n n

Працюючи в компанії, що спеціалізується на інформаційній безпеці , Постійно знаходишся в оточенні параноїків захоплених людей =) PНоPлічно мене етоPоченьPрадует, так як і сам такий же.

Нещодавно колега Євген Миронов звернув увагу на щомісячну розсилку Банку Тінькофф електронних листів з інформацією про виписку про операції по карті. До липня банк надсилав виписку у вигляді вкладеного PDF-файлу, а в липні вирішив змінити спосіб доставки.

Посилання на виписку

Тепер в листі самої виписки не було -Pпріслалі лише посилання, де її можна посмотреть.PСсилка генерується для кожного клієнта (мабуть) випадкова і просто так її НЕ підбереш:

https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618

Ось тільки посилання ця являетсяP прямий, т.е.Pоткривается без запиту логіна / пароля і дозволяє завантажити виписку будь-кому, хто знає правильну адресу посилання. В принципі, з точки зору безпеки великої різниці між обома варіантами (PDF-файл і пряме посилання) немає, якби не один нюанс, на який Євген і звернув увагу.

Справа в тому, що на сторінці банку, де розміщується ця посилання, були вбудовані сервіси реклами та статистики, до яких при завантаженні сторінки відбувалося звернення.

Ось ці сервіси:

• adfocus.ru


• s.ytimg.com


• ssp-ext-bl.datamind.ru


• stats.g.doubleclick.net


• sync.pool.datamind.ru


• syncsw.pool.datamind.ru


• www.youtube.com


• tinkoffcreditsystems.d3.sc.omtrdc.net


• www.google-analytics.com


• top-fwz1.mail.ru


• www.googletagmanager.com

Виходить, що фактично, будь-який, хто має доступ до статистики цих сервісів (наприклад, їх власники, адміністратори та іншої обслуговуючий персонал) може побачити в логах ті самі прямі посилання і скористатися ними, щоб, не знаючи логіна і пароля, отримати доступ до виписок клієнтів банку (за умови, звичайно, що кліентиPпройдут по цих посиланнях).

Євген обратілсяPв банк і виписку по його посиланню оперативно видалили, але і тільки. Переконався в цьому, проверівPссилку з власного письма. Виписка прекрасно скачували без авторизації і сервіси були на місці:

Деякі з сервісів на сторінці банку Тінькофф з випискою клієнта

До слова, подивитися запити, що направляються завантажується сторінкою до зовнішніх сервісів можна так:

• Safari: права кнопка миші -> Показати програмний код сторінки -> вкладка Шкала часу. Придніпровськ і побачите повний список усіх запитів як на скріншоті вище.


• Chrome: Pправая кнопка миші -> Перевірити елемент -> вкладка Sources.

Припустивши, що результатом мого персонального звернення в банк стане чергове видалення однієї єдиної (тепер моєї) виписки, звернувся до них через офіційний акаунт в Твіттері. Не відразу, але все-таки мене там зрозуміли . Більш того, зараз (за моїми прикидками на виправлення було витрачено близько тижня) на всіх страніцахP https://www.tinkoff.ru/statement/* взагалі ніяких сторонніх сервісів більше немає, хоча сPглавной сторінки сайту банку вони, звичайно, нікуди не поділися.

В цілому, молодці, що виправили, але погано, що не подбали про це заздалегідь. Зрештою, немає ж ніяких Google Analytics та інших засобів стеження за користувачем в Особистому кабінеті їх Інтернет-банка.PНадеюсь, що пана нPОлівер Хьюз буде стежити за дотриманням озвучених ним принципів : [Ми є єдиним повністю дистанційним банком в Росії, тому розвиток онлайн-каналів наш пріоритет, і ми інвестуємо багато часу і ресурсів, щоб довести їх до досконалості k.

Зрештою, навіть в Мінекономрозвитку всю небезпеку сторонніх лічильників розуміють , Там, правда, мотивація трохи інша =)

На закінчення порекомендую два відмінних розширення для браузерів: Ghostery і AdBlock , Які в описаному вище випадку (покаPя їх не відключив для проведення тестів) чудово справлялися з проблемою.

Ghostery спеціалізується якраз на блокування сервісів по стеженню за користувачами і в роботі дуже інформативний і зручний: для кожної сторінки можна швидко подивитися виявлені «жучки» і при необхідності деякі з них дозволити (буває потрібно, наприклад, для автоматичної авторизації з використанням профілю соцмережі) .

Ghostery vs Tinkoff Bank

Єдиний недолік Ghostery - не дуже повна база, особливо для російськомовного сегмента Інтернет. Навіть на прикладі сторінки банку Тінькофф видно, що Ghostery виявив тільки два жучка.

AdBlock, напевно, популярнішим і вже знайомий багатьом як відмінний засіб боротьби з рекламою (а її в мережі вистачає ), Але це не єдиний його функціонал. В налаштуваннях можна включити додаткові списки фільтрів для блокування:

Списки фільтрів AdBlock

Втім, якщо вибрати взагалі все списки, то частина звичного функціоналу на багатьох сайтах може пропасти, так що в крайність впадати теж не обов'язково.