Ежемесячно каждому клиенту Тинькофф банка на электронную почту приходит выписка – это симпатичное письмо с приложенным к нему pdf-файлом с информацией о движении денег по счетам.
Пример вложенной выписки:
В конце июля верстка письма немного изменилась, теперь файл с выпиской банк решил не прикладывать к письму, а ограничиться лишь ссылкой.
Все бы хорошо, но ссылка ведет прямо на сайт банка – https://www.tinkoff.ru на страницу по адресу:
www.tinkoff.ru/statement/?ticket=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Некоторые моменты:
- В ссылке не передается никаких параметров кроме 64-значного id тикета.
- По ссылке можно зайти с любого ip адреса.
- Для доступа к странице по ссылке не нужно авторизовываться в личном кабинете на сайте банка.
При загрузке волшебной страницы автоматически начинается скачивание выписки конкретного клиента.
Сотрудники банка так прокомментировали ситуацию:
UPD: Если заглянуть в код страницы с выпиской, то можно обнаружить встроенные виджеты:
— Youtube
— Google+
Если для получения выписки достаточно знать лишь адрес страницы, значит технический персонал данных сервисов уже имеет доступ к конфиденциальным данным клиентов банка.
UPD 2: проблема с robots.txt
Хабравчане в комментариях заметили, что ссылка в e-mail ведет на домен click.email.tinkoff.ru, где robots.txt пустой.
Сама выписка (pdf документ) скачивается с www.tinkoff.ru/api/v1/statement_file — который в robots.txt не закрыт.
Возникает вопрос:
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (205)
SpiritOfVox
25.08.2015 01:49+9Если идентификатор достаточно длинный, случайный и ссылка живёт ограниченное время в совокупности с защитой от перебора, то это достаточно допустимый вариант.
Abac
25.08.2015 01:52+1Имеем 64 знака. Цифры и буквы разного регистра – вроде не плохо. Но если поисковый робот придет, а кто-то снова забудет robot.txt?
MaximChistov
25.08.2015 01:54Disallow: /statement/
edogs
25.08.2015 01:58+5Ссылка в e-mail ведет на домен click.email.tinkoff.ru, где robots.txt пустой
А сама выписка (пдф документ) скачивается с www.tinkoff.ru/api/v1/statement_file — который в роботс.ткст на тинькове не закрыт.
Так что не аргумент.
Кроме того, afaik, по времени или количеству раз разумной блокировки нет, по крайней мере у нас 12 дневная выписка открывается.
Chikey
25.08.2015 11:48+3Откуда придет? Или гугл индексирует почту в gmail?
Vilgelm
25.08.2015 22:32+2Если человек с установленным Яндекс.Бар (или как он там сейчас называется) переходит по какой-нибудь ссылке, то она замечательно влетает в индекс. Думаю Google при помощи Chrome так тоже умеет, поэтому не обязательно даже пользоваться Gmail.
Chikey
26.08.2015 09:21Какой из этого можно сделать вывод? Что в топку Яндекс Бар — это тупо шпионский софт который с любого твоего сайта может слить приватную ссылку — таких страниц множество
Vilgelm
26.08.2015 19:02+1То, что его в топку уже давно понятно. Но во-первых, попробуйте это объяснить не мне, а всем пользователям, многие из которых даже не могут знать о том, что он установлен. А во-вторых, не факт, что Яндекс.Браузер или Google Chrome не ведут себя также, их тоже в топку?
batyrmastyr
01.09.2015 10:28А также Гугль Хром, Яндекс.Браузер, Гугль.Аналитику, Яндекс.Метрику и их аналоги, любые счётчики, «поделиться» и фиг знает что ещё на всех страницах где есть ценные данные. Вот только манахерам хочется знать сколько человек кликает там и сям по сайту и им посрать на безопасность пользователей.
Abac
03.09.2015 09:18+2Помню историю как один из мобильных продуктов яндекса все время слал на сервер местоположение носителя. Когда народ увидел трафик и разобрал его, яндекс списал все на баг, но верится с трудом.
batyrmastyr
03.09.2015 09:36О том и речь. Те же ссылки что засветились в яндексовой метрике, вебвизоре и гугл аналитике запросто могут оказаться в поисковой выдаче. И никто гарантирует, что страницы которые ты посещал в Хроме, Я.Браузере или даже Опере не будут позже посещены пауком «для внутреннего пользования», без попадания в результаты поиска.
edogs
25.08.2015 02:04+1Если идентификатор достаточно длинный, случайный и ссылка живёт ограниченное время в совокупности с защитой от перебора, то это достаточно допустимый вариант.
Неограниченное, но даже если бы ограниченное…
Ссылка первоначальная — по протоколу http идет, что в принципе означает, что ее видит «вероятный противник»© А раз видит, значит и воспользоваться может ей так или иначе.mayorovp
25.08.2015 08:53+3Нет никакой разницы, отправлять по небезопасному протоколу ссылку или сразу выписку.
edogs
25.08.2015 15:57+1Есть разница.
Почту человек может забрать по безопасному протоколу, т.е. уязвимость только на канале «ткс-почта».
В случае если посылается ссылка (а не выписка), добавляется еще один этап — доступ непосредственно к выписке по небезопасному протоколу.
Т.е. грубо говоря если Вам почтой россии отправляют 500 тысяч бумажками, то украсть их могут только на почте россии. А вот если Вам посылают письмо с данными для получения денег на предъявителя, то уязвимостей куда больше.
MaximChistov
25.08.2015 01:52Если это хеш ограниченный по времени, проблемы нет. Вы уверены, что там именно подряд идущие id?
Abac
25.08.2015 02:03Там не подряд идущие ID, они может быть даже шифрованы, но я только что нашел в странице с выпиской виджеты популярных сетей. Эти виджеты отдают на свой сервер для статистики url страниц где они запускаются.
pharrell
25.08.2015 08:30+27Поправка. Там нет виджетов. Там есть ссылки. Сама страница во внешний мир никаких запросов не делает, и сервисы эти ничего не знают.
Единственное, что могло бы произойти, будь там http, это передача заголовка referer когда на ссылку кликнули. Но там https, он этот заголовок не передаёт. Здесь никакой проблемы/дыры нет.
Отредактируйте пост, а то народ в заблуждение вводите :)
Я ТКС ни в коем случае не защищаю, и комментарий Natalia Lutay, сотрудника банка, который она выдвигает «с уверенностью», выглядит как детский лепет. Мне даже стыдно стало. Хотя опозорилась она. Налицо подмена тезиса.
Если злоумышленник имеет доступ к почте, в любом случае он имеет доступ к выписке.
Да, но ранее это можно было сделать имея ТОЛЬКО доступ к почте. Сейчас это можно сделать кучей других методов. Да даже банально подсмотреть/сфотографировать адрес. Я уже молчу про историю браузера, которую может найти жена, и узнать, что её муж просаживает в баре половину зарплаты.
Ещё проблема — это индексация недобросовестными поисковиками, следящими за пользователями с помощью браузеров. Если данные утекут в какую-нибудь поисковую систему, узнаем, кто и насколько нагло за нами следит.
Яндекс вон недавно попался на этом.
ТКС, если вы читаете мой комментарий. Я ваш клиент, и меня напрягает такое отношение к моим данным, и ваши самоуверенные и некомпетентные сотрудники.areht
25.08.2015 17:57+7> Я уже молчу про историю браузера, которую может найти жена, и узнать, что её муж просаживает в баре половину зарплаты.
А ещё жена может в кеш браузера сходить, устроить MitM-атаку (даже установить доверенный сертификат) и выбить пароль скалкой.
edogs
25.08.2015 01:55Abac
25.08.2015 02:40+2Хм, я не первый об этом пишу, но почему банк до сих пор не закрыл все эти дыры?
Ohar
25.08.2015 11:57А зачем? Ему и так хорошо. «Пока гром не грянет, мужик не перекрестится» © Поговорка.
Aclz
25.08.2015 14:54Банк шевелится, когда клиент голосует ногами. Многие же ради тиньковских 5% кэшбека готовы, чтобы их персональные данные были вывешены хоть на заборе.
Abac
25.08.2015 14:56+1Ставки по сравнению в прошлой зимой очень сильно упали. И падают у многих банков.
Так что даже и не очень понятно куда топать ногами.
abrwalk
25.08.2015 02:48-3Можно рассуждать о потенциальной опасности этого хеша, индексации, и т.п,
но заголовок и первый абзац откровенно желтушные, и уж по крайней мере не для хабра.
Учитывая появление публикаций на разных ресурсах примерно в одно время — все это больше похоже на заказуху.edogs
25.08.2015 02:55+3Появление публикаций «в одно и то же время» скорее объясняется тем, что это недавнее изменение, все предыдущие месяцы выписка приходила pdf-кой в письме (аттачментом) и проблемы не было.
Тема эта начала обсуждаться сразу же, обсуждается уже недели 2 минимум, плавно перетекая с ресурса на ресурс, вот почему докатилась до хабра только сейчас — це загадка.
Ну и раз уж пошли теории заговоров, напомним, что ткс в одностороннем порядке изменил условия части вкладов в части процентных ставок, вкладов давно уже заключенных. Этого пассажа явно не хватает в «заказухе», так что пускай будет для полноты картины:)Abac
25.08.2015 08:10+2Да, смотрю я на свою карму, которая исчезает на глазах, тоже начинаю верить в конспирологию :)
Abac
25.08.2015 02:56+6Нет, этот пост точно не заказуха, я сам клиент ТКС банка и именно поэтому меня волнует тема.
Это фактически моя безопасность. Пишу я здесь с призывом – закройте уже дыры!
A_HREF
25.08.2015 06:47-51Какой-то параноик ноет. Правильно тебе банк ответил, выписка твоя защищена ключом, ключ приходит в письме. Этого я считаю вполне достаточно.
Думаешь легко подобрать ГУИДэшник? Так иди подбирай на Стиме или ПСНе ключи для игр.
Ну и самое главное: твоя выписка никому нафиг не сдалась.comp3v
25.08.2015 07:07+19подобными комментариями вы, помимо элементарной невежливости, демонстрируете свой невысокий уровень интеллекта. Ещё раз для непонятливых: никто здесь не говорит о подборе ID — речь о том, что отдельным сервисам этот ID (был) доступен в готовом виде.
Lector15
25.08.2015 07:49Каким ключом? Сказано же, кроме ссылки никаких данных не передается. Вся защита, это как бы только точный адрес файла, который по почте (то есть по открытым сетям) передается пользователю.
Риск в том что на общедоступном ресурсе какое то время лежит файл с выпиской клиента. И все что требуется, перехватить, найти, подобрать правильный id. 64 знака, буквы, цифры выглядят не плохо пока мы думаем о подборе одного id. А сколько там лежит выписок вообще? Просто перебором, что то да можно нарыть.A_HREF
25.08.2015 07:52-17Дорогие параноики!
Предлагаю вам всем вместе объединиться и до вечера попробовать подобрать хотя бы парочку (не своих) выписок.
whunter
25.08.2015 11:24То есть вы считаете, что огромным трудом для того, кому это нужно, окажется написание парсера, который пробежит по ИД простым перебором, сольет все что возможно и предоставит удобный поиск, скажем, по имени и фамилии?
A_HREF
25.08.2015 11:35-1Я считаю, что сперва надо доказать, что слить выписки реально в жизни, а не только в фантазиях паникеров.
Это же не сайт woman.ru, а все-таки технический ресурс.
MaximChistov
25.08.2015 11:36+2так это ж не тупые id, это хеши
если они скопрометированы, то тогда скопрометированы почти все все сайты юзающие хэши для сессий
Calvrack
25.08.2015 14:10+10М… 64 знака хеша перебрать… когда у вас начнет получаться, давайте перейдем к взлому биткоин-кошельков.
areht
25.08.2015 18:28+1> А сколько там лежит выписок вообще?
меньше 10 000 000 (7 знаков, только цифры). Можете начинать перебирать.
Как найдёте — расскажете что именно вы планируете делать с прошлогодней выпиской домохозяйки из Саранска, покупающей продукты.Abac
25.08.2015 18:31+1Несколько возможных вариантов использования из разных областей:
1. С информацией о трех покупках по карте можно пройти авторизацию при обращении в банк по телефону.
2. Если знать когда человек получает зарплату и когда он ее снимает, можно подкараулить у банкомата.
3. Зная в каких магазинах и когда человек закупается, можно запускать очень эффективные рекламные кампании.areht
25.08.2015 19:06+11) Позвонил в ТКС, заверили что три операции — это данные, которые может знать третье лицо и никаких авторизаций у них по такому методу нет
2) В Саранск. Ради 10к. Удачи :)
(блин, да любого пенсионера у выхода почты с 3 по 10-е каждого месяца можно брать)
3) В Саранске. Для конкретного клиента. Удачи )reji
25.08.2015 22:11+1sed 's@Саранск@Москва@g' и цифры становятся очень интересными. Не зря же так много сюжетов в последнее время, когда «у водителя украли десять миллионов рублей из машины» ;)
P.S. Да какая разница, как использовать эти данные. То, что их может получить третий человек ставит крест на желании даже присматриваться к этому банку, который наплевательски относится к своим клиентам не только на словах, но и на деле.areht
26.08.2015 01:57> То, что их может получить третий человек
А вы ведь не задумывались сколько народу любом другом банке имеет к этому доступ?
Abac
25.08.2015 22:31Ну мы и не о вас говорим. Вы обращали на максимальные лимиты по депозитам у ТКС?
Сколько там? Не более 10 млн на депозит и не более 5 депозитов на одного человека? Вы же не думаете, что такие лимиты банк просто так поставил? Не наталкивает ли вас эта информация на мысли о том, что не только люди среднего достатка пользуются этим банком?
1) Позвонил в ТКС, заверили что три операции — это данные, которые может знать третье лицо и никаких авторизаций у них по такому методу нет
Сам лично при звонке в ТКС называл последнюю операцию по карте – сумму и время – по просьбе оператора.
И последний вопрос:
2) В Саранск. Ради 10к. Удачи :)
А ради 10 млн?areht
26.08.2015 02:07+1> Не наталкивает ли вас эта информация на мысли о том, что не только люди среднего достатка пользуются этим банком?
А с чего вы взяли, что вы сможете подобрать выписку именно к такому клиенту?
Средний человек там держит меньше АСВ, не получает ЗП на карту ТКС, не имеет зарплату в 10 млн, и, вероятно, картой вообще пользуется только для снятия процентов при случае.
Если вам не нравится пенсионеров караулить — караульте у банков, выплачивающих страховки из АСВ. В первый день выплат джекпот гарантирован(там не 10, но ~1.4 будет). Вы какие-то сложности придумываете.
> Сам лично при звонке в ТКС называл последнюю операцию по карте – сумму и время – по просьбе оператора.
Не обязательно речь шла о (полноценной) авторизации.
middle
25.08.2015 07:58+3История с индексированными поисковиками сообщениями Билайна никого не учит?
Abac
25.08.2015 08:08+4Это ладно, мне вон карму дико опустили за этот пост. Хотя и призыв созидательный.
Starche
25.08.2015 20:41+2Я думаю, вам карму слили за коммент habrahabr.ru/post/265367/#comment_8547885, а не за пост. Никого не критикую, просто замечено, что в политически ориентированных постах комментировать опасно. Сам когда-то попал на гиктаймсе.
kolok2
25.08.2015 08:32+4Теоретически, если у них соблюдены все необходимые меры безопасности, то открытые ссылки сопоставимы по безопасности с email. Только защиту от подбора сложнее настраивать и я не уверен, что на практике она так хорошо работает.
А вообще я против и того и того ну зачем клиенту навязывать эту выписку. лучше дать возможность её формировать автоматически с сайтов.
Newbilius
25.08.2015 08:44-2Эм, почтовый ящик и открытая ссылка — сопоставимы? Security through obscurity наше всё? о_О
mayorovp
25.08.2015 08:59+2Security through obscurity — это неизвестность алгоритма защиты. Здесь же алгоритм известен (отправка ссылки) а неизвестен ключ (сама ссылка) — так что это не тот случай.
Проблема «лишь» в том, что ссылку достаточно сложно держать неизвестной никому постороннему.Newbilius
25.08.2015 10:35Ваша правда, но нынче под этот же термин приписывают то, что показали в статье — «ну ID-шник же никто не знает».
areht
25.08.2015 18:33+3> но нынче под этот же термин приписывают то
А процессор — это ящик под столом.
«ну пароль же никто не знает» — это полная противоположность «Security through obscurity»
Magnum72
25.08.2015 11:14Ее невозможно сформировать, это случайная строка символов. Единственный минус в том, что ссылка останется в истории браузера и теоретически может утечь в G/MS. А вот по поводу навязывание выписки полностью согласен, лучше бы по запросу отдавали.
institor
25.08.2015 08:48+3Да и вариант с PDF в открытом виде в простом письме, мягко говоря, не блещет заботой о конфиденциальности.
dstarcev
25.08.2015 09:49Плохо, что ссылка появляется в адресной строке и сохраняется в истории браузера. С другой стороны, пароли тоже хранятся в браузере. Но они не появляются на экране в открытом виде при обычном использовании.
Abac
03.09.2015 09:28+1Здесь сыграла отмазка банка. Если бы они эти изменения не подавали под соусом «почта плохой канал», все было бы нормально.
DarkestMaster
25.08.2015 10:15+1Не понимаю, почему нельзя было отдать выписку по этой же ссылке, но только авторизованному пользователю, а в письме написать, что выписка готова, авторизуйтесь и качайте.
sameoldmadness
25.08.2015 10:29+2Good Practices for Capability URLs — рекомендации W3C по этому вопросу.
Snipe
25.08.2015 11:31+2Если итоговая страница www.tinkoff.ru/statement/?ticket=*** (а у моих друзей именно такая в итоге открывается), то она закрыта от индексации в robots.txt: Disallow: /*ticket=
Следовательно нет причин дляпаникиистерики.mayorovp
25.08.2015 12:38+1Тем не менее, две ссылки каким-то образом смогли проиндексироваться. Правда, по ним уже ничего не открывается, но…
dkuzevanov
25.08.2015 11:38+21) 16^64 = 1.1579209e+77;
2) На сколько я понял, там не подряд идущие ID (а например строка, которая может содержать в себе ID, salt и контрольную сумму);
3) А эти же выписки в обычные почтовые ящики не сыпятся разве?
ekubyshin
25.08.2015 11:43-21автор развел вонь на пустом месте. ссылка одноразовая и после первого скачивания уже не действительна.
Ты считаешь, что это менее безопасно, чем отправлять выписку на почту? По твоему подобрать пароль к твоей почте сложнее, чем сгенерировать валидную ссылку содержащую тикет длинной 64 символа?ekubyshin
25.08.2015 11:46-22кроме того на почту приходит ссылка с одним ключом, а отдается выписка по другому ключу, уверен, что вторая ссылка активна, только после того как первая будет активирована, а в первой ссылке ключ длинной уже 80 символов.
Abac
25.08.2015 12:17+9Ссылка не одноразовая. И работает неограниченное время. У меня есть ссылка из письма 20-ти дневной давности.
Прекрасно открывается. И давайте не будем хамить.ekubyshin
25.08.2015 12:19-30только что перешел по ссылке из своего письма второй раз и она не работает. Сдается мне, что тебе лимит не прибавляют, вот ты и злишься тут в хабре
Abac
25.08.2015 12:25+7Зачем мне на вас злиться? Хамство это ваша проблема, не моя :)
Лимит имеете в виду кредитный? Хм, у меня нет кредитных карт, только дебетовые карты и депозиты ;)ekubyshin
25.08.2015 12:34-30на банк злишься, наверное.
а выписка, то все таки по кредитной карте, в тексте. Если у тебя только депозиты, то откуда тогда эта выписка?
ты выложил всем на обозрение чужую выписку? откуда взял?
надо провести расследование, почему ты выкладываешь чужие выписки всем на обозрение и откуда их берешь.
Возможно служба безопасности заинтересуется тобой.Abac
25.08.2015 12:43+14Уважаемый, попейте чаю и успокойтесь. Я не идиот и выкладывать свою выписку не собираюсь.
В опубликованной выписке убраны личные данные, а сама выписка свободно находится в поиске по картинкам Яндекса.
И была использована мной как пример.
На ТКС зачем мне злиться? Я как клиент требую от них усилий в вопросе хранения банковской тайны. А почему вы такой агрессивный и хамоватый – это для меня загадка. Только вот разгадывать мне ее не хочется, может у вас просто в детстве велосипеда не было… :)ekubyshin
25.08.2015 13:01-25уважаемые клиенты обычно репортят в службу поддержки банка напрямую, а не разводят срачь на пустом месте в хабрахабре.
В твоем посте нет ни одного довода о плохой безопасности банка. Уверен, что твоя компетенция вести разговоры о безопасности инф. технологий, находится на 0 уровне, а ты пытаешься еще лить воду на хабре.
я совершенно не агрессивный, ты хотя бы в одном моем комментарии видел, чтобы я переходил на личности и оскорблял кого то?
spc
25.08.2015 12:35+6Я тоже только что перешел — и снова скачал текущую выписку. А потом нашел письмо месячной давности — и из него по ссылке тоже скачал предыдущую выписку.
Ps. клевая у нас получилась перепись клиентов ТКС
Lisio
25.08.2015 12:39+13Что-то у вас слишком борзая манера общения для сотрудника банка.
Abac
25.08.2015 12:56+5В стиле шефа :)
Lisio
25.08.2015 13:04+4Да как-то не по рангу будет, когда рядовой фронтендщик банка выступает с такой речью, огрызается, да еще смеет высмеивать суммы в чужих выписках.
Vilgelm
25.08.2015 23:00+4Это еще и сотрудник был (сейчас уже в Read-Only, не посмотреть)? Это прямо за гранью. Хотя обычно у ТКС сотрудники вежливые, удивлен.
Lisio
26.08.2015 03:11+1Да, можно проверить по корпоративному блогу.
http://habrahabr.ru/company/tcsbank/blog/251421/
http://habrahabr.ru/company/tcsbank/blog/196632/
Chikey
25.08.2015 11:52+3Таки в чем проблема то? Конкретной атаки не показали. «Выглядит небезопасно» это не аргумент
mayorovp
25.08.2015 12:46+1Вот вам атака: google:allinurl:www.tinkoff.ru/statement/ Конечно, там (сейчас) всего две ссылки — и обе нерабочие — но откуда они там вообще взялись и не будет ли большего «улова» в будущем?
sets
25.08.2015 15:44+1Например, кто-нибудь напрямую скормил гуглу выписки для индексации, прочитав этот топик или ему подобные.
Vilgelm
25.08.2015 23:02Не обязательно. Например, Яндекс индексирует ссылки, по которым переходит пользователь, если у него установлен Яндекс.Бар (или как его сейчас там). Вполне вероятно, что Google так же делает и в случае с Chrome.
sets
26.08.2015 01:05Может и так. Еще вариант — кто-нибудь разместил ссылку на свою выписку в каком-то индексируемом месте, форуме каком-нибудь, чтобы другим показать.
Chikey
26.08.2015 09:25+1Это проблема пользователей и их инструментов. Веб был задуман так что если у тебя приватный токен в ссылке, не нужно его никому давать или использовать софт который его сливает. Винить тут надо поисковик, так как случай не первый.
mayorovp
26.08.2015 18:47Эта задумка устарела. К сожалению, давно уже появились браузеры, которые сливают ссылки — и перекладывание ответственности на пользователя означает отказ от поддержки таких браузеров.
batyrmastyr
03.09.2015 10:16А может и правда на такие браузеры «ругаться» или даже «не пускать»? Чтобы шпионить неповадно было.
mayorovp
03.09.2015 19:26До тех пор, пока в ТЗ соседней строчкой стоит поддержка всех популярных браузеров, это невозможно. А так, конечно, идея интересная…
ekubyshin
25.08.2015 11:57-59такую нищебродную выписку лучше вообще убрать, учитывая лимит по кредитной карте в 6000 рублей, за хлебом ходишь что ли с этой картой?
ekubyshin
25.08.2015 12:39-34желчь вскипела в пустых головах, ватники налетели
achekalin
25.08.2015 13:08+3А Вы кого под словом «ватники» подразумеваете? Просто чтобы понять, спрашиваю. Сам зову ватником такую куртку, на ватной подложке.
ivansychev
25.08.2015 13:21+4Перед глазами картина: куртки на ватной подложке налетают на человека в стиле мультфильма «Мойдодыр».
Abac
25.08.2015 13:18+6Слушайте, вы же разработчик, а не пиарщик. Почему вам поручили «негатив отрабатывать»?
ekubyshin
25.08.2015 13:25-12я к банку не имею никакого отношения, лишь как довольный клиент.
а негатива в этом посте для банка нет никакого, потому что нет проблемы, пост ни о чем совершенно.
скорее всего пост, чтобы потешить свое самолюбие.
А своими комментариями лишь доказал, что на хабре не важно качество информации, которое доносится в постах, на хабре важно развести своим постом срач и вылеть как можно больше желчи, на какой-нибудь известный бренд, особенно на бренд за которым стоит столь эксцентричный бизнесмен, который известен в интернете своими поражающими воображение высказываниями. На хабре важно развести срач и на него сразу же переключаются, позабыв об основной теме поста. Хотя тема и пост так себе, если честно.ivansychev
25.08.2015 13:39Я специально перечитал все комментарии и не нашёл подтверждение вашему тезису о том, что сразу все переключаются на «столь эксцентричного бизнесмена, который известен в интернете своими поражающими воображение высказываниями.
Dm4k
25.08.2015 13:46+5Вы к банку не имея никакого отношения — пишете статьи в его корпоративном блоге? (*писали)
ReaM
25.08.2015 22:19+6ой прямо никакого не имеете? habrahabr.ru/company/tcsbank/blog/251421 это вроде ваш пост в корпаративном блоге банка тинькова? у вас все сотрудники так нагло врут в лицо и хамят? или вы единственный такой кадр? твиттер свой удалили от греха подальше, и типа теперь не сотрудник?
Или вот — кэш
«Руководитель отдела разработки веб-интервейсов Тинькофф Банка ekubyshin решил поделиться, как строилась и проходила работа.»
dkuzevanov
25.08.2015 14:27+7А вот Вам самому, совсем недавно, тоже одобрили круглую сумму — https://instagram.com/p/3OGZhDqkmJ/
Правда она немногим ушла от 6 000 рублей.
P.S. http://i.imgur.com/0PlISG1.png
achekalin
25.08.2015 12:43+1Ну сделать пароль, хотя бы «введите 4 последние цифры номера паспорта», и по попытке перебора блочить…
MaximChistov
25.08.2015 12:58Откуда известно, что при попытке перебора они не блочат? Вы проверяли?
achekalin
25.08.2015 13:03Потому что получить URL-ы можно при помощи отчета от браузера, можно при помощи перехвата трафика, можно еще как-то. Если бы, кроме части в URL (которая узнается в автоматическом режиме), от юзера бы попросили некое интерактивное действие, в идеале связанное с данными, которые известны только юзеру (обычно это пароль, но как худший вариант, можно что-то потупее предложить, вроде номера части паспорта), то шансы, что робот в авторежиме сможет воровать, стали бы меньше (а не-робот много не навоюет, устанет).
И блокировка была бы тогда по колву попыток войти с тем же 64 хешем и разными номерами паспорта.
А вы как предлагаете им блочить, просто по кол-ву попыток с IP-адреса? )
ekubyshin
25.08.2015 13:18-18многие себя мнят знатоками, но таковыми не являются, а уподобляются лишь мерзким созданиям, которым трудно сказать что-то в лицо или доложить о проблеме на прямую, а стараются разводить демагогию на пустом месте, да бы потешить свое самолюбие и заткнуть брешь в своей и без того низкой самооценке, давая пищу другим таким же как и они для высмеивания не существующих проблем и теша себя и свои мерзкие мысли.
Abac
25.08.2015 13:28+4Я и некоторые другие клиенты банка уже обращались в службу поддержки. Ссылки на обращение и ответ банка есть выше. И мы сделали это в первую очередь, на что банк отвечает одинаково: «текущая система не менее безопасна используемой до этого».
Первые жалобы появились еще в прошлом месяце. В т.ч. на банки.ру. В Тинькове об этом недовольстве клиентов и обращениях знают, но ничего не меняют. И даже не попытались озвучить компетентные мнения своих технарей. Я написал этот пост после личного обращения в свой банк.
Вы спрашивали где вы кого-то оскорбили, так вот: «уподобляются мерзким созданиям», «нищебродную выписку» и прочее – это и есть оскорбление личности собеседника. Прошу вас воздержаться от таких выпадов. Вы же взрослый человек?ekubyshin
25.08.2015 13:35-16Какого собеседника я оскорбил? личности не указаны, а если кого-то эти комментарии задевают, то это больше его личностные проблемы.
Каждый человек, когда читает книгу воспринимает ее по своему исходя из своих нравственных и моральных качеств, так же и с этими комментариями.
Писать буду ровно все, что мне вздумается.
Раз писали жалобы и банк официально ответил, что это безопасно значит так оно и есть.
Я точно знаю, что служба безопасности ткс банка одна из лучших в России и это они не раз подтверждали. Только служба безопасности ТКС банка смогла найти злоумышленника, который ддосил кучу ресурсов, причем другие банки не смогли этого сделать. Как пример. Поэтому их мнению и решениям стоит доверять, в отличие от твоего мнения.Ohar
26.08.2015 12:39+1Раз писали жалобы и банк официально ответил, что это безопасно значит так оно и есть.
Заголовок спойлера
KovVlad
25.08.2015 13:51+17Озвучу здесь позицию Тинькофф Банка в ответах на самые популярные вопросы по этой теме:
Почему выбрали такой метод доставки?
В последнее время участились случаи компрометации публичных почтовых сервисов.
Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.
В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.
При этом у нас настроены рейт-лимиты (время жизни ссылки по выписке, допустимое количество открытий с одного устройства или одного ip-адреса и т.д.), значение которых выбрано, исходя из удобства и обеспечения безопасности для конечного пользователя.
При соблюдении элементарных мер предосторожности (в частности, проверка личной почты только с персонального устройства без передачи его впоследствии третьим лицам) риски компрометации пользовательской информации при данном способе доставки выписки минимальны.
При этом любой клиент может отписаться от рассылки в письме и сформировать выписку за любой период самостоятельно в мобильном или интернет-банке. Более того, любой клиент может отказаться от отправки выписок на email, ограничившись лишь бумажными выписками по почте.
Почему это безопасно?
Ссылка устойчива к взлому и перебору: она каждый раз уникальна в отличие от пользовательских паролей почты, которые зачастую не меняются в течение продолжительного периода времени.
Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.
Какие рейт-лимиты используете?
Рейт-лимиты настроены, исходя из удобства и безопасности конкретного конечного пользователя, однако по понятным причинам мы не можем их раскрыть.
При этом у нас есть возможность при необходимости ввести дополнительную идентификацию.
Если будут пожелания по подробностям, также с удовольствием отвечу в этой ветке.Dm4k
25.08.2015 14:00При этом у нас есть возможность при необходимости ввести дополнительную идентификацию.
Это для каждого пользователя? т.е. мне нужно обратиться в тех.поддержку для того что бы мои выписки требовали идентификации? Или необходимость будет оцениваться количеством обращений по этому вопросу и будет включена для всех «при необходимости»?KovVlad
25.08.2015 14:02+1Скорее второе. Как видите, даже в комментаторах этого топика нет единодушия.
Abac
25.08.2015 14:00Влад, вы сотрудник банка. Это официальный ответ банка? Вы имеете полномочия для трансляции официальной позиции банка?
KovVlad
25.08.2015 14:08+2Да и да
Abac
25.08.2015 14:13+1Очень здорово! Наконец банк серьезно обратил внимание на проблему.
В последнее время участились случаи компрометации публичных почтовых сервисов.
Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.
1. Если злоумышленник получает доступ к моей почте, то что ему помешает скачать выписки по ссылкам из писем?
2. Если вы перестали доверять почтовым сервисам, то зачем вообще ежемесячно присылать выписку? Не лучше ли сделать ее доступной по запросу из личного кабинета после авторизации на сайте?KovVlad
25.08.2015 14:28+101. Если бы выписки слались вложениями, как раньше, злоумышленник получил бы доступ во ВСЕМ вашим выпискам. В нынешнем варианте — к последней, и то, если ссылка не протухла.
2. Доставка выписки одинаково в интересах клиента и Банка. Причем, с нашей стороны есть желание сделать это максимально удобным и простым для клиента способом. Авторизация для получения выписки очевидно уменьшит конверсию их просмотра. Логика же нашего интереса в том, чтобы клиент был проинформирован о сумме задолженности и сроках ее погашения также проста: чем больше клиентов будет увидят выписку, тем меньше по забывчивости пропустят платеж. И значит, это уменьшает просроченную задолженность. У нас есть статистика, прямо подтверждающая эту корреляцию.Abac
25.08.2015 14:50+1чем больше клиентов будет увидят выписку, тем меньше по забывчивости пропустят платеж.
Это очень странный вывод. Если выписка мне приходит ежемесячно в день открытия счета, а платить я должен в определенном интервале (не совпадающем с днем открытия счета), то назвать это эффективным решением можно с натяжкой.
Поставьте напоминалку клиенту, в худшем случае – пришлите на почту за несколько дней до DL доброе письмо с напоминанием в срок оплатить очередной взнос.
И второй вопрос по этому же утверждению: у меня нет ни одного кредитного счета у вас. Зачем меня пушить этими выписками? Лучшая мотивация для меня – видеть зачисленные на карту проценты. Выписка мне нужна только за конкретный период по требованию.KovVlad
25.08.2015 15:09+2> Поставьте напоминалку клиенту, в худшем случае – пришлите на почту за несколько дней до DL доброе письмо с напоминанием в срок оплатить очередной взнос
Как я уже писал, мы сообщаем не только срок, но и сумму. Которая меняется от выписки к выписке. При недоплате, как и при полной неоплате возникнет просроченная задолженность. Да и дата выписки, как и дата платежа — не константа для счета.
> у меня нет ни одного кредитного счета у вас. Зачем меня пушить этими выписками?
Может, не ваш кейс, но большое количество клиентов, имеющих только дебетовые продукты, звонят в контакт-центр как раз узнать эти самые проценты. Кроме того, есть ненулевая вероятность возникновения минуса и на дебетовой карте (самый частый пример — скачок курсов валют между валютной авторизацией и транзакцией по ней). И об этой задолженности мы также должны сообщить клиенту.Abac
25.08.2015 15:21Все перечисленное по дебетовым клиентам – ситуационные сообщения, а не регулярные же?
Какое количество ваших клиентов не пользуется интернет-банком?
Почему нельзя для активных пользователей альтернативными сервисами – приложением и интернет-банком изменять модель оповещения? Каждый раз когда мне начисляют проценты, мне приходит СМС, пуш от приложения и выписка на почту. Зачем так много спама?KovVlad
25.08.2015 15:36+1> Все перечисленное по дебетовым клиентам – ситуационные сообщения, а не регулярные же?
Звонки в КЦ очень даже регулярная вещь.
> Какое количество ваших клиентов не пользуется интернет-банком?
В цифрах, понятно, не могу сказать. Но охват не 100%-ный. Потому каналы SMS и e-mail очень нужны и важны.
> Почему нельзя для активных пользователей альтернативными сервисами – приложением и интернет-банком изменять модель оповещения?
Не то, чтобы нельзя. Скорее неправильно. В этом месяце человек активно пользуется, в следующем — нет. А сообщить о задолженности по той же кредитке, все же нужно.
tossshik
25.08.2015 15:33Не работаю в банке, но могу предположить, что банки заинтересованы в том, что бы клиент немного задерживал выплаты по кредитам. Задерживал — потому что это лишние проценты, немного — потому что иначе он не сможет выплатить сильно раздувшийся долг и начнется история с судами, реструктуризацией и т.п. А так клиент поругается немного и заплатит чуть больше.
Ежемесячная выписка в этом плане интереснее, чем напоминания. И plausible deniability соблюдается, вроде как заботятся о клиентах.KovVlad
25.08.2015 15:42+2Смелое предположение. Расскажите о нем ЦБ, с их нормативами резервирования по просроченной задолженности.
Abac
25.08.2015 15:45Да, я тоже с вами согласен. Правильные напоминания куда более эффективны в этом деле, чем однократный меил с выпиской. Почему не внедряют систему нативных напоминаний и мотивации для меня загадка. Хотя может вы и правы…
scarab
25.08.2015 18:17+4Это очень распространённое в народе мнение — мол, банкам только бы клиента наэтосамовать.
На практике есть регуляторы, которые весьма зорко следят за происходящим, и на фоне рисков многосоттысячных штрафов, а то и лишения лицензии, эти три копейки от физика банку никуда не упёрлись.
Не знаю, как сейчас, а в те годы, когда я работал в этой сфере, был норматив — при просрочке клиентского платежа более 3-х дней, банк обязан был заморозить на счетах в ЦБ сумму, равную всей сумме задолженности.
Ну и что банку выгоднее — получить сто рублей пеней от взявшего полмиллиона на машину физика, которого ещё придётся уговаривать и при этом зарезервировать ещё полмиллиона в ЦБ, или эти же полмиллиона покрутить на бирже или краткосрочных овернайт-кредитах по МБК и получить на порядок больше?..
А ЦБ ещё может не понравившемуся банку задрать цены на тот же овернайт или на проведение операций…areht
25.08.2015 18:54+1Возвращаемся к кредиткам. Платёж (не) оплачивается на ~50-й день, при этом льготный кредит становится нельготным и в долг автоматом дописывается, по минимуму, 30%*50 дней=4%.
Сколько на овернайтах надо крутить за 4%? Полгода?
tossshik
26.08.2015 09:33+1Спасибо за развернутый комментарий!
Выше я имел ввиду скорее не кредиты с определенным графиком погашения, а кредитные карты с беспроцентным овердрафтом на определенный период. Или механизмы там те же?scarab
26.08.2015 10:44+1Принципы те же. Резервы формируются на любые предоставленные банком кредиты, независимо от инструмента.
Деталей, честно говоря, уже не помню, потому что лет уже прошло порядком, а я всё-таки айтишник и в смежные сферы очень уж глубоко не вдавался.tundrawolf_kiba
26.08.2015 14:53+1Если не изменяет память, то резервы все-таки формируются в меньшем количестве, чем долги, в разных странах по-разному, но нормой считается иметь резерв 1:9(хотя можно встретить и 1:2, и 1:200 в зависимости от страны)
scarab
26.08.2015 15:31Там есть положение ЦБ 254-П (не знаю, может, уже что-то новее выпустили), которое регламентирует формирование резервов в разных случаях.
Объёмы зависят от множества вещей — категория риска, объёмы ссудной задолженности, вида кредитора, наличия обеспечения и чёрт его помнит от чего ещё.
Vilgelm
25.08.2015 23:09+2Справедливости ради скажу, что ТКС напоминает о платеже очень настойчиво. Несколько писем на email (за 6, за 3 и в день платежа), SMS, если не заплатить в последний день, то могут и позвонить. Так что здесь у них все хорошо.
Некоторые другие банки действительно не напоминают о платеже, или напоминают слишком рано (например, за 15 дней), или в последний момент.Abac
25.08.2015 23:19+2Тогда слова представителя банка здесь в комментах о том, что выписка вот жизненно необходима и прочее, теряют свой смысл полностью. Напоминалки и так уже есть.
Тут либо сотрудник некомпетентен и не знает какие виды уведомлений работают у них, либо они нам врут, но зачем?Vilgelm
25.08.2015 23:26+1Оно случайно не регламентируется законом? Просто абсолютно все банки присылают выписки по кредитным картам, если у кого-то нет возможности получения online выписки, то шлют обычной почтой, что, подозреваю, не очень дешево.
Вообще в самом получении выписки я не вижу ничего плохого, только вот в индекс оно все равно попадать будет, даже если запретить в robots.txt (по крайней мере у Google попадают ссылки в индекс даже если они закрыты в robots.txt, просто в сниппете пишется, что «Описание веб-страницы недоступно из-за ограничений в файле robots.txt»). Этот момент неплохо бы было исправить.areht
26.08.2015 02:13+1> Оно случайно не регламентируется законом?
Оно регламентируется договором и здравым смыслом. Клиент оплачивает согласно выписке, для этого выписку он должен получать.
> только вот в индекс оно все равно попадать будет
как видите — нет.Vilgelm
26.08.2015 02:24+1areht
26.08.2015 04:47+1ТКС разослал несколько миллионов выписок, ваши 2 нерабочие ссылки что конкретно должны показать? Что пользователей хрома и гмейла двое?
Vilgelm
26.08.2015 19:00Ну подождите немного, если ничего не предпринять, то в индексе ссылок будет больше. Примеры Мегафона и Вебасиста ничему не учат что ли?
Впрочем, на данный момент проблема, кажется, исправлена и ссылка действует один раз. Так что уже ничего страшного.
fshp
25.08.2015 23:16+1Это не выгодно банку. Просрочки снижают «кредитный рейтинг» заёмщика. И в последствие он не сможет получить ещё один кредит. А это уже потеря клиента.
Vilgelm
25.08.2015 23:32+1Есть один банк с зеленым логотипом (не Сбер), у которого любая просрочка (даже на пару часов) приводит к блокировке карты и требовании возврата всей суммы задолженности немедленно. И штраф начисляют, да. При этом возможности разблокировать карту внеся необходимый платеж нет. Возможности реструктуризировать кредит тоже нет. А самое интересное, что единственный моментальный способ пополнения — Qiwi (с комиссией, ага), все остальные идут от трех дней (причем платеж может идти довольно по-разному). То есть, даже если внести платеж в офисе банка, то придет он далеко не моментально и комиссию возьмут (еще и больше чем Qiwi).
Создается такое устойчивое впечатление, что конкретно этому банку выгодно вгонять клиента в просрочку. Может я и не прав, но создается такое ощущение.
jia3ep
01.09.2015 11:42Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.
https://support.google.com:
Инструкции robots.txt носят рекомендательный характер
Настройки файла robots.txt являются указаниями, а не прямыми командами. Googlebot и большинство других поисковых роботов следуют инструкциям robots.txt, однако некоторые системы могут игнорировать их. Чтобы надежно защитить информацию от поисковых роботов, воспользуйтесь другими способами – например, парольной защитой файлов на сервере.
cy-ernado
25.08.2015 16:22Сама выписка (pdf документ) скачивается с www.tinkoff.ru/api/v1/statement_file — который в robots.txt не закрыт.
Disallow: /api/
Disallow: /*ticket=
Где ложь, в посте, или в robots.txt?Abac
25.08.2015 16:39+2Если прямо здесь – в комментариях к посту уже два представителя банка, то не могли они за ночь и roots.txt поправить?
BeLove
25.08.2015 18:01+2Судя по архиву, добавили 23 июля https://web.archive.org/web/20150723205548/http://www.tinkoff.ru/robots.txt
edogs
25.08.2015 20:16Вчера когда писали api там не было, что кстати Ваша ссылка подтверждает.
А tickets для statement_file и не нужен.
Subudayj
25.08.2015 18:28+224го августа 2015 года запрета на /api/ еще не было в robots.txt
Рекомендую сотрудникам ТКС заблокировать и Web Archive от греха подальше :)
web.archive.org/web/20150824194714/https://www.tinkoff.ru/robots.txtAbac
25.08.2015 18:33+6Они бы хоть признали: «спасибо за помощь, ребята! Мы баг этот закрыли».
Но нет, мы сами с усами, ага.
citrin
25.08.2015 18:38+1Почему то никто не пишет, что есть достаточно много расширений для браузеров, которые отправляют списки посещённых URL на сервера создателей этого расширения: discuss.howtogeek.com/t/warning-your-browser-extensions-are-spying-on-you/12394 (список далеко не полный конечно же).
Т. е. содержимое выписок будет доступно создателям таких расширений. Пароли и содержимое страниц такие расширения не передают потому что это может быть незаконно, а URL-ы собирают.
Так что дополнительный пароль (например несколько цифр из номера карты, например) в данном случае необходим и беспечность сотрудников ТКС меня удивляет.Abac
25.08.2015 18:41+2Беспечность… Все же это уже не беспечность, а пофигизм. Пришли сюда, флагами помахали и ушли.
Изменения где, Олег Тиньков?
Houston
25.08.2015 20:14+3Проверил только что у себя — со второго раза ссылка перестаёт работать. Возможно, оперативно пофиксили.
dyakov
26.08.2015 10:52-1Может ли такое решение привести к МАССОВОМУ раскрытию конфиденциальных данных пользователей?
То что 87% ответили «да» печально. Аудитория хабра уже не та…
ganjar
26.08.2015 13:52+3А вы видать не в курсе событий по сливу данных с fl.ru, билетов с укр. ЖД и информации о том что часто вслед за пользователем по ссылкам ходят поисковые боты?
И да, запрет в robots.txt не спасает. Гугл к примеру напишет что описание страницы закрыто, но ссылка будет в списке при определенном запросе.
SpiritOfVox
27.08.2015 12:49Вообще правильно было бы отдавать выписку шифруя её открытым ключём электронной подписи клиента, но в данный момент это непрактично т.к. получить подпись проблемно (нужно искать удостоверяющий центр) и дорого (в районе 1000 рублей в год) соответственно она есть у единиц.
Abac
27.08.2015 16:05О, да!!! Я как-то получал персональную ЭП для физлица, это был тот еще квест!
Andrewus
01.09.2015 12:13А в каком банке, если не секрет?
Abac
03.09.2015 09:20+1Я не в банке, получал в удостоверяющем центре универсальную ЭП. Ей можно было заходить на большинство сайтов госуслуг. И я не понял зачем мне выпускать новую ЭП в каждом банке, у меня уже есть одна. Можно же все сервисы привязывать к одной ЭП?
il--ya
01.09.2015 13:10А что мешает банку самому выдавать ключ? Другое дело, зачем это надо, лишние пляски с бубном ради всего лишь выписки. Вполне достаточно авторизации по паролю.
off: ключОмAbac
03.09.2015 09:21+1Так лучше бы и слали ее дальше по почте. Отмазка нелепая: «почту слишком часто взламывают» (… поэтому мы решили сразу выложить выписки у себя на сайте).
il--ya
01.09.2015 12:53+4Вообще-то присылать выписку аттачментом — само по себе ахтунг. С каких это пор электронная почта стала безопасным каналом связи???
Ни один уважающий себя западный банк или правительственная организация никогда, ни при каких обстоятельствах не пришлёт персональные данные в письме. Максимум имя-фамилия. Всё остальное — по ссылке с авторизацией.
Аргументация у сотрудницы, конечно, тупейшая.
PavelPavlov
01.09.2015 15:41+1Я, наверно, скажу глупость не относящуюся к теме, но…
Зачем в выписку встраивать виджеты социальных сетей? Не для того ли, что бы узнать однозначно какие у клиента банка аккаунты в социальных сетях?
Зачем это банку? Для таргетинга? Возможно, но… Я думаю, что всё это сбор данных для коллекторского агентства Банка. Ну надо же и через соцсети, а не только через мобилы, донимать злостных неплательщиков. Номер то мобильный поменять легко, а вот отказаться от нажитого аккаунта — на такое пойдёт не каждый.
Вот и вопрос — а безопасен ли в таком случае данный способ предоставления выписки для меня? Не думаю. Не слишком ли много Банк желает знать обо мне?
Mear
01.09.2015 15:52+3Выше уже писали, что там не виджеты, а просто «пассивные» ссылки на социалки. Так что теория заговора отменяется.
PavelPavlov
01.09.2015 15:54Спасибо, я как-то пропустил этот комментарий. Теперь моя паранойя меня не побеспокоит.
silicon
01.09.2015 16:55А мне в техподдержке отказали отключить полностью функцию «подтверждения кодом по СМС» при входе в интернет-банк из-за меры безопасности, сославшись на невозможность отключения данной услуги в их системе.
Хотя в других банках никаких проблем. Из чего я могу сделать вывод, вкупе с данным топиком, что дело не в безопасности вовсе, а в более углублённом электронном порабощении.
AndrewTishkin
03.09.2015 11:15Пару лет назад можно было выключить оба предлагаемых на выбор варианта — и СМС-оповещение о входе, и СМС-подтверждение входа. До сих пор жалею, что потом включил один из них.
Хотя в других банках никаких проблем.
Если Вы хотели сказать «в других банках с демократическими взглядами», то можно согласиться. Если нет — значит мало с какими банками имели дело. Попробуйте добиться этого от МТС Банка, или Траста, например. В последнем, кстати, переключатель и вообще дизайн ИБ очень напоминает старую версию ИБ ТБ.
AndrewTishkin
01.09.2015 17:19-2На днях клиенты Тинькофф банка обнаружили
Не будьте таким же слоупоком, поправьте текст, файл заменили ссылкой с июляAbac
03.09.2015 09:23+2Андрей, выписки всем приходят раз в месяц. В день открытия счета. Так что каждый клиент об этом узнал в свой день.
Можно в этой ситуации я не буду менять текст?AndrewTishkin
03.09.2015 11:05-3То бишь читать как: можно я останусь таким же малолюбознательным, буду ориентироваться на жалобы каких-то избранных клиентов в FB, про которые узнал из Roem или какого-нибудь иного СМИ, и писать «в конце июля», даже не пытаясь установить истинную дату перемен? А какая разница, пара недель раньше, пара недель позже… Только почему тогда было не написать об этом через год? :) А истинная дата — это ключ к первым обсуждениям и ответам банка.
Изменения произошли максимум в середине июля
Daedmen
Сколько байт уже норм?
Abac
Сколько раз нужно массово слить? Чтобы остальные уже запомнили?
Aclz
Newbilius
Что бы остальные запомнили, что «сливай сколько хочешь и что хочешь, эти клиенты только в интернете возмущаться горазды, а штрафы нам всё-равно не грозят». Как то так.
Aclz
Слушайте, в утечки по криворукости уже вляпывался и фейсбук, и яндекс, и крупные западные банки. Или у вас есть информация о том, что этот «слив» намеренный? Что сказать-то хотели?
Newbilius
Я хотел сказать именно то, что сказал: сколько не факапь, бугуртить клиенты будут только в интернете. Штраф фирма за раскрытие персональных данных или ещё что-то подобное не получит. Можно думать о безопасности в последнюю очередь и не париться о клиентах вообще. Именно это я и сказал. Теперь уже дважды :-)
mayorovp
Запомнили, что так нельзя делать.