Увлекательный тред в Facebook с участием сотрудников Тинкофф Банка, из которого можно сделать вывод, что выписки всех клиентов доступны на сайте банка без аутентификации - по "секретным" ссылкам.
Осталось подождать, пока кто-нибудь угадает паттерн или перебором составит список страниц с выписками, после чего выложит их на Хабр или скормит поисковикам. Время купить попкорн еще есть.
А пока можно почитать о том, как "Яндекс" индексировал (+1) SMS пользователей сайта "Мегафона" и покупателей секс-шопа.
* * *
(добавлено 25 августа в 12:50)
Тинькофф Банк заверил в безопасности ссылочной авторизации для выписок (болдом - вопросы Роем):
Почему выбрали такой метод доставки, а не размещение выписки в теле письма или в аттаче? (ведь, помимо прочего, размещение в письме гарантирует неизменность после доставки, а на сервере вы можете менять постфактум)
В последнее время участились случаи компрометации публичных почтовых сервисов. Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.
В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.
При этом у нас настроены рейт-лимиты (время жизни ссылки по выписке, допустимое количество открытий с одного устройства или одного ip-адреса и т.д.), значение которых выбрано, исходя из удобства и обеспечения безопасности для конечного пользователя.
При соблюдении элементарных мер предосторожности (в частности, проверка личной почты только с персонального устройства без передачи его впоследствии третьим лицам) риски компрометации пользовательской информации при данном способе доставки выписки минимальны.
При этом любой клиент может отписаться от рассылки в письме и сформировать выписку за любой период самостоятельно в мобильном или интернет-банке. Более того, любой клиент может отказаться от отправки выписок на email, ограничившись лишь бумажными выписками по почте.
Почему уникальный id в URL документа не хуже пароля от почты (может быть с т.з. криптографии и вероятности подбора)?
Ссылка устойчива к взлому и перебору: она каждый раз уникальна в отличие от пользовательских паролей почты, которые зачастую не меняются в течение продолжительного периода времени. Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.
Хакеру Васе не обязательно иметь доступ к почте. Достаточно чтобы у пользователя стоял extension для браузера, который сливает все ссылки на индексацию (и таких много, потому что все хотят профили пользователя для таргетинга рекламы). Технически такое extension может сливать и контент страниц, но так мало кто делает, поскольку это в большинстве стран нарушает закон (data vs metadata).