Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью

Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью



В прошлом месяце я комментарий в FacebookPот представителя компании Лаборатории Касперского о том, что настройки на стороне Банка Тинькофф предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк.


На прошлой неделе мнеPпришло очередное письмо с ссылкой на ежемесячную выписку и я, даже толком не изучив саму выписку — а вдруг там бонус за помощь в раскрытии уязвимости? =) — первым делом стал проверять доступность ссылки с других устройств.


Результаты эксперимента подтвердили справедливость моих опасений.


Итак, ссылка в письме имеет вид:

http://click.email.tinkoff.ru/?qs=19b5ed2250b0f0f239573633916015835caeb406686ac991dbaeb05216da9d159fee8cf03c43b0df

(ссылка нерабочая, так как я её придумал сам, подобрав внешне похожую).


После её открытия пользователь оказывался на странице с адресом типа такого:

https://www.tinkoff.ru/statement/?ticket=746F5GFADF27B494BA7AB71B1E9DCD7EDC90CD30F808778E031742F8B8C23F554F

(ссылка нерабочая, т.к. см. выше).


Наконец, на самойPстранице отрабатывал скрипт, который по ссылке совсем уж сложного вида скачивал PDF-файл. Ссылка на файл получалась примерно такой:

https://www.tinkoff.ru/api/v1/statement_file/?sessionid=njGVfr37h8jk96sFii8M4Lz8fm0b90LS.m1-api03&account=9836386326&statementId=987545912&scenario=portal_statement

(см. выше)


Вторую и третью ссылку (в отличие от той первой, что была в самом письме) должен знать только пользователь, а для стороннихPсервисовPона, согласно комментарию специалистов ЛК, должна быть нерабочей, так как с их устройств явно не проводилось никакой авторизации в интернет-банке Банка Тинькофф.


Тем не менее, скачав и запустив Aleks Gostev в Facebook:


«т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки.» — на самом деле нет. Мы эту «багу» в первый же день отловили. Там нормальные куки и проверки на авторизацию — так что с другой машины ссылка не работает.


Как куки с бразуера хоста попали в куки браузера Tor PBrowser виртуальной машины я не знаю. Разве что у меня на ноутбуке уже давно работает троян от Тинькофф? =) Среди клиентов Hacking Team я их не видел, купили у кого-то другого? =)


Сейчас уже принципиальногоPзначения данныйPэксперимент не имеет, так как Банк всё исправил. Вернее, он имеет разве что как раз только принципиальное значение — как демонстрация того, что уязвимость была =)


Оригинал записи Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью опубликован на сайте ZLONOV.ru . Подписка на RSS-ленту: http://bit.ly/zlonov-RSS


информационная безопасность банк Тинькофф УЦСБ уязвимость эксперимент
Alt text
Комментарии для сайта Cackle

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.