Читатель ЦП
Антон Губарев прислал в редакцию письмо, где описал занятную техническую ошибку, которую якобы допустили специалисты
самого технологичного банка «Тиньков Кредитные Системы». Из-за возникшего бага некоторые абсолютно незаинтересованные лица начали получать письма с персональной информацией (в том числе, с паспортными данными) посторонних людей, которые были или собирались стать клиентами банка.
Антон Губарев уточняет, что это не уязвимость, а скорее невнимательность со стороны людей, которые занимались разработкой сайта. Баг касается услуги «
Страхование», которая предоставляется в партнёрстве с компанией «Ренессанс». При заполнении анкеты некоторые пользователи вместо своих адресов, очевидно, оставляют какие-то случайные — первое, что приходит им на ум, вроде «sekret@yandex.ru» или «moyemail@mail.ru».
На эти адреса, которыми владеют и пользуются совсем чужие люди, впоследствии отправляются заполненные анкеты, в которых упоминаются и паспортные данные клиентов.
Антон уточняет, что этот коллапс был бы невозможен в том случае, если бы на сайте была включена верификация электронных адресов.
Нет, банк поступил честно. Люди сами вписывали в нужную графу этот наипопулярнейший e-mail (скорее всего, люди просто не обладали ящиком и писали наугад, раз поле-то необходимое), ну а банк «честно» отправлял «им» их заполненную анкету.
Проблема лишь в том, что программисты не удосужились навесить на это дело проверку «один клиент = одно мыло». Ну или систему предварительного создания аккаунта с последующим подтверждением по электронной почте, дабы персональная инфа точно не уходила третьим лицам.
Интересно также описанное Антоном взаимодействие с поддержкой банка.
В самом начале истории, мой товарищ обнаружил пару таких мыл. Далее я (как их клиент) обратился в банк, рассказал всё об этих прелестях, в ожидании того, что мой товарищ за оперативное сотрудничество что-то получит. С нами тут же связался специалист, выпытывая инфу и подробности о баге.
Спустя пару дней нам пообещали, что вручат iPad 2. Осталось только, мол, передать данные — что, собственно, мы и сделали. При формировании письма с подтверждениями и прочими плюшками мы обнаружили, что писем таких в ящике уже сотни. Ну, поскольку мы ребята не совсем бедные и этот старый айпад нам не вперся, мы поговорили о возможности вручения этого айпада деньгами, ну и заодно попробовали поднять сумму.
На это банк отреагировал весьма внезапно — человек, общавшийся с нами, пропал, а на общей почте нас развернули фразой «На текущий момент мы не готовы выплатить какое-либо вознаграждение. В случае изменения решения с вами свяжутся».
К первым числам апреля, по словам Антона, техническая ошибка была устранена.
Представители банка заявили ЦП, что в данной ситуации утечки персональных данных не произошло, а разосланные данные были тестовыми:
ТКС Банк проводил тестовую рассылку по адресам, которые генерировал робот, при этом рассылались тестовые данные, которые ничего общего с персональными данными наших клиентов не имеют. Соответственно, речи об утечке персональных данных наших клиентов не идет.
К первым числам апреля, по словам Антона, техническая ошибка была устранена.
Причина не устранена, ТКС банк продолжает рассылать свой спам:
http://fotoifolder.ru/view_foto/9tgo9lzuw9ut/
По скринам в посте видно, что в письме нет никаких отписок от рассылок. Остается кидать в спам и настраивать фильтр.
Весьма технологичный банк...