Обнаружил уязвимость при оформлении страхового продукта в «Сбере»
Не так давно «Сбербанк» объявил о проведении акции «Сбер — детям».
Организаторы акции:
ПАО Сбербанк
Акционерное общество «Центр программ лояльности»
Среди призов среди прочего есть следующий продукт - Поощрение № 3: Промокод на предоставление страховой программы «Дети под защитой» сроком страхования на 1 год. Страховая сумма 400 000 р.
О котором собственно и будет речь.
Попытки достучаться до поддержки Сбера о наличии уязвимости при оформлении страхового продукта не увенчались успехом - ваше обращение закрыто по следующим причинам:
- страховка без страховой премии не действительна;
- вы не сможете оформить несколько страховых сертификатов;
- мы уже ответили на ваше обращение;
- у вас еще есть вопросы кроме этого?.
Уязвимость:
Человек может оформить на себя или дождевого червя любое количество страховых сертификатов.
При этом сами сертификаты не предполагают уплату страховой премии - выплату страховой премии осуществляет ПАО Сбербанк: страховщик ООО СК «Сбербанк страхование», страхователь ПАО Сбербанк. Выгодоприобретатель - застрахованное лицо.
Не будем говорить о том как получить промокод для оформления страхового сертификата потому что он не понадобится совсем.
Перейдем к получению страхового продукта - для этого нужно перейти на страницу: sber.insure/products/detyzashita/ и нажать кнопку «Оформить онлайн».
Откроется форма с полем для ввода промокода. Заполним его комбинацией, например BugBounty и нажмем на кнопку «Применить».
В ответ получим сообщение Неверный промокод. Но не спешим закрывать страницу.
Откроем Инструменты разработчика в браузере.
Найдем кнопку «Активировать», у элемента button удалим свойство disabled="true" и нажмем кнопку «Активировать».
Вуаля, мы перешли на страницу оформления Страхового сертификата.
Никакой валидации данных. Но она и не нужна - ошибка будет на плечах застрахованного лица.
Заполним все необходимые поля, подтвердим номер телефона и на почту получим страховой сертификат.
Который согласно условиям страхования будет действителен.
Потенциально, один человек может оформить на себя любое количество сертификатов, а это без малого 85 000 000 страховых премий.
Вопрос: Сбер это норма игнорировать проблему?
Или эти сертификаты ничего не стоят и все участники/клиенты не смогут воспользоваться сертификатом. Согласно условиям страхования - должны.