Обнаружил уязвимость при оформлении страхового продукта в «Сбере»

Не так давно «Сбербанк» объявил о проведении акции «Сбер — детям».

Организаторы акции:

ПАО Сбербанк

Акционерное общество «Центр программ лояльности»

Среди призов среди прочего есть следующий продукт - Поощрение № 3: Промокод на предоставление страховой программы «Дети под защитой» сроком страхования на 1 год. Страховая сумма 400 000 р.

О котором собственно и будет речь.

Попытки достучаться до поддержки Сбера о наличии уязвимости при оформлении страхового продукта не увенчались успехом - ваше обращение закрыто по следующим причинам:

- страховка без страховой премии не действительна;

- вы не сможете оформить несколько страховых сертификатов;

- мы уже ответили на ваше обращение;

- у вас еще есть вопросы кроме этого?.

Уязвимость:

Человек может оформить на себя или дождевого червя любое количество страховых сертификатов.

При этом сами сертификаты не предполагают уплату страховой премии - выплату страховой премии осуществляет ПАО Сбербанк: страховщик ООО СК «Сбербанк страхование», страхователь ПАО Сбербанк. Выгодоприобретатель - застрахованное лицо.

Не будем говорить о том как получить промокод для оформления страхового сертификата потому что он не понадобится совсем.

Перейдем к получению страхового продукта - для этого нужно перейти на страницу: sber.insure/products/detyzashita/ и нажать кнопку «Оформить онлайн».

Откроется форма с полем для ввода промокода. Заполним его комбинацией, например BugBounty и нажмем на кнопку «Применить».

В ответ получим сообщение Неверный промокод. Но не спешим закрывать страницу.

Откроем Инструменты разработчика в браузере.

Найдем кнопку «Активировать», у элемента button удалим свойство disabled="true" и нажмем кнопку «Активировать».

Вуаля, мы перешли на страницу оформления Страхового сертификата.

Никакой валидации данных. Но она и не нужна - ошибка будет на плечах застрахованного лица.

Заполним все необходимые поля, подтвердим номер телефона и на почту получим страховой сертификат.

Который согласно условиям страхования будет действителен.

Потенциально, один человек может оформить на себя любое количество сертификатов, а это без малого 85 000 000 страховых премий.

Вопрос: Сбер это норма игнорировать проблему?

Или эти сертификаты ничего не стоят и все участники/клиенты не смогут воспользоваться сертификатом. Согласно условиям страхования - должны.

#жалобасбербанк #страхование #сбер #сбербанк #сбербанк_страхование #сбер_страхование