Обнаружил уязвимость при оформлении страхового продукта в «Сбере»

Не так давно «Сбербанк» объявил о проведении акции «Сбер — детям».

Организаторы акции:

ПАО Сбербанк

Акционерное общество «Центр программ лояльности»

Среди призов среди прочего есть следующий продукт - Поощрение № 3: Промокод на предоставление страховой программы «Дети под защитой» сроком страхования на 1 год. Страховая сумма 400 000 р.

О котором собственно и будет речь.

Попытки достучаться до поддержки Сбера о наличии уязвимости при оформлении страхового продукта не увенчались успехом - ваше обращение закрыто по следующим причинам:

- страховка без страховой премии не действительна;

- вы не сможете оформить несколько страховых сертификатов;

- мы уже ответили на ваше обращение;

- у вас еще есть вопросы кроме этого?.

Уязвимость:

Человек может оформить на себя или дождевого червя любое количество страховых сертификатов.

При этом сами сертификаты не предполагают уплату страховой премии - выплату страховой премии осуществляет ПАО Сбербанк: страховщик ООО СК «Сбербанк страхование», страхователь ПАО Сбербанк. Выгодоприобретатель - застрахованное лицо.

Не будем говорить о том как получить промокод для оформления страхового сертификата потому что он не понадобится совсем.

Перейдем к получению страхового продукта - для этого нужно перейти на страницу: sber.insure/products/detyzashita/ и нажать кнопку «Оформить онлайн».

Откроется форма с полем для ввода промокода. Заполним его комбинацией, например BugBounty и нажмем на кнопку «Применить».

В ответ получим сообщение Неверный промокод. Но не спешим закрывать страницу.

Откроем Инструменты разработчика в браузере.

Найдем кнопку «Активировать», у элемента button удалим свойство disabled="true" и нажмем кнопку «Активировать».

Вуаля, мы перешли на страницу оформления Страхового сертификата.

Обнаружил уязвимость при оформлении страхового продукта в  «Сбере»

Никакой валидации данных. Но она и не нужна - ошибка будет на плечах застрахованного лица.

Обнаружил уязвимость при оформлении страхового продукта в  «Сбере»

Заполним все необходимые поля, подтвердим номер телефона и на почту получим страховой сертификат.

Который согласно условиям страхования будет действителен.

Потенциально, один человек может оформить на себя любое количество сертификатов, а это без малого 85 000 000 страховых премий.

Обнаружил уязвимость при оформлении страхового продукта в  «Сбере»

Вопрос: Сбер это норма игнорировать проблему?

Или эти сертификаты ничего не стоят и все участники/клиенты не смогут воспользоваться сертификатом. Согласно условиям страхования - должны.

2222
13 комментариев

Удаление свойства disabled с кнопки в этом году уже два раза делал на сайтах МФО, в том числе один раз для оформления займа. Рад видеть Сбер в рядах микрозаймовых контор.

7

Как вам черт возьми подобное приходит в голову))

5

Баг детский совсем, улыбнулся даже.

Сберу стоит выяснить, были ли реальные перечисления по таким сертификатам без промокода, спонсор акции действительно должен фактически оплатить премию, иначе любой суд развернёт выплату без документа, подтверждающего оплату. А это значит, что тем, кто накосячил, крупно повезло.

5

Учитывая что постоянно сливают данные пользователей сбера, не удивительно что там работают джуниоры с дцп

2

Я бы не рискнул заходить на сайт с именем sber.insure
Тем более там вводить свои данные.

1

Зато у менеджеров рекордная конверсия)

1