip-адреса и т. д.), значение которых выбрано, исходя из удобства и обеспечения безопасности для конечного пользователя.

При соблюдении элементарных мер предосторожности (в частности, проверка личной почты только с персонального устройства без передачи его впоследствии третьим лицам) риски компрометации пользовательской информации при данном способе доставки выписки минимальны.

При этом любой клиент может отписаться от рассылки в письме и сформировать выписку за любой период самостоятельно в мобильном или интернет-банке. Более того, любой клиент может отказаться от отправки выписок на email, ограничившись лишь бумажными выписками по почте.

Почему уникальный id в URL документа не хуже пароля от почты (может быть с т.з. криптографии и вероятности подбора)?

Ссылка устойчива к взлому и перебору: она каждый раз уникальна в отличие от пользовательских паролей почты, которые зачастую не меняются в течение продолжительного периода времени. Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.

Лучшие комментарии

  • Контекст комментария

    Антон

    Хакеру Васе не обязательно иметь доступ к почте. Достаточно чтобы у пользователя стоял extension для браузера, который сливает все ссылки на индексацию (и таких много, потому что все хотят профили пользователя для таргетинга рекламы). Технически такое extension может сливать и контент страниц, но так мало кто делает, поскольку это в большинстве стран нарушает закон (data vs metadata).

  • Контекст комментария

    BigBrother Helmet-A

    Да ладно! Еще как ходит, в логах видно.
    Еще и Head документа вместо анкора в выдаче любит показывать, на чем и палится.

    А особенно весело — погулять Хромом по страницам, закрытым вайтлистом, а не роботсом.

Добавить 34 комментария

  • Ответить

    Сразу скажу — банком не пользуюсь, урлов не видел :)

    1) Ничего индексироваться не будет, если стоит запрет на индексацию в мета-тегах или страница закрыта в роботсе.
    2) Скорее всего патерна не существует вообще, как вариант генерится рандомный набор символов с привязкой к конкретной выписке.

    Прекрасно помню те случае о которых пишет автор, сам исправлял в нескольких магазинах данные дырки. Здесь же уверен, банк сделал доступ по ссылке осознано для удобства использования.

    И проблема высосана из пальца ради дешевой сенсации.

  • Ответить

    Справедливости ради, если выписка попадает под один из этих шаблонов, то индексироваться ничего не будет: https://www.tinkoff.ru/robots.txt А угадывать длинную случайную последовательность в URL не проще, чем пароль пользователя, но гораздо бессмысленнее.
    Поддерживаю, пожалуй, предыдущего оратора: при минимальной бдительности со стороны банка проблема надумана.

  • Ответить

    Это как-то отменяет тот факт, что банк вывалил все выписки всех клиентов в публичный интернет? Мы искренне верим, что майл-боты уважают чтение robots.txt перед отдачей ссылок краулерам, а краулеры, получив интересные вкусные ссылки из почты смотрят в robots.txt?

  • Ответить

    Боян месячной давности. Вот товарищ описал подробно эту проблему и свое общение с банком http://zlonov.ru/2015/07/good-bad-tinkoff-bank/
    В результате его выписки потерли, но гугл то все помнит
    https://www.google.com/search?q=site%3Ahttps%3A%2F%2Fwww.tinkoff.ru%2Fstatement%2F%3Fticket&ie=utf-8&oe=utf-8#q=site:https://www.tinkoff.ru/statement/%3Fticket&filter=0
    Вопрос индексации всех выписок — это только вопрос времени. Не все краулеры одинаково добросовестно игнорируют ссылки, запрещенные в robots.txt, некоторые (а, как мы видим из ссылки выше, даже гугл иногда), продолжают индексировать

  • Ответить

    Ну да, мы в это верим. То есть я-то это просто знаю, т.к. трогал тот краулер собственными руками, а вам остается только прикинуть, сколько веселых переходов по ссылке «удалить этот комментарий» и т. д. было бы, и сколько интересной информации (а не только как в паре случаев из статьи, где про robots.txt забыли) можно было бы найти простым запросом.

    Кстати, я совсем не уверен, что почтовые ссылки отдаются на индексацию. Несколько лет назад не отдавались, если о них не было известно из других источников.

  • Ответить

    С чего автор статьи решил, что паттерн вообще есть? Не менее вероятно, что УРЛ генерируется автоматически для каждого счета.

    Так что можно ждать, пока кто-то пройдет роботом и прямо не переберет все возможные комбинации, которых несколько гадзиллионов.

  • Ответить

    А вот если не запрещает — это уже интересно. Для полноты ощущений надо только добавить на страницу с выпиской Яндекс.Метрику и Google analytics, и тогда шансы на индексацию и бесплатный PR сильно пойдут наверх.
    Но выше пишут, что она по адресу /statement, а он запрещен.

  • Ответить

    Мне тут ВТБ начал слать ежемесячные выписки зачем-то, так я попросил отключить. Потому что не знаю, каким способом они у себя их там пересылают и хранят. А тут такие ссылки.

    Ответы банка смешные, да. Редко попадаются грамотные пользователи, готовые указывать на косяки. Их на руках носить надо, а не отписками кидаться.

  • Ответить

    Как человек, тесно знакомый с поисковой оптимизацией могу сказать, что:
    1. Довольно часто потковики «кладут» на роботс, особенно гугл — он так вообще его обычно игнорирует
    2. Ссылки из почты «цепляются» на индексацию, особенно если потним был переход в браузе с установленной панелью от ПС

    Так что вероятность увидеть все данные в открытом доступе примерно 50/50

  • Ответить

    Не думал что существуют люди которых успокаивает рекомендация из robots.txt

    Это такой сюрреализм, что не ясно как и комментировать.

    Ну, предположим гугл и яндекс не проиндексирует.

    Проиндексирует ваш друг хакер вася, и оценит, вашу платежеспособность и структуру трат.

    А уж затем придумает как распорядится этим, или кому это продать.

  • Ответить

    Хакер Вася, у которого есть доступ к моей почте (это уже fatality, туда же придет ссылка на восстановление пароля примерно везде, включая большинство онлайн-банков) не нашел ничего лучше, чем сидеть и индексировать структуру моих трат. Чтобы потом ее выгодно продать, видимо решил составить конкуренцию рекламщикам самого тинькова в таргетировании аудитории. Ну молодец, что.

  • Ответить

    В добавок к защите через robots.txt можно еще фильтровать роботов поисковиков (юзер-агент, ip etc) и не отдавать им страницы с выписками. Но тоже защита так себе…

  • Ответить

    Хакеру Васе не обязательно иметь доступ к почте. Достаточно чтобы у пользователя стоял extension для браузера, который сливает все ссылки на индексацию (и таких много, потому что все хотят профили пользователя для таргетинга рекламы). Технически такое extension может сливать и контент страниц, но так мало кто делает, поскольку это в большинстве стран нарушает закон (data vs metadata).

  • Ответить

    Индексация может и не произойдет, но судя по статье (у самого доступа к интернет-банку нет, проверить не могу)
    http://zlonov.ru/2015/07/good-bad-tinkoff-bank/
    эти ссылки уходят в реферерах на сайты статистики, и хакерам достаточно взломать доступ к любому из серверов, что бы получить доступ к множеству ссылок с выписками. Это уже ни как не секьюрно.

  • Ответить
    BigBrother Helmet-A

    > 1) Ничего индексироваться не будет, если стоит запрет на индексацию в мета-тегах или страница закрыта в роботсе.

    Не так. Индексироваться будет, в выдаче «добросовестных» поисковиков — не будет. Хотя Гугль, как правильно выше заметили, на это кладет — не будет только сниппета.

    И проиндексируется быстро, через слив URL от браузера.

    А потом только вопрос времени, когда из-за «технической ошибки» — появится и в выдаче.

    Это даже без хакеров….

  • Ответить

    В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.
    ===
    Простите, но ЧЕМ гарантируется? Вы прямо-таки гарантируете, что клиент скачивает и сохраняет каждую выписку?

  • Ответить
    dima5ty гасконец

    Гугль не кладёт. Просто не ходит по закрытым ссылкам и уже пройденные не удаляет до получения от них status ≠ 200. Типа фича.

  • Ответить

    Да ладно! Еще как ходит, в логах видно.
    Еще и Head документа вместо анкора в выдаче любит показывать, на чем и палится.

    А особенно весело — погулять Хромом по страницам, закрытым вайтлистом, а не роботсом.

  • Ответить

    >Еще и Head документа вместо анкора в выдаче любит показывать.

    Имеется в виду содержимое title. А Google ищет такие документы по содержимому title? Может, попробовать поискать по title страницы банковской выписки (title там, наверняка, имеет большой неуникальный кусок)?

  • Ответить

    индексация запрещена роботсом и метатегами? это они серьезно? а заговором колдуньи не защищена она? все кравлеры спокойно тягают и из-под роботса и из-под метатегов. и не со своих диапазонов IP. и без своего юзер-агента. полно ботов ходит под видом обычного браузера.
    блин, как в том анекдоте про дыру в безопасности.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Бухгалтерия «Моё дело» как-то (давно, на заре создания) хранила счета-акты за https без пароля на доступ

    Когда я им сказал, что это как-то небезопасно, очень сильно удивлялись.

    Но грабли по-прежнему доступны каждому, разумеется.

  • Ответить

    Кстати, дело-то кончилось хорошо, буквально вчера проверял

    Теперь при переходе по ссылке на выписку из письма влезает сообщение

    в том духе, что просто так не покажем, введите-ка проверочный код, который мы вам по смс отправили
    и только после ввода цыферок даёт скачать пдф