Хороший плохой Тинькофф Банк

Хороший плохой Тинькофф Банк

n n

Работая в компании, специализирующейся на информационной безопасности , постоянно находишься в окружении параноиков увлечённых людей =)PНоPлично меня этоPоченьPрадует, так как и сам такой же.

Недавно коллега Евгений Миронов обратил внимание на ежемесячную рассылку Банка Тинькофф электронных писем с информацией о выписке об операциях по карте. До июля банк присылал выписку в виде вложенного PDF-файла, а в июле решил изменить способ доставки.

Ссылка на выписку

Ссылка на выписку

Теперь в письме самой выписки не было —Pприслали лишь ссылку, где её можно посмотреть.PСсылка генерируется для каждого клиента (видимо) случайная и просто так её не подберёшь:

https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618

Вот только ссылка эта являетсяPпрямой, т.е.Pоткрывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки. В принципе, с точки зрения безопасности большой разницы между обоими вариантами (PDF-файл и прямая ссылка) нет, если бы не один нюанс, на который Евгений и обратил внимание.

Дело в том, что на странице банка, где размещается эта ссылка, были встроены сервисы рекламы и статистики, к которым при загрузке страницы происходило обращение.

Вот эти сервисы:


  • adfocus.ru

  • s.ytimg.com

  • ssp-ext-bl.datamind.ru

  • stats.g.doubleclick.net

  • sync.pool.datamind.ru

  • syncsw.pool.datamind.ru

  • www.youtube.com

  • tinkoffcreditsystems.d3.sc.omtrdc.net

  • www.google-analytics.com

  • top-fwz1.mail.ru

  • www.googletagmanager.com

Получается, что фактически, любой, кто имеет доступ к статистике этих сервисов (например, их владельцы, администраторы и иной обслуживающий персонал) может увидеть в логах те самые прямые ссылки и воспользоваться ими, чтобы, не зная логина и пароля, получить доступ к выпискам клиентов банка (при условии, конечно, что клиентыPпройдут по этим ссылкам).

Евгений обратилсяPв банк и выписку по его ссылке оперативно удалили, но и только. Убедился в этом, проверивPссылку из собственного письма. Выписка прекрасно скачивалась без авторизации и сервисы были на месте:

Некоторые из сервисов на странице банка Тинькофф с выпиской клиента

Некоторые из сервисов на странице банка Тинькофф с выпиской клиента

К слову, посмотреть запросы, направляемые загружаемой страницей к внешним сервисам можно так:

  • Safari: правая кнопка мыши -> Показать программный код страницы -> вкладка Шкала времени. Перезагрузите страницу и увидите полный список всех запросов как на скриншоте выше.

  • Chrome:Pправая кнопка мыши -> Проверить элемент -> вкладка Sources.

Предположив, что результатом моего персонального обращения в банк станет очередное удаление одной единственной (теперь моей) выписки, обратился к ним через официальный аккаунт в Твиттере. Не сразу, но всё-таки меня там поняли . Более того, сейчас (по моим прикидкам на исправление было потрачено около недели) на всех страницахP https://www.tinkoff.ru/statement/* вообще никаких сторонних сервисов больше нет, хотя сPглавной страницы сайта банка они, конечно, никуда не делись.

В целом, молодцы, что исправили, но плохо, что не позаботились об этом заранее. В конце концов, нет же никаких Google Analytics и прочих средств слежения за пользователем в Личном кабинете их Интернет-банка.PНадеюсь, что г-нPОливер Хьюз будет следить за соблюдением озвученных им принципов : [Мы являемся единственным полностью дистанционным банком в России, поэтому развитие онлайн-каналов наш приоритет, и мы инвестируем много времени и ресурсов, чтобы довести их до совершенстваk.

В конце концов, даже в Минэкономразвития всю опасность сторонних счётчиков понимают , там, правда, мотивация чуть другая =)

В заключение порекомендую два отличных расширения для браузеров: Ghostery и AdBlock , которые в описанном выше случае (покаPя их не отключил для проведения тестов) прекрасно справлялись с проблемой.

Ghostery специализируется как раз на блокировке сервисов по слежению за пользователями и в работе очень информативен и удобен: для каждой страницы можно быстро посмотреть обнаруженные «жучки» и при необходимости некоторые из них разрешить (бывает нужно, например, для автоматической авторизации с использованием профиля соцсети).

Ghostery vs Tinkoff Bank

Ghostery vs Tinkoff Bank

Единственный недостаток Ghostery — не очень полная база, особенно для русскоязычного сегмента Интернет. Даже на примере страницы банка Тинькофф видно, что Ghostery выявил только два жучка.

AdBlock, наверное, популярнее и уже знаком многим как отличное средство борьбы с рекламой (а её в сети хватает ), но это не единственный его функционал. В настройках можно включить дополнительные списки фильтров для блокировки:

Списки фильтров AdBlock

Списки фильтров AdBlock

Впрочем, если выбрать вообще все списки, то часть привычного функционала на многих сайтах может пропасть, так что в крайность впадать тоже не обязательно.


информационная безопасность AbBlock Ghostery банк слежение Тинькофф утечка УЦСБ
Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.