Комментарии 428
Просто лениво лазить и переключать настройки при необходимости купить что-либо в этих ваших интернетах. Вот и две карты.
И да, новый интернет-банк просто адский. В этом месеце даже начал платить в сбербанк онлайне.
Две карты в том числе очень хорошо выглядит, когда карта теряется. Всегда под рукой запасная. Не приходится ждать две недели пока восстановят.
3D secure не всегда обязателен.
Так с картой сбербанка. Интересно: у Сбера требовать объяснений ситуации или у каого ещё?
Интересно: у Сбера требовать объяснений ситуации или у каого ещё?Да. Вроде банки обязали сначала возвращать деньги, потом проводить расследование.
Покупка билета маловероятное событие, найти вора элементарно, а вот заказ в иностранном интернет-магазине (алиекспресс уже привели как пример) считай гиблое дело.
Ну и к слову: с дебетовой карты сумму, которой нет, списать нельзя, это аксиома. Просто дебетовые карты у нас в стране практически не используются, а используются овердрафтные. Там такая возможность есть, но пользователь (или злоумышленник) опять же не сможет воспользоваться суммой ниже баланса. Это может сделать только сам банк, например, списав плату за обслуживание (или другие услуги) при отсутствии средств. У сбера, кстати, овердрафтные карты платные, плата списывается раз в год и составляет от 400 до… дофига рублей в зависимости от типа карты.
Ну и к слову: с дебетовой карты сумму, которой нет, списать нельзя, это аксиома.
Не правда. Технический овердрафт при курсовой разнице, оффлайн-операции без авторизации и куча других вариантов.
При оффлайн авторизации (как раз, которая возможна на всех типах эмбоссированных карт) чем угодно — от необходимым образом настроенного злоумышленниками терминала, до импринтера, или копии карты — вас могут загнать в очень неплохой долг. Именно, в том числе, по этой причине сейчас банки спокойно отказывают в выдаче даже дебетовых карт без объяснения причин, а данных с вас собирают как на кредитную. С точки зрения рисков — любая карта — это риск для банка. Как пример — чудесная страна Англия. 75% АЗС по выходным там не используют онлайн авторизацию, и о своих расходах на бензин вы узнаете только в понедельник. И деньги с вас спишут, даже если на карте их нет.
В подобных случаях, вместе с завялением в банк, надо писать жалобу напрямую визе\мастеру. Они выдадут банку «стимул» соблюдать правила.
https://habrahabr.ru/post/302836/#comment_9647276
Так вот, на «заре» внедрения PayPass, когда ещё не все знали, что так можно, но уже можно было оплатить билет PayPass'ом, удалось повторить старый прикол про первые бесконтактные билеты на метро.
Положили карточку в загранпаспорт, подошли к билетному автомату и со словами «у меня годовая Британская виза! Именем Королевы!» приложили паспорт. Все удивились, когда из автомата вылез билет. Сейчас, конечно, эти уже никого не удивишь…
К чему я? Безусловно, используйте PayPass везде, где он есть, иногда это очень экономит время. Просто, раньше это было не только удобно, но и весело. А сейчас — просто удобно :-)
Хотя, некоторые кассиры этому недовольны. Один раз кассир даже отказалась проводить покупку, ссылаясь на то, что мы ей должны карту дать в руки, что ей что-то проверить :-)
Ну и сами подтверждаете, что была проблема :)
У меня еще интересный случай был — пытался расплатиться в мелком магазине в Испании картой MasterCard мгновенного выпуска, на которой нет моих Имени и Фамилии, девушка попросила доки — дай ей водительское удостоверение РБ нового образца — она посмотрела его и сказала ОК :) Что она там могла сравнить — непонятно :)
Осмотр карты с двух сторон — старый и распространенный прием сбора карточных данных. Над кассой висит камера, кассир пару раз переворачивает карту, так, чтобы на камере было хорошо видно обе стороны. Пока банки не перешли на 3DSecure (далеко не все банки перешли на него), этой информации было достаточно, чтобы купить что-то в интернете.
так же требует ввода pin-кода
Зависит от банка/от настроек. Мне удобнее без пина, по подписи, независимо от суммы.
Все современные терминалы и адекватные банки запрещают использование магнитной полосы, если терминал оборудован карт-ридером. В таких случаях, после прокатывания, терминал просит подумать еще раз и предлагает использовать чип. А это требует ввода пин-кода.
Да, иногда банки дают возможность изменить приоритет «подпись-чип». Но, ваш банк может и разрешить, а банк, обслуживающий конкретный терминал, может считать по-другому, и его мнение будет приоритетным.
А Вы, используя подпись вместо чипа, сильно повышаете риск кражи денег с карты. Считыватели магнитной полосы сейчас делают настолько миниатюрными, что Вы можете и не заметить, как кассир снимет копию карты…
Ну я ни разу не видел, чтоб прокатывали магнитную полосу. Имел в виду именно чип/PayPass.
Насчёт обслуживающего банка – на данный момент очень редко встречаются ситуации, когда терминал таки просит пин. Только в макдональдовских терминалах встречаю (ну и в банкоматах, само собой).
Насчёт риска – насколько я понимаю, всё немного наоборот: при краже пина я никак не смогу оспорить транзакцию. А вот транзакции по подписи могут быть легко оспорены.
Вот сперли у вас карточку, купили что-то и расписались левой подписью. Вы транзакцию оспариваете. По идее нужно проводить анализ подписи. А он, по слухам, очень часто выдает что-то в стиле «подлинность подписи определить нельзя».
Или я не прав и оспаривание в такой ситуации происходит по какой-то другой процедуре?
Без понятия, ни разу пока не попадал на какие-либо кражи денег с карточек (хотя пользуюсь ежедневно, как оффлайн, так и онлайн).
Ну, в любом случае, это даёт шанс на оспаривание, в отличие от потери пин-кода – там, насколько я знаю, держатель карты "сам себе злобный буратино".
Обращение в банк + копия загранпаспорта + 2 недели ожидания — и деньги вернули. Конечно, сумма не такая большая, они могли больше ничего не проверять. А в других случаях банк может запрашивать дополнительные данные, например, записи с камеры банкомата/магазина, где провели левую операцию.
Слухи о невозможности опротестовать транзакцию подтвержденную pin'ом слышу очень часто. А не засветить pin в наших магазинах — это практически нереальная задача.
Довольно эффективно при зарубежных поездках. Иногда приходится включать отдельную страну на один день, как пример, при платежах в Steam и подобных системах.
А это сделать намного сложнее, чем скопировать магнитную полосу.
Оспорить операцию можно, если докажете, что ее проводили не Вы и оригинальная карта в это время находилась тоже у Вас. Например, кто-то снял наличные в банкомате Тайланда. Вы в это время были в Москве (подтверждается загранпаспортом и другими способами) и тоже пользовались своей картой. Хотя, по идее, такие операции должны попадать под дополнительный контроль СБ — как банка, так и платежной системы.
после прокатывания, терминал просит подумать еще раз и предлагает использовать чип. А это требует ввода пин-кода
А вот и нет :) У меня карточка корейского банка, и пин-код требуется только при оплате на территории Кореи.
При оплате в других странах авторизация всегда идёт через чип, но пин-код никогда не запрашивается.
Скорее всего, это защита от иностранных кардеров, чтобы не было возможности увести пин, потому что этот же самый пин-код (да, пин-код кредитки) используется для подтверждения онлайн-транзакций.
1. Карта без подписи не действительна — на карте обязательно должна быть подпись клиента.
2. При оплате с вводом пин-кода клиент не выпускает карту из рук — и, правда, зачем?
3. При оплате с вводом пин-кода кассир не проверяет соответствие подписи, так как сама подпись не ставится.
Да, у вас имеют право требовать паспорт даже при оплате магнитной полосой. А платежные системы дают вам право отказать в этом.
Вот цитата из правил Сбера, где видео, что вместо паспорта можно использовать пин-код:
Кассир торгово-сервисного предприятия может потребовать предъявления документа, удостоверяющего Вашу личность. В случае отсутствия документа Вам может быть отказано в проведении операции по карте.
В случае если операция проводится с использованием электронного терминала, кассир может предложить Вам самостоятельно вставить карту в терминал и ввести ПИН-код на выносной клавиатуре электронного терминала. При отказе ввести ПИН-код или неверном вводе ПИН-кода в операции может быть отказано. Несогласие подписать чек (слип) электронного терминала также может привести к отказу в проведении операции."
Магазины могут придумывать любые внутренние правила, но они не будут иметь никакой силы, они ведь «внутренние». Значение имеют только правила банков и правила платежной системы, при чем, вторые — в приоритете.Ну не совсем так. Торговая точка подчиняется соглашению с банком. Банк подчиняется соглашению с платежной системой. В идеальном мире, это бы означало то что вы написали. В реальном мире же, платежная система может долго бодаться с банком, а в это время торговые точки продолжают подчиняться соглашению с банком (и за нарушение этого соглашения торговой точке может и прилететь). Понятно, что в финале все сойдется к идеальному миру, но этот процесс может длиться годами и оборваться закрытием банка.
Ну и справедливости ради, торговая точка имеет право вводить свои правила (пока они не противоречат закону, который, в данном случае, строг, но некоторые вольности все же позволяет).
Допустим, торговая точка действительно ввела такое правило. Ок. Законом это не запрещено? Да, вроде бы, не запрещено. Но, такое правило не имеет ничего общего с реальностью, так как в правилах почти всех банков указано «либо подпись, либо пин-код».
Но, такое правило не имеет ничего общего с реальностью, так как в правилах почти всех банков указано «либо подпись, либо пин-код».Зависит от формулировок. Или не всегда исключающее :)
А по факту — да, это чаще всего самоуправсто на местах от небольшого ума. При этом вряд ли это даже инициатива кассира. Скорее какой-нибудь эффективный менеджер составил инструкцию на основе дикой помеси правил и слухов. Я вот как-то в одном магазине видел иконочку наклеенную на терминал. Очень надеюсь, что это был троллинг…
Почему вы решили, что правила платежной системы в приоритете? В РБ в приоритете только правила НацБанка.
4.2. При совершении операции с использованием платежного терминала (POS-тер-
минала) кассир может потребовать у вас ввести ПИН-код или подписать карт-чек в соот-
ветствии с требованиями, установленными правилами платежных систем, а также предо-
ставить паспорт в целях установления личности держателя карточки.
Так кто отменял подтверждение платежей смс?
чтобы быть в более современной плоскости, я получая новую карту удаляю механическим путем с нее CVV. есть банки, которые не просто краской наносят CVV, а еще и выдавливают его на карте, что его отпечаток виден на лицевой стороне (идиоты).
могут сказать, что карты собственность банка и это порча карты. но почему тогда банк так же не рисует на карте PIN? ведь по сути CVV это второй PIN.
(еще раз идиоты)
imho, CVV должен быть передан клиенту в конверте, вместе с PIN.
ну вот есть такая авторизация у одного зелёного, а один оранжевый интернет-провайдер у нас в городе снимает деньги с карты "по старинке" и по сей день
Или, у меня есть карта ВТБ24, так у них за смену пина берут деньги… в общем пытаются зарабатывать на моей безопасности.
То есть если пользователь пожаловался, ему сначала возвращают деньги, потом заводят дело о мошенничестве (на кого посчитают нужным).
Или не заводят, в зависимости от суммы ущерба.
Так что книгу читал, но не по своей воле.
Был минус — снижение ставок по картам с определённого срока сообщили без пуш-уведомления, просто внутри приложения, это было для меня не критично, но неприятно — так что они тоже не идеал. Но в плане известных мне банков у них пока что карма наиболее чистая. Возможно не в последнюю очередь потому, что кредитов они не раздают.
Но тот же Рокетбанк пока что пушистый, например срочно сообщил, когда их банк-партнёр должен был через день закрыться, что бы все успели вывести деньги.кому-то сообщили, кому-то нет. Примерно половина моей выборки долбалась с их поддержкой.
2) По мне, так отсутствие ИБ — это вполне плевок на клиентов само по себе.
3) Ну и он же реально глючный и нефункциональный. Я его с 4-х карт других банков пополнить так и не смог. Переводы уходят как успешные, потом молча возвращаются (и это не баг — это фича).
И мне интересно, что это они «могут закрыть баги в мобильном приложении в течение часа», если, например, публикация обновления в AppStore занимает минимум 2-4 дня. Если они, конечно, не используют WebView…
В AppStore — нельзя. Опять же, если они не используют WebView.
Вот он сурсы грузить — пожалуйста, многие это используют.
Они были единственным банком который согласился сделать карту за 5 дней, и привезти её в определённое часовое окно (с 16:00-17:30), так как мне срочна была нужна российская карта, а я как раз узнал, что лечу в командировку в Москву (живу за пределами РФ).
После всей этой беды с банком партнёром, на следующий день поддержка сама написала мне и спросила адрес. На мои «да вы всё равно не отправите новую карту, я не в России», мне сказали «не переживайте, отправим». Через неделю у меня была новая карта, и на неё вернулись заблокированные деньги со старого счёта.
Так же два раза была ситуация когда местный банкомат банка ING не отдавал деньги с карты Рокетбанка, но блокировал их на счету. Первый раз после письма претензии на разблокирование ушло 30 дней, второй раз дней пять.
На самом деле они запустили рассылку, одумались, «нажали ctrl-c» до окончания, а потом всем, кто получил первое письмо, прислали второе «всё хорошо, сидите спокойно».
А когда пришло письмо вида «чуваки, наш банк тю-тю уже точно» — то никаких денег снять-перевести уже нельзя было.
Как результат — я уже полгода не могу у них завести новую карту, чтобы забрать деньги со старой их «удобным способом» без стояния в очереди и заполнения бумажек.
— народ, у меня приложение ваше не логинится.
— пришлите страницы паспорта такие-то и такие сканом
— держите.
— вот ещё такая нужна
— держите
<проходит месяц>
— у меня приложение всё ещё не работает
— пришлите страницы паспорта такие-то (те же).
Сейчас вот по пятому кругу отправлять буду, если найду в себе силы без мата написать.
Раньше им вообще альтернатив не было по клиентоориентированности, поэтому лояльных клиентов у них очень много, я в том числе, уже пятый год подряд.
И когда эта финансовая организация платит проценты по вкладу только спустя год и только по суду, то это, на мой взгляд, должно ставить крест на всём остальном.
А что за история про проценты?
Там другое – банк подписал кастомный кредитный договор. А SoluS выше пишет, что по вкладу проценты платить не хотели.
Стал думать как такое может быть
Всё течёт, всё меняется. Например, в украинском Приватбанке пару лет назад все кредитки и дебетки Mastercard выдавались всем исключительно Gold, даже если получатели никогда и не слышали про какой-то там Gold-клуб. А сейчас они вроде переходят на простые карты от Visa…
Все меняется, банки заинтересованы в клиентах.
P. S. Самому еще в жизни добиваться и добиваться, так что заведомо скажу, что мне в этом вопросе можете не завидовать.
P. P. S. У всех совершенно разное понимание успеха в жизни, поэтому я сразу сказал, что это мое личное мнение, я его не лоббирую и никак не продвигаю.
На например iPhone и вообще техника Apple когда-то была показателем «статуса», часы, машины, кредитные карты, костюмы.
Сейчас же все это доступно с уровнем дохода не сильно выше среднего и я даже не против. Более того — знаком с людьми, которые имеют огромные для моего скромного понимания доходы, какие-то связи и спокойно ходят в шортах и шлепках, катаются на не очень дорогих (в пределах миллиона) машинах и от обычного прохожего их отличить сложно.
Мое мнение — статус — это твоя «важность» в обществе и отношение людей к тебе.
Мое мнение — статус — это твоя «важность» в обществе и отношение людей к тебе.
А вот тут Вы правы! Нет, серьезно) Просто некоторым приятно само осознание обладания некоторыми вещичками, недоступными большинству. Это как членство в анаморфном клубе масонов)
И, кстати, Вы все ещё можете мечтать об AmericanExpress Centurion.
Она уж точно никогда не будет дешеветь :-)
В Авангарде давно их раздают при определённом обороте, но без страховки.
Страховка обычно выдаётся к MC World, а не к Gold. Покрытие такой страховки должно быть не меньше какого-то порога по правилам МПС. Порог не помню, у Авангарда было 60k euro.
Ходили слухи, что у Тинькоффа Tinkoff Black (дебетовые, на карте написано MC Platinum) они на самом деле MC World и можно получить страховку. Не проверял соответствует ли действительности. В ИБ, вроде, пункт "страховка" позволял купить страховку отдельно, приложением к карте не видел.
А вот по теме — косяк неприятный на мой взгляд, надеюсь, что починят.
ПС. На счет ужасов их нового ИБ. Мобильный банк зато просто отличный (по крайней мере на яблочном телефоне). Очень удобно.
подождите ка минуточку, это тот банк, который написал интересную клаузу всем френдам одного товарища в контактике, который что то там по кредиту просрочил? Он, да? И вы у него счет держите? Серьезно?Мы сейчас непопулярный вещь скажем, но у ТКС есть 2 типа клиентов.
Кредитные — которые воют от ставок по кредитам и от последствий просрочек.
И дебитные — которые ставят ТКС небольшой нерукотворный памятник за выгодные условия по депозитам и картам.
Одно понятно связано с другим — не была бы жесткой политика ТКС к кредитчикам — не кормил бы он так депозитчиков.
Справедливости ради надо заметить, что ТКС и депозитчиков попробовал нагнуть слегка (урезав бонусы и проценты по уже открытым вкладам), но в суде его нагнули обратно, так что все ровно:)
У ТКС бесплатная карта с пейвейфом, бесплатный межбанк с огромными лимитами, 100% удаленное обслуживание (включая доставку карты на дом), разные акции (сейчас 3 месяца действует 5% кэшбек в супермаркетах и т.д.), вполне приличный ИБ в котором можно сделать все что нужно, бесплатное снятие бабла в банкоматах, бесплатный кард2кард, бесплатные переводы на ТКС из многих банков (через оплату кредитов) и т.д. и т.п., но остановимся, т.к. не хочется превращать это в панегерик:)
Можно конечно включить песню «ай банк поступил не хорошо», а можно просто получать выгоду от его использования. Первое это эмоции, второе это прагматизм, а поскольку мы на хабре, а не на тинейджерском форуме, то наверное логично выбрать второе:)
Если хотите поговорить про плохие банки — погуглите АРКС, раздолье еще то.
Ну и плюс их саппорт, отдельная тема — отвечают всегда моментально, был только один случай, когда я провисел на линии больше 10 секунд (правда, это было эпично — 54 минуты я ждал ответа), но там, насколько помню, что-то серьезное приключилось, и, видимо, колл-центр нехило так загрузился.
Мне, кстати, дебетовую карту бесплатно поменяли, когда я им просто позвонил и сказал, что она пришла в не очень симпатичный вид (цифры и изображения затерлись). Хотя до окончания срока действия по их правилам замена карты платная. Так что к дебетовым клиентам у них и правда отношение отличное.
обходится выпуском бесплатной допки )
Мы сейчас непопулярный вещь скажем, но у ТКС есть 2 типа клиентов.
Кредитные — которые воют от ставок по кредитам и от последствий просрочек.
И дебитные — которые ставят ТКС небольшой нерукотворный памятник за выгодные условия по депозитам и картам
я и тем, и другим пользуюсь, и вполне доволен.
грейс по кредиткам никто не отменял, равно как и кэшбэк )
Итак, дети, записывайте:
1. Переходить дорогу только на зелёный свет
2. Регистрироваться в соцсетях/мессенджерах/банках — только на дополнительную симкарту.
Неудобно также потом после кражи денег с карты бегать по банкам и отделениям полиции — бумажки собирать.
Возвращаясь к вопросу школы: я бы скорее добавил в школьный курс обучение минимальной экономической грамотности, где человеку явно объясняли бы, к каким проблемам приводят кредиты, и что их лучше не брать вообще, если нет совсем острой необходимости (например, на лечение) или планов за счет кредитных денег заработать. Да и вообще про различные экономические инструменты рассказать не лишним было бы, наверное.
я бы скорее добавил в школьный курс обучение минимальной экономической грамотности
Вы ещё предложите про налоги в школе рассказывать. Совсем экстремизм получится.
бы скорее добавил в школьный курс обучение минимальной экономической грамотностиПолностью согласен. И ещё немного юридической грамотности. А то такое ощущение, что у нас народ только вчера из леса вышел, дальше обсуждения на лавочках как всё плохо дело не движется. А любая попытка защитить свои права, как ни странно, приводит к успеху.
… Клиент соглашается,
что Банк вправе передавать и раскрывать
любую информацию, касающуюся Клиента,
аффилированным лицам, агентам и партнерам,
а также иным третьим лицам, включая
кредитные бюро и коллекторские агентства...
Я в этом деле не эксперт, но мне всегда казалось, что продажа кредита коллекторскому агентству — распространенная практика. Буду рад, если вдруг кто-то раскроет это детальнее.
Гуглить по теме «Договор цессии» или 382 ст. ГК РФ
Не все в состоянии произвести сию процедуру корректно, но право имеют
У нас свобода договорных отношений, и переуступка прав требования может быть без вашего согласия, как заемщика
Но трудность в том, что заемщик должен быть ознакомлены с оригиналом (именно оригиналом, копии, заверенные хоть папой римским все идут в лес) договора цессии между цедентом (банком, продавшим задолженность) и цессионарием (тем, кто долг купил)
Было это года 2 назад, с тех пор звонили мне пару раз, но я уже их грубо посылаю куда подальше чего и вам советую.
пришел отказ, хотя вначале уверяли, что мол уже одобренная и это просто формальностьЭто маркетинг.
Реальная кредитная карта это то же самое, что кредит, когда проводится стандартная проверка и одобрение. Просто так, без вашего согласия, никто не будет её делать, а после ваши данные проверку не прошли. Увы.
Если ИБ не смотрит в спам — это какая-то неправильная ИБ, кмк.
Вы написали одно письмо, подождали три дня, не дождались реакции, и радостно побежали это публиковать?
Если целью действительно является устранение уязвимости и минимизация вреда, то следующий шаг — попытка установить контакт по другим каналам, с вопросом о том, получили ли они письмо, как скоро на него ответят, и куда вообще надо было слать сообщения об уязвимостях. Причём без указания деталей уязвимости обычному саппорту — во-первых, это не их дело, во-вторых, они неадекваты и не умеют оценивать опасность. Достаточно писать, что вы переслали детали по специальному адресу или требовать с них чтобы вам дали этот специальный адрес.
Адекватно и быстро хорошо если каждые десятые реагируют, по моему опыту.
Минимизация вреда для пользователя — вот основная цель. Для ее достижения обычно используется один из следующих вариантов:
1. (лучший, наиболее эффективный) у банка есть прямая линия и прозрачный фонд вознаграждения за найденные уязвимости: нашел ⇒ сообщил ⇒ закрыли ⇒ получил денег.
2. (приемлемый) банк о̶п̶е̶р̶а̶т̶и̶в̶н̶о̶ стремительно реагирует на такие письма, даже если они отправлены с адреса pink_poopsey_2001@pornhub.com
3. (обычный) банк телится ⇒ ждем сколько умеем (скажем, день, или три) и публикуемся везде, поднимая себе карму. Банк расплачивается репутацией и возмещает убытки всем пострадавшим.
Игр в коммунизм не бывает: если банк такой банк, то его надо нагнуть по максимуму при первой же возможности. Иначе мы продолжим жить там, где живем.
WhiteHats нигде и никогда не заинтересованы в устранении уязвимости и минимизация вреда для б̲а̲н̲к̲а̲.
Минимизация вреда для пользователя — вот основная цель.
Безусловно, про минимизацию вреда для пользователей речь и идёт.
То есть на самом деле всё чуть-чуть сложнее, но в первом и во втором приближениях это так.
(обычный) банк телится ⇒ ждем сколько умеем (скажем, день, или три)
Игр в коммунизм не бывает: если банк такой банк, то его надо нагнуть по максимуму при первой же возможности. Иначе мы продолжим жить там, где живем.
Я понимаю вашу позицию, но мне кажется, что публикация через три дня и одно письмо — всё-таки несколько перегибание палки. Учитывая то, что пользователи могут пострадать от этой уязвимости.
То, что у вас описано как п.3. обычно вступает в силу тогда, когда уязвимая сторона либо активно не желает исправлять проблему, либо достаточно длительное время игнорирует все попытки с ней связаться. Отправка одного письма, неполучение на него ответа, и выводы из этого «ой, всё» — так себе стратегия.
Хотя как Tinkoff мог бы это улучшить и вообще избежать этой ситуации — отправлять автоматический ответ вида «ваше сообщение рассматривается нашей командой, мы с вами свяжемся».
даже если они отправлены с адреса pink_poopsey_2001@pornhub.com
Да, придирки к адресу я видел — с тем, что на это должно быть наплевать — соглашусь, конечно.
Ещё раз — я не защищаю банк в данной ситуации, и в целом с описанными вами целями согласен.
Но, по моим оценкам, предпринятые автором действия были сильно неоптимальными именно с точки зрения минимизации вреда для пользователей.
Пока нашедший уязвимость будет предпринимать все попытки достучаться до банка через приватные каналы, писать, звонить, купит билет в Москву, приедет в офис, поживет на крыльце недельку, добьется встречи с безопасником, сумеет его убедить, пешком уйдет к себе во Владивосток, потому что жить неделю на крыльце банка — дорого…
Короче, пока вот это все — банк будет относиться к проблеме именно так, как он относится сейчас. Результат публикации тут налицо: все закрыто. Еще раз повторю: вред, нанесенный пользователям, в конечном итоге можно вытребовать через суд у того же банка (да, я все понимаю, но все же).
Пока их не пнешь, они не полетят.
Пока нашедший уязвимость будет предпринимать все попытки достучаться до банка через приватные каналы, писать, звонить, купит билет в Москву, приедет в офис, поживет на крыльце недельку, добьется встречи с безопасником, сумеет его убедить, пешком уйдет к себе во Владивосток, потому что жить неделю на крыльце банка — дорого…
Вы слегка утрируете =). В данной ситуации стоило позвонить и написать ещё и в поддержку (без указания деталей).
Результат публикации тут налицо: все закрыто
Закрыто через полдня после публикации. Все, кто хотели что-то стрясти через эту дыру — стрясли. Чтобы убедиться в обратном, надо поднимать логи на стороне банка. Как вы его заставите это сделать, кстати говоря? Сказать, что это уже не ваши проблемы — не получится, так как вы уже надели на себя шляпу и действуете исходя из минимизации вреда для пользователей, а часть из этого могло случиться именно из-за такой публикации — значит это входит в интегральную оценку.
Еще раз повторю: вред, нанесенный пользователям, в конечном итоге можно вытребовать через суд у того же банка
Не весь вред, плюс маловероятно в наших условиях, плюс не все пострадавшие вообще захотят этим заниматься, но это не значит, что они пострадают меньше. Кстати, они вообще могут не знать, что пострадали — как они тогда в суд пойдут?
Короче, пока вот это все — банк будет относиться к проблеме именно так, как он относится сейчас.
Пока их не пнешь, они не полетят.
Знаете, от этого достаточно повышать прозрачность пост-фактум, публикуя таймлайн, краткую историю общения, и детали уязвимости после её исправления. Как обычно и делают в большинстве сколько-нибудь значимых случаев. И да, это почему-то совершенно отсутствует в вашей классификации.
Это отсутствует в моей классификации потому же, почему в ней отсутствует пункт «прилетят инопланетяне и все починят». Чтобы опубликовать что-то пост-фактум, необходимо, хотя бы, чтобы фактум наступил. Иначе Ахиллес на черепаху не наступит никогда.
Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо. То, что письмо не то, было понятно сразу: автор того не стал бы писать о нем на хабр в таком тоне ни при каких обстоятельствах. Плюс банальный лингвистический анализ.
Есть шанс, что я ошибаюсь, и топикстартер просто идиот (и шикарный стилист), но что-то мои поверхностные знания о банках (вы можете прощелкать до моего профиля в SO и посмотреть, где я работаю) говорят об обратном.
Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо.
Согласились, но на момент диалога выше это было неясно.
Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо. То, что письмо не то, было понятно сразу: автор того не стал бы писать о нем на хабр в таком тоне ни при каких обстоятельствах.
Вы, вот, тоже посылаете противоречивые сигналы — из одних сообщений кажется, что вы разочаровались в людях, из других — что нет =).
мои поверхностные знания о банках (вы можете прощелкать до моего профиля в SO и посмотреть, где я работаю) говорят об обратном.
Эх. Я, к сожалению, примерно представляю, что в банках происходит, да. Но я видел и ещё менее адекватную реакцию, но это всегда в конце концов заканчивалось более или менее нормально.
Вы, вот, тоже посылаете противоречивые сигналы — из одних сообщений кажется, что вы разочаровались в людях, из других — что нет =).
В людях — никогда. В банках — давно.
Я, к сожалению, примерно представляю, что в банках происходит, да.
Дык ну вот. Я и говорю, что их надо пинать, нагибать и чморить. Если бы речь шла про интернет-магазин «Кройки и шитья», я бы никогда не встал на сторону топикстартера.
В людях — никогда. В банках — давно.
Но это же тоже люди =). И на ваши письма у них там люди отвечают.
Если бы речь шла про интернет-магазин «Кройки и шитья», я бы никогда не встал на сторону топикстартера.
Это очень радует, кстати. Но в вашей классификации выше вы про это ничего не указали, и я думал, что вы её ко всему относите.
Я и говорю, что их надо пинать, нагибать и чморить.
Без предыстории всё-таки не стоит заранее делать выводы, тем более что автор к этому банку, вроде, изначально хорошо относился. Стоит оценивать только потенциальную пользу/вред, причём тот факт, что это банк, для меня бы эту оценку не сдвинул так сильно, чтобы публиковать детали неисправленной уязвимости через три дня и одно письмо.
С другой стороны, например, http://adios-hola.org/ я полностью поддерживаю — вот их надо «чморить». Это ребята, у которых бизнес-модель — ботнет, плюс жутко дырявый. При этом они врут пользователям и до скандала вообще не писали нигде, что продают трафик через компьютеры пользователей. Вот эту штуку никак реально не исправить, и единственное, что можно сделать — активно предостерегать всех от её использования, вообще.
WhiteHats
Это (в данном случае) что угодно, но не White Hat.
Прочитайте письмо: https://habrahabr.ru/post/307628/#comment_9748658
Если вы посылали несколько писем, и это не то, или если письмо зацитировали не полностью — извините. Серьёзно.
Вы можете выложить правильную версию с текстом и указанием, куда оно было отправлено?
UPD: https://habrahabr.ru/post/307628/#comment_9749060, вижу.
Да, тут я был неправ, да и сотрудники банка, кажется поторопились. Или они это специально?
У меня к вам два вопроса.
- У вас есть опыт сообщения об уязвимостях в разные фирмы?
- Каковы должны были быть правильные мотивы человека, сообщающего об уязвимости? Пожалуйста, подумайте, прежде чем ответить.
- 1.) Имеется (хотя это и не важно). И не все адекватно реагируют на ту информацию, которую ты им предоставил. Часто тебя еще и пытаются сделать виноватым в том что ты нашел дырку. По этому, если каждый владелец сайта реагирует на уведомление о дырке по разному, почему тогда тот, кто уведомляет не может также по разному реагировать на игнорирование его уведомления?
- 2.) Мотив всегда один. Получить благодарность за проделанную работу и проявленную гражданскую позицию. При чем, компенсация не всегда соизмерима с найденной уязвимостью, но это уже совсем другой вопрос.
Так. Объяснюсь: по моему опыту этого явно недостаточно. Очень часто приходится долбать по нескольким каналам, при этом часто — объяснять, почему так делать нельзя.
Безусловно, банк должен был ответить сразу и адекватно. Но то, что он этого не сделал — не повод сразу же публиковать детали уязвимости.
Если человек действительно ставил целью исправить ситуацию и действовал из лучших побуждений, то его действия должны были быть не такими, как здесь. Я про это написал выше. Я не теоретизирую, реально мало кто отвечает так быстро, плюс первый ответ очень часто бывает неадекватен.
Например, в прошлом месяце я, не найдя нормального контакта безопасности у фирмы и не дождавшись ответа на security@, долбал эту фирму по нескольким другим независимым каналам, включая обычную службу поддержки клиентов (каковым я не являлся) и нескольких отдельных разработчиков. Это помогло, со мной связались безопасники. Все остались довольны.
Уязвимость заключалась в ошибке конфигурации серверной части, что позволило найти тестовые стенды одной весьма крупной студии сайтов. А у них там в исходниках страницы была ссылка на txt-шник со списком должностей, имен и фамилий всех участников — от дизайнера до сисадмина. Нашел админа в какой-то социалке, постучался, рассказал. Вроде закрыли. =) До этого писал вроде как владельцу компании, и он даже ответил, но толку недели 2-3 не было. Так что так, да.
Вот это нормально =).
Нашел админа в какой-то социалке, постучался, рассказал.
Это, кстати, довольно действенный метод. С той фирмой я приблизительно таком образом и связался в итоге.
Другой пример — у того же Travis, например, я не нашёл публичной информации о том, куда слать сообщения о уязвимостях, в итоге стряс её с разработчика в личке на твиттере. Кстати, с ними было приятно работать и они всё весьма хорошо делали.
Исправили за несколько дней, но там были дополнительные шаги по перепроверке с разных сторон (затронут был не только Travis), и в итоге публично я это через три месяца почти выложил. И это — нормально, примерно так обычно и бывает.
Поправка: он написал одно письмо на ящик credit@tinkoff.ru (который, опять же, скорее всего, читает только общая линия поддержки, без каких-либо деталей (это, кстати, правильно, учитывая ящик), но с очень толстым намёком на то, что он бы не прочь получить денег и «обсудить предложения о сотрудничистве» (цитата).
Источник: https://habrahabr.ru/post/307628/#comment_9748658.
Если там письмо автора зацитировано некорректно или неполно, то беру свои слова (из этого сообщения) назад.
но с очень толстым намёком на то, что он бы не прочь получить денег
Т.е. программа Bug Bounty это хорошо, а вот желать получить вознаграждение это плохо?
Так, я не могу отредактировать, но я отзываю этот комментарий целиком. Банк, оказывается, зацитировал не то письмо, вообще не от автора.
Правильное: https://habrahabr.ru/post/307628/#comment_9749060
Полностью поддерживаю. Комментаторы утверждают, что тупить полгода с закрытием уязвимости — обычное дело; соглашусь и посмею воспользоваться этим как аргументом в пользу публикации уязвимостей гораздо раньше печально принятой нормы.
Бестолковость надо наказывать.
Дорогой OP, благодарю тебя за то, что не продал уязвимость. Твой альтруизм глуп, но общество гордится тобою.
Вы же локально тестировали, а не на волшебный сайт номер своей карты ввели, да? Успокойте меня.
Тут в этой истории неадекваты все.
- Банк сделал откровенную фигню.
- Те, кто написал на это ТЗ, потом принял.
- Программисты, которые это сделали и не написали что получается бардак.
- Внутренний аудит безопасности либо отсутствует, либо зря хлеб ест. Либо процесс интеграции сломан.
- Банк не отвечает не репорты уязвимостей.
- Вы, судя по всему, не предприняли достаточных шагов при оповещении банка об уязвимости.
- Вы выложили скрипт, который принимает номера карт других людей и вообще-то непонятно что с ними делает. При этом он непонятно где хостится.
- Данные в ваш скрипт передаются по незашифрованному каналу.
- Наверняка нашлась парочка-другая волшебных людей, которые реально ввели туда номера своих карт.
Номера карт — не настолько ценные сами по себе, но всё же, блин, так делать нельзя.
Банк сделал откровенную фигню.
Те, кто написал на это ТЗ, потом принял.
Уникальный случай в разработке ПО? В чем неадекватность?
Программисты, которые это сделали и не написали что получается бардак.
Обычно программисты всегда прекрасно понимают последствия всех изменений и безусловно высказывают свое мнение, к которому прислушивается руководство. Или все-таки больше похоже на обычный сценарий. Большенству по-барабану, а те кому нет или постеснялись сказать или их не слушают. В чем неадекватность?
Внутренний аудит безопасности либо отсутствует, либо зря хлеб ест. Либо процесс интеграции сломан.
Аудит безопасности — это банк. Не высший уровень защиты, т.к. нет угрозы здоровью или жизни. Аудит квартальный в лучшем случае. Чаще делать — будет слишком дорого. Вот bug bounty программа — пожалуй дешевле вариант.
Банк не отвечает не репорты уязвимостей.
Не известно на какой им Email отправили. Может быть это ушло в support а может в sales. В первом случае есть шанс что доберутся через недельку, а во втором — точно сразу в spam. Тут не неадекватность, а недостаток информации у меня. На счет вас не знаю.
Вы, судя по всему, не предприняли достаточных шагов при оповещении банка об уязвимости.
А вы бы какие шаги предприняли на месте автора статьи? Я могу представить себе причины почему автор мог написать такую статью. Поступок будет в зависимости от сценария от логичного до логичного, но не обдуманного. Но неадекватность не видно.
Наверняка нашлась парочка-другая волшебных людей, которые реально ввели туда номера своих карт.
Вот с неадекватностью таких людей я соглашусь. Все-таки это читатели habr, а не космополитен.
Уникальный случай в разработке ПО? В чем неадекватность?
Нет, не уникальный. Но это его не оправдывает.
Обычно программисты всегда прекрасно понимают последствия всех изменений и безусловно высказывают свое мнение, к которому прислушивается руководство. Или все-таки больше похоже на обычный сценарий. Большенству по-барабану, а те кому нет или постеснялись сказать или их не слушают. В чем неадекватность?
Нормальные люди, когда реализуют такую штуку, понимают логику её работы. На уровне ТЗ детали могут быть ясны не всегда, но на уровне реализации все пробелы заполняются. В данном случае, достаточно легко можно увидеть наличие проблемы — об этом должно было быть сообщено. Для этого кода вообще не должно было быть создано предложение смерждить его в мастер, ровно как он не должен был ревью пройти. Задача должна была быть отправлена назад за уточнениями.
Если им, после возникновения таких замечаний и их детального описания, сверху подтвердили, что ровно так всё и должно работать — претензии к программистам снимаются, но это мне кажется довольно маловероятным.
Аудит безопасности — это банк. Не высший уровень защиты, т.к. нет угрозы здоровью или жизни. Аудит квартальный в лучшем случае. Чаще делать — будет слишком дорого. Вот bug bounty программа — пожалуй дешевле вариант.
Не аудит, а ревью функциональных изменений. Для этого достаточно держать одного адекватного человека в штате. Или двух. Мне почему-то кажется, что Tinkoff может себе это позволить.
Не известно на какой им Email отправили. Может быть это ушло в support а может в sales. В первом случае есть шанс что доберутся через недельку, а во втором — точно сразу в spam. Тут не неадекватность, а недостаток информации у меня. На счет вас не знаю.
Соглашусь. Я предполагал, что автор всё-таки написал нормальное письмо куда надо, если это не так — претензии к реакции на сообщение со стороны банка, безусловно, снимаются.
А вы бы какие шаги предприняли на месте автора статьи?
Я ответил чуть выше: https://habrahabr.ru/post/307628/#comment_9747502
Вы очень поспешили с публикацией.
Если уже публичная, можно, если нет — не стоит сообщать саппорту детали проблемы. Единственное, чего стоит добиваться от саппорта — это либо контактов безопасников, либо (если контакты есть и молчат) — ответа на то, получили ли они сообщение и что там с ним.
вы не возражаете, если я опубликую текст вашего письма?
Я не автор, но мне бы очень хотелось увидеть, что именно он вам написал. Особенно, если вы сами хотите это опубликовать.
Ждём ответа =).
И все же интересно — письмо только сейчас подняли или его получили и оно сразу молча пошло в неспешную обработку?
1) Выполнял пентестинг, о котором его никто не просил. Формально — это прямое нарушение закона, увы.
2) Понятно, что не всё всегда по закону, и немножко пощупать всегда можно. Но, если уже занялся этим и тем более — обнаружил что-то — сделай всё возможное, чтобы доснести инфу до нужных людей.
3) Не получилось донести — забей и забудь. Расскажи друзьям за кружкой пива. Если уже очень чешется — опубликуй анонимно. Это же не pornhub.com какой-нибудь, и, повторюсь, вас никто не просил искать дыры.
Это всё imho. Я абсолютно уверен, что автор не имел злого умылса, и даже вполне понимаю его порыв. Но деньги с карты Т. я бы посоветывал пока снять. И теперь продумать возможные дальнейшие ходы обеих сторон.
PH я привел к тому, что за его неофициальный пентестинг (blackhat-ом) и дисклоза дыр автору на 99.9% ничего не будет. Ну максимум закроют аккаунт на ph, если оные существуют. А тут банк, РФ, очевидная работа без какой-либо анонимизации, да еще и публичный дисклоз через 3 дня. Очень надеюсь на адекватность Т, но, господа, так дела не делаются.
Но, если уже занялся этим и тем более — обнаружил что-то — сделай всё возможное, чтобы доснести инфу до нужных людей.
Вот. Это верно, так и нужно делать. Это основная его ошибка.
Кстати, вы забыли, что его ещё укусить могут за сбор номеров карт на своём сайте. А что он их реально не собирал — ему потом, возможно, придётся людям в форме доказывать. Не стоило такую форму вообще публиковать, не с полным номером карты.
Или вот по наводке безопасников банка могут начать серьезно копать. Понятно, исключительно из чистоплотных побуждений.
А вот с этической точки зрения, мне кажется, неправильно рассматривать ситуацию в виде «двугольника» автор+банк. Есть еще третья сторона — клиенты банка. Так вот у клиентов банка есть интерес в том, чтобы:
1) Банк (и их счет в нем) был защищен
2) Если же 1) не соблюдается, что чтобы велись работы над закрытием дырок и было движение к достижению п.1
3) Если ни 1, ни 2 (дырки есть, но не чешутся) — то хотя бы, чтобы клиенты банка были в курсе, и могли принять решение о своем поведении.
Причем, я даже не уверен, что интересы банка тут имеют какую-то важность. Они важны только как следствие интересов клиентов. Нельзя публиковать информацию об уязвимости слишком быстро, но не потому что в банке кому-то дадут нагоняй, а потому что клиентам лучше, чтобы банк «тихо» закрыл дырку, до ее опубликования.
1) Выполнял пентестинг, о котором его никто не просил. Формально — это прямое нарушение закона, увы.
В том, чтобы дергать открытое api, нет ничего противозаконного в РФ.
однако с точки зрения законодательства это будет классифицироваться совершенно иначе
Мне кажется, мы дискутируем на уровне домыслов. Давайте поднимем законодательство. Я знаю следующие статьи УК РФ:
- Статья 272 УК РФ (Неправомерный доступ к компьютерной информации), устанавливает ответственность за "неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
Неправомерного доступа нет — есть страничка на общедоступном сайте, куда можно свободно вводить номер карты и получать ответ "не хватает денег". Вот если бы там стоял хоть какой-то пароль (даже "111") и автор его подобрал, был бы другой разговор.
- Статья 274 УК РФ (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети) предусматривает ответственность за "нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред". Понятие "существенности" вреда является оценочным и в каждом конкретном случае определяется индивидуально.
Уничтожения, блокирования или модификации информации на серверах тинькова не происходит.
- Статья 146 УК РФ (Нарушение авторских и смежных прав)
Ну это так, до кучи. Тоже мимо — авторские права на произведение не нарушены.
Так что ничего противоправного не делается.
P.S.
Аналогия с незапертой квартирой все-таки не подходит. Квартира — пассивный объект. А веб сервис — активный. Каждый раз он отвечает на запрос. Веб сервис мог бы проверить права перед выдачей ответа. Поэтому более правильной аналогией будет хозяин квартиры, который реагирует на запросы с улицы "а скинь мне телек". Никто же не запрещает хозяину квартиры дать кому-то что-то из квартиры, верно? :)
Был бы рад ссылке на такое дело. А вообще логи пишет сам веб сервер, хакер их не трогает)
Как утверждает защита Пивоварова, все они показали, что базы данных МВД не были каким-либо образом модифицированы, и, следовательно, статья 272 использована быть не могла
(источник)
Но вменяют ведь копирование:
Судья Игорь Загаров решил иначе, согласившись с доводами прокурора о том, что простая пометка о верности или неверности, сделанная в подписных листах, уже свидетельствовала о копировании данных
(там же)
А в статье 272 УК РФ написано так: «если это деяние повлекло… модификацию либо копирование». Копирование было? Было. Хотя бы на компьютер-клиент для отображения. Или, как решил судья, на бумагу, но не в исходной, а в производной форме.
Это не самое благодарное занятие, даже если вы немаленькое юр.лицо.
А смысл вывешивать адрес, если его не используют?
Так что автором, с моей точки зрения, всё было сделано вполне корректно.
Я бы не стал. И письмо бы посылал через семь анонимайзеров. Много лет назад один знакомый имел неосторожность высказаться насчёт теоретической слабости одной платёжной системы (по-моему, это была золотая корона). Банк заслал маски-шоу — приехали из другого города, свинтили в наручниках с работы, увезли в этот другой город. Родственники чуть с ума не сошли — человек пропал. Еле нашли. Потом очень много времени вызволяли из каталажки, где человек очень сильно подорвал здоровье. И это ещё повезло, они хоть купили, но всё же всего лишь продажных ментов, а не совсем уж бандитов. Тогда и за меньшее закапывали в лесочке.
Сейчас, с одной стороны, времена уже немного не те, а с другой, вон, какой-то деятель, пишущий «от имени банка» всё же предпринял на редкость неуклюжую попытку демонизировать топикстартера… ;(
Не, я бы не стал бы на месте автора деанонимизироваться. И с буржуйскими банками часто та же беда — сколько случаев, когда подают иск против того, кто им на дыры указывает.
Ну, собственно, они ещё и угрожать пытались…
https://habrahabr.ru/post/307628/#comment_9748286
Не, какие звонки? Даже и не думайте…
Про номера — в изначальной версии статьи тут была ссылка на сайт, где был выложен и работал пхп-скрипт топикстартера.
Там предлагалось ввести полный номер (своей?) карты и проверить, работает ли определение суммы на ней.
Причём вся передача данных шла по незашифрованному http.
Обвинениями это было бы, если б банк написал заявление (формально это возможно в данной ситуации) или еще каким либо образом давил на автора. Ничего такого здесь нет. Идет дискуссия автора, клиентов, неклиентов, банка (и всякий левый флуд как обычно во взрослом техническом сообществе =) )
Ничего незаконного в скрипте нет. Он делает _ровно_ то же самое, что скрипт со страницы банка. Тогда и банковский скрипт незаконен? Смешно и нелепо.
Он делает ровно то же самое, что скрипт со страницы банка.
Нет. Этот скрипт был запущен на стороннем сайте (предположительно, автора) и автор предлагал вводить туда свои номера карт, которые передавались ему на сервер, причём по незашифрованному каналу. Плохо именно это, а не сам факт написания и выкладывания кода скрипта.
Но автор уже это исправил и ссылку на сайт с формой ввода своего номера карты убрал, правда, не сразу.
Только что пришел ответ, что все починили. Не знаю куда писал автор, но Тинькофф быстро работает.
Кстати, я надеюсь, что 5213*************2 в коде — не номер карты вашего друга, так ведь?
И тут же начинается массовое обсасывание несущественной по сути особенности работы сервиса.
Ну и по традиции всех кармафилов, как же без этого, желтый заголовок, для привлечения заблудших мотыльков, которым нужно что-нибудь погорячее для разбавления их офисной скуки.
Вы некорректно использовали знак "©". В этом виде он скорее выглядит как элемент оформления. Советую сначала изучать вопрос, и только потом показывать оригинальность мысли. А то можно «напороть косяков», которые, в ином приличном обществе, поняты не будут.
А лично вы, коллега, идите и работайте над улучшением своего антивируса (вы же из лавки под названием DrWEB?), а то он распознает мою коммерческую программу как вирус, а там всего-то используется пара механизмов для обфускации и шифрования контента в целях защиты от взлома. (Заявку по поводу ложного срабатывания отправил, однако ума не приложу, как так можно определять вредоносные программы. Случаем вы там не нанотехнологичное устройство для рандомизации используете в качестве основного ядра?)
Не обижайтесь на «дотошных идиотов». Ни в мыслях не было унижать знак (с), использовав его, как элемент оформления!
> вы же из лавки
Вы правы! Коллега. :)
> Случаем вы там не нанотехнологичное устройство для рандомизации используете в качестве основного ядра?
Мы там, случаем, именно его.
Здоровья и успехов, коллега! И хороших выходных. Отдохните. Вам надо.
А всего то надо добавить некий CSRF токен, уникальный для каждой сессии, передаваемый в заголовке к запросу, ну и проверять его.
Ну и на правах побрюзжать. Последний интернет-банк получился абсолютно неюзабельным, грустно читать тут статьи разработчиков, которые им еще и гордятся. Переборщили так, что даже заходить лишний раз не хочется, грузится подольше некоторых игрушек, хорошо, хоть мобильное приложение пока нормальное.
К счастью обе предыдущие версии интернет банка все еще доступны и работают с сохранением всех функций. Новые в них конечно не добавляют, но все что было изначально — поддерживается в рабочем состоянии.
Ну и на правах побрюзжать. Последний интернет-банк получился абсолютно неюзабельным, грустно читать тут статьи разработчиков, которые им еще и гордятся.
Это не проблема, можно пользоваться старым интернет-банком по адресу my.tinkoff.ru
https://www.instagram.com/p/BIxP2MhBcvh/?taken-by=olegtinkov
А приватные данные всех волнуют не более чем на словах…
что дальше-то?Ничего, что это приватная информация? Хорошо, если жена узнает, что вы заныкали от неё на карте пару тысяч $ (отделаетесь скандалом), а если злоумышленник? Потому как целенаправленная атака на конкретного человека в большинстве случаев приведёт к успеху.
Может и ничего не случится, но вам приятно будет так ходить? Мне — нет.
Я о том, что когда вы не знаете, сколько у этого хорошо одетого человека денег на карте, рисковать не будете. А если знаете — то дело другое, и не важно, как он одет.
Соответственно у всех номера пластиковых карт будет идти по порядку
Очень спорное утверждение, поверьте. Вероятность крайне низка.
Соответственно остается просто подобрать 3 цифры на обратной стороне карты
Попыток у вас будет немного. Карта будет заблокирована на анти-фроду.
Соответственно у всех номера пластиковых карт будет идти по порядку
Очень спорное утверждение, поверьте. Вероятность крайне низка.
Соответственно у всех номера пластиковых карт будут идти по порядку (согласно алгоритму Луна)
Т.е. первые 15 чисел будут идти по порядку, а последняя цифра лишь контрольная сумма. Вы выдернули слова из контекста.
Имел в виду техпроцесс в конкретном нашем банке. Я с ним хорошо знаком по роду деятельности
И текст тоже может иметь значение. Если проблема преподнесена чётко, лаконично, с акцентом на том, какие угрозы (разглашение банком посторонним сведений о балансе без разрешения на то клиента, иначе говоря — нарушение банковской тайны) от выявленной баги, то банк уже не имеет шансов отмазаться «ой, мы из первого письма не поняли, о чём речь»
Тут по-моему и идиоту понятно, что не так. Какие акценты?
Да и в комментариях ниже есть человек, который не видит угрозы в том, что кто-то узнает его баланс.
У разгребающего почту сотрудника безопасности может быть шаблонно-конвейерное мышление или просто «коротнуть». Критичная бага — нет, ну и отправим её в конец списка фиксов. А про то, что эта мелочь нарушает закон и потому может спровоцировать шумиху, как-то не подумалось, голова уже следующим письмом занята.
Спасибо за то, что помогаете делать наши сервисы ещё более безопасными и удобными. Ошибка незначительная и уже исправлена.
Мы всегда открыты к работе по программе Bug Bounty, но и вы должны использовать законные методы, которые не задевают интересов наших клиентов.
Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.
Еще раз спасибо за внимательность!
С уважением, Тинькофф
Обратите внимание, что использование автоматизированных методов тестирования без согласования и передача номера карт по незащищенному каналу недопустимы.
Можете более детально разжевать данный абзац? Меня конкретно интересует слово «недопустимы».
А насчет несанкционированного пентестинга уже писали выше. Особо добавить нечего
Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.
Ссылка на то, что «это же хабр, тут все подкованные» тут не работает. У хабра хорошая цитируемость в соцсетях, а там публика бывает разная
Касательно провокации (мое личное определение, более удачного придумать не могу) ко вводу данных своей карты на HTTP-страничке: при намеренном или случайном разглашении автором собранной информации это уже правонарушение, запрещенное законами РФ.
А если банк намеренно или случайно разглашает информацию о клиентах, как это трактуется?
Если вам интересно мое мнение, то возможность узнать баланс по номеру любой введенной карты — неверное поведение систем ДБО банка. Поэтому она была закрыта, как только о ней стало известно. При этом стоит учитывать, что без дополнительной информации эта уязвимость достаточно сложно эксплутировать.
У вас, других хабражителей или ответственных органов точка зрения может быть другой.
Знаете, а вот с
Ошибка незначительная
я, пожалуй, не соглашусь. Это была весьма неприятная штука, позволяющая получить приватную информацию о состоянии счетов пользователей по номеру карты.
Кстати, по-хорошему вам бы ещё поднять лог запросов и этот ендпоинт с целью проверить, эксплуатировалось ли это кем-нибудь, и предупредить затронутых пользователей, если да.
И провести аудит, в том числе процессов, которые допустили такое.
Но нет всегда надо уходить от ответственности. Ошибка незначительная, надо четче формулировать описание и дожидаться ответа… попытка переложить вину на пользователя.
Как видите, информации для реакции в нем, мягко говоря, немного. И самое неприятное, что оно отправлено на ящик, предназначенный для консультаций по кредитным продуктам. В нем и по делу-то немало сообщений, а уж похоже выглядящих «предложений сотрудничества» сыпется…
-----Original Message-----
From: ********[mailto:************@**********.ru]
Sent: Monday, August 08, 2016 10:52 AM
To: credit <credit@tinkoff.ru>
Subject: [[SOME_TECHNICAL_ID]]
Добрый день.
Я нашел ошибки в работе вашей системы, в следствии которых банк теряет деньги (возможные потери от 1-2 тысяч в месяц до примерно 10-20 на одном клиенте).
готов обсудить варианты сотрудничества по схеме
На конференции Black Hat представители компании Apple сделали важное объявление: с 1 сентября 2016 года Apple запускает собственную программу bug bounty. Компания обещает выплачивать исследователям награды в размере до $200 000, но пока только избранным.
В последнее время Apple оставалась одной из немногих компаний-гигантов, у кого до сих пор нет собственной программы вознаграждения за уязвимости. Такие инициативы достаточно давно есть у Micorosoft, Facebook, Twitter, Yahoo, Google и так далее.
Заранее спасибо!
— Завершение пересылаемого сообщения —
ни одно обращение не игнорируется
И я не передергиваю, это вы написали про десятки обращений, пишущих каждый день.
А тогда, через какой промежуток времени вы выходите на связь с автором письма?
Выходу на связь по таким обращениям предшествует, эммм, некая внутренняя работа СБ. Хотите верьте, хотите — нет, но, если бы статьи не было, с автором связались бы сегодня.
И я не передергиваю, это вы написали про десятки обращений, пишущих каждый день.
Да, я написал, что их немало. Но нигде не писал, о том, что они игнорируются.
Офигеть.
Извините, других слов нет.
Мое было отправлено на адрес, указанный на странице контактов как адрес службы безопасности, и там были перечислены все детали и тем более никакого вымогательства:)
Если уж это так важно, то:
To: cso@tinkoff.ru
Date: Mon, 08 Aug 2016 21:10:32 +0300
From: b***f <b*****f@******.ru>
Добрый вечер,
зашел сейчас перебросить денег и обнаружил не очень приятную особенность на странице переводов https://www.tinkoff.ru/cardtocard/
Если карта отправителя — тинькоф, аякс, считающий комиссию, заодно и проверяет наличие денег на счету. Если их там нет, то выдает ошибку «недостаточно средств на счете». Проблема в том, что он работает уже по одному введенному номеру карты, не проверяя валидность остальных полей (срок/cvv). В итоге зная один только номер карты, можно за несколько секунд перебором определить ее баланс.
Прикройте, нехорошо получается :3
А с автором письма выше связались бы, мало ли у него чего поважнее.
Ммм. А вот это вы нормально написали, относительно содержания письма все претензии снимаю, извините.
Теперь вопросы скорее к сотрудникам банка — почему они его до сих пор не нашли. Или нашли, но специально опубликовали другое?
UPD: и добавьте это, пожалуйста, в статью. С таймлайном. Чтобы снять недоразумения.
Я лично в шоке.
И в чем же это выражается?
На сайте банка никакой информации, к сожалению, нет
Попробовал сейчас загуглить и нашел только вот это
Я думаю очень многих подобный подход отпугнет от репорта вам.
Лучше было бы дождаться ответа от службы безопасности и четче формулировать суть замечаний в письме. Это сократило бы время реакции.
Куда еще четче формулировать суть замечаний? Автор очень ясно все объяснил, а случай, когда Вы левое письмо выложили вообще наводит на мысли о том, что вы лучше следите за кредитными консультациями, чем за ящиком службы безопасности.
Продублирую
Чуть поновее — https://www.tinkoff.ru/mybank/
Совсем старый — http://tinkoff.ru/bank
PS: хотя, честно говоря, встречая на просторах сети череду глупых и наивных вопросов от хорошо зарабатывающих людей, порой хочется выругаться «да найми ты уже себе фин.консультанта, не парь мозги себе и другим», так что скорее всего мне понятно отсутствие жалости к таким жертвам обмана
Я не могу считать эту уязвимость заслуживающей внимания для меня лично.
У меня сейчас на карте 18.000 рублей. Туда-сюда.
Вы лично можете не считать. У вас 18.000, у кого-то больше. Это для вас 18.000 — это туда-сюда, а есть люди, которые 18 туда-сюда в миллионах меряют. А есть, кто на 10.000 рублей, а то и на меньшие суммы живёт. От какой цифры будем считать уязвимость заслуживающей внимания?
Вот и СМИ подключились: https://lenta.ru/news/2016/08/12/vashbalans/
Да их тут целый Яндекс: https://news.yandex.ru/yandsearch?cl4url=www.securitylab.ru%2Fnews%2F483374.php&lr=213&rpt=story
@kromm теперь знаменит)) А Тиньков теперь будет более клиент-ориентированным и научится быстрее читать письма и закрывать дыры.
То Агарков, то вкладчики, то Хабр, теперь ждём, какие открытые уроки будут в новом учебном году
PS: особо доставляет заголовок life.ru — «Хакер заявил, что смог вскрыть данные счетов в „Тинькофф банке“.
Повезло человеку: приняли в ряды Хабра, посвятили в хакеры, — такие события обязательно надо отметить на выходных
:D На самом деле после таких заявлений life.ru, я бы на месте kromm, поднапрягся. Эта "желтизна" откровенно подводит автора под статью. Презумпция невиновности у нас в России как известно не работает. Это на Хабре автор — "очередной школьник" ( судя по этому комменту: https://habrahabr.ru/post/307628/?reply_to=9749638#comment_9747556), а там он с "лёгкой руки" life.ru превращается в хакеры. Вот вас например, часто друзья прекрасными вечерами просят закинуть им 50К на карточку?
Я вот смотрю, kromm уже приходится потихонечку ловить фейковые намёки на вымогательство. Он даже уже начинает оправдываться: https://habrahabr.ru/post/307628/?reply_to=9749638#comment_9749060
Так что, это конечно доставляет, но Тиньков — персонаж вспыльчивый, да к тому же богатый. Как бы kromm не пришлось оправдываться, за то что "нагнул" сей до жути чудесный банк.
Но вот что точно могу сказать, после такой широкой огласки, тем более в СМИ — не быть теперь kromm клиентом этого банка. А если ещё и кредиты в Тинькове "висят", то тут вообще труба, каллы уже небось готовятся выстроиться в очередь.
P. S. У Тинькова сейчас есть хорошая возможность пропиарить себя и банк. Извиниться перед клиентами, мол с кем не бывает, учтём, будем совершенствоваться и.т.д. И публично поблагодарить автора, за бдительность, и за то, что помогает улучшать качество услуг. Приличные компании за найденные дыры в безопасности, кстати деньги платят. А, да, совсем забыл, это же у них. У нас обычно наоборот.
Но это ИМХО, а все совпадения событий и имён случайны. :)
Просто банк постоянно ходит в челленджерах (хотя по размеру это уже не так), и при этом очень публичен в медийной сфере. Вот такие истории и находят интерес у публики.
Самый быстро растущий розничный банк? Самая крупная в финансовой сфере логистическая сеть? 4я подряд награда Delloite за лучшее мобильное приложение? Фи, как скучно. А вот Агарков или баг на сайте, это медиаповод.
Такая уж природа человека, нужны зрелища :)
Попробуйте заменить в заголовке этой статьи название нашего на название любого другого российского. Много у вас вариантов получится, чтобы вызвать такой интерес? Осмелюсь предположить, что не очень.
Вот кто-нибудь видел, чтобы так раструбили об исследовании ДБО, которое недавно провели (точнее, повторили, оно ежегодное) PT Security? Ну, кроме специализированных ресурсов, конечно. А ведь там — 55% исследованных систем позволяли получить доступ к БД. Ну и еще куча интереснейших цифр. Вот это полный ахтунг. И ничего, СМИ молчком. Слишком много умных слов, вероятно.
Знаете, а вот это очень круто. Возможно даже, я был неправ и оно того стоило.
Но, даже учитывая это, я бы всё равно не стал публиковать через три дня отсутствия ответа, но ваше поведение в итоге привело к положительному результату.
Добавите в новость, кстати?
Смотрите.
При успешных попытках коммуникации, очевидно, публикацию нормально делать сразу по исправлению или по получению заверений, что это не баг и так и надо. Желательно — синхронизировать с публикацией самой компании, которая, конечно же, тоже должна её делать, для оповещения своих клиентов (только чую я, этого никогда не будет в случае банков). Это не зависит от наличия или отсутствия программы bug bounty.
При неуспешных — в данном случае, да, я считал бы правильным попытаться потратить на это несколько часов. Ну два-три, допустим. Или по-крайней мере написать второе письмо и позвонить в поддержку, узнав, рабочий этот ящик вообще или его никто не смотрит. С освещением этого факта в публикации, если на это действительно ушло слишком много времени. Но не пять минут, не ответили, чёрт с ними.
На коммуникацию обычно времени тратится гораздо больше, чем на поиск самой уязвимости, как бы не хотелось обратного.
Это если под коммуникацией считать попытки связаться, общение с компанией, публикацию статьи. Хотя компания могла бы и не вставлять палки в колёса и минимизировать первые два, как минимум, а на последнее я почти всегда просто забиваю, к моему стыду — если это не что-то важное, что явно может затронуть других людей даже после исправления.
Например, на Travis у меня ушло в два раза больше времени только на попытки связаться, чем на собственно поиск дыры — около часа и около двух соответственно. Это ещё без второй затронутой компании, без последующей переписки с перепроверкой исправлений и без времени на написание текста.
C npm история ещё веселее — я до сих пор трачу время на разгребание этого.
Причём это ещё относительно нормальные ситуации — Travis после того, как я нашёл нужный контакт, были довольно приятны в общении и всё было достаточно хорошо.
Были и такие случаи, когда служба поддержки активно не хотела выдавать нужный контакт и проверять, что письмо дошло, удивлялась моей почте на gmail и вообще хотела, чтобы я как-то доказал, что не верблюд. Но они мелки и неинтересны, так что тыкать пальцем не буду. Хотя, возможно, как-нибудь скомпоную эту переписку в один большой текст (она в нескольких нитях), обезличу, и выложу с пометкой «как делать не надо».
что чем крупнее и публичней компания
Это лишь в первом приближении. Тот же GitHub абсолютно адекватен и всегда быстро отвечал (у него, впрочем, и программа Bug Bounty есть). На скорость реакции Travis и npm я тоже пожаловаться не могу, с трависом просто контактный емейл был запрятан, а дальше всё хорошо.
А вот самый трешак из последнего был с некрупной компанией, которая занимается то ли разработкой/поддержкой софта, то ли чем-то близким к этому.
Но банки это отдельная песня, да.
Ок. Возьмём другую компанию, в 10 раз приблизительно крупнее гитхаба (цифры, аналогично, из гугла), но тыкать пальцем в название не буду.
Они тоже среагировали достаточно быстро, хотя вот с пинанием их и пришлось повозиться — на первое письмо по адресу они действительно не ответили за пару дней, пришлось искать другие каналы. Но это завершилось успехом в итоге.
Так те тоже на письмо не ответили сначала и не факт что прочитали, пришлось по другим каналам пинать.
Кстати, в случае Тинькоффа тут ключевую роль играет не количество операторов в отделениях и точках, а именно количество человек, отвечающих за разработку и информационную безопасность, плюс, возможно, аудитория (внимание и общее количество репортов от неё зависит, в том числе).
P.S. Надеюсь скомпрометированные шаги квеста поменяли, иначе не хорошо получается =)
Tinkoff скомпрометировал данные о балансе карт своих клиентов