Тинькофф Банк Скомпрометировал Выписки По Счетам Клиентов?

В последнее время клиенты Тинькофф Банка обнаруженный Интересен факт, что банк разместил на своем сайте по прямой ссылке выписки с информацией о движении денег на счетах клиентов.

Это оплошность специалистов по информационной безопасности и нарушение банковской тайны или очередной пиар-ход известного своими выходками Олега Тинькова? Ежемесячно каждый клиент Тинькофф Банка получает на электронную почту выписку — это красивое письмо с прикрепленным к нему pdf-файлом с информацией о движении денег по счетам.

Пример вложенного оператора:



В конце июля оформление письма несколько изменилось; теперь банк решил не прикреплять к письму файл с выпиской, а ограничиться просто ссылкой.

Все бы ничего, но ссылка ведет прямо на сайт банка - https://www.tinkoff.ru на страницу по адресу: www.tinkoff.ru/statement/Эticket=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Некоторые моменты:

• Ссылка не передает никаких параметров, кроме 64-значного идентификатора билета.

• Вы можете получить доступ к ссылке с любого IP-адреса.

• Для доступа к странице по ссылке не нужно заходить в личный кабинет на сайте банка.

Сотрудники банка прокомментировал ситуация:



УПД : Если заглянуть в код страницы с оператором, то можно обнаружить встроенные виджеты: — Твиттер —Фейсбук - YouTube - Гугл+ —Инстаграм Если для получения выписки достаточно знать только адрес страницы, то технический персонал этих сервисов уже имеет доступ к конфиденциальным данным клиентов банка.

UPD 2: проблема с robots.txt Хабравяне заметили в комментариях, что ссылка в письме ведет на домен click.email.tinkoff.ru, где robots.txt пустой .

Сам отрывок (документ в формате pdf) можно скачать по адресу www.tinkoff.ru/api/v1/statement_file - который находится в robots.txt не закрыто .

Возникает вопрос: В опросе могут участвовать только зарегистрированные пользователи.

Войти , Пожалуйста.

Может ли такое решение привести к массовому раскрытию конфиденциальных данных пользователей? 86,93% Да и это полный кошмар! 1949 13,07% Это решение полностью безопасно 293 Проголосовали 2242 пользователя.

1159 пользователей воздержались.

Теги: #безопасность #банк #персональные данные #уязвимости #взлом #информационная безопасность #разработка сайтов #ИТ-стандарты

• Ваш Отзыв Бесценен Для Нас

  19 Oct, 24

• Ваш Сайт Получает Выгоду От Поисковой Оптимизации

  19 Oct, 24

• Программное Обеспечение Для Создания Флип-Книг

  19 Oct, 24

• Paypal Возвращается На Nasdaq С Оценкой В ​​$46,8 Млрд.

  19 Oct, 24

• Как Мы Выбирали Tts Для Озвучки Примеров В Словаре

  19 Oct, 24

• Бесцельный Серфинг Повышает Продуктивность

  19 Oct, 24

• Эджабберд: Полезные Советы

  19 Oct, 24

• Правила Высокой Производительности

  19 Oct, 24

• Apple Интерполирует Видеоклипы С 320X240 До 640X480.

  19 Oct, 24

• Еще Один Способ Создать Текстовое Поле С Динамически Изменяющейся Высотой.

  19 Oct, 24