Обнаружил уязвимость при оформлении страхового продукта в «Сбере»

Не так давно «Сбербанк» объявил о проведении акции «Сбер — детям».

Организаторы акции:

ПАО Сбербанк

Акционерное общество «Центр программ лояльности»

Среди призов среди прочего есть следующий продукт - Поощрение № 3: Промокод на предоставление страховой программы «Дети под защитой» сроком страхования на 1 год. Страховая сумма 400 000 р.

О котором собственно и будет речь.

Попытки достучаться до поддержки Сбера о наличии уязвимости при оформлении страхового продукта не увенчались успехом - ваше обращение закрыто по следующим причинам:

- страховка без страховой премии не действительна;

- вы не сможете оформить несколько страховых сертификатов;

- мы уже ответили на ваше обращение;

- у вас еще есть вопросы кроме этого?.

Уязвимость:

Человек может оформить на себя или дождевого червя любое количество страховых сертификатов.

При этом сами сертификаты не предполагают уплату страховой премии - выплату страховой премии осуществляет ПАО Сбербанк: страховщик ООО СК «Сбербанк страхование», страхователь ПАО Сбербанк. Выгодоприобретатель - застрахованное лицо.

Не будем говорить о том как получить промокод для оформления страхового сертификата потому что он не понадобится совсем.

Перейдем к получению страхового продукта - для этого нужно перейти на страницу: sber.insure/products/detyzashita/ и нажать кнопку «Оформить онлайн».

Откроется форма с полем для ввода промокода. Заполним его комбинацией, например BugBounty и нажмем на кнопку «Применить».

В ответ получим сообщение Неверный промокод. Но не спешим закрывать страницу.

Откроем Инструменты разработчика в браузере.

Найдем кнопку «Активировать», у элемента button удалим свойство disabled="true" и нажмем кнопку «Активировать».

Вуаля, мы перешли на страницу оформления Страхового сертификата.

Никакой валидации данных. Но она и не нужна - ошибка будет на плечах застрахованного лица.

Заполним все необходимые поля, подтвердим номер телефона и на почту получим страховой сертификат.

Который согласно условиям страхования будет действителен.

Потенциально, один человек может оформить на себя любое количество сертификатов, а это без малого 85 000 000 страховых премий.

Вопрос: Сбер это норма игнорировать проблему?

Или эти сертификаты ничего не стоят и все участники/клиенты не смогут воспользоваться сертификатом. Согласно условиям страхования - должны.

0
13 комментариев
Написать комментарий...
selecadm

Удаление свойства disabled с кнопки в этом году уже два раза делал на сайтах МФО, в том числе один раз для оформления займа. Рад видеть Сбер в рядах микрозаймовых контор.

Ответить
Развернуть ветку
Roma Kopylov

Как вам черт возьми подобное приходит в голову))

Ответить
Развернуть ветку
Tee Shark

Баг детский совсем, улыбнулся даже.

Сберу стоит выяснить, были ли реальные перечисления по таким сертификатам без промокода, спонсор акции действительно должен фактически оплатить премию, иначе любой суд развернёт выплату без документа, подтверждающего оплату. А это значит, что тем, кто накосячил, крупно повезло.

Ответить
Развернуть ветку
El'murza Alchakov

Учитывая что постоянно сливают данные пользователей сбера, не удивительно что там работают джуниоры с дцп

Ответить
Развернуть ветку
vmp

Я бы не рискнул заходить на сайт с именем sber.insure
Тем более там вводить свои данные.

Ответить
Развернуть ветку
Господин
Автор
Ответить
Развернуть ветку
vmp

whois я тоже посмотрел. Но всё равно доверия мало.

Ответить
Развернуть ветку
Михаил Сметанников

Зато у менеджеров рекордная конверсия)

Ответить
Развернуть ветку
russur

Не уверен что сертификат оформленный таким образом будет действующим, ведь он оформлен считай мошенническим образом. А проверять как-то не тянет.

Ответить
Развернуть ветку
Сбер

Здравствуйте! Мы готовы проверить все детали. Пришлите, пожалуйста, на [email protected] ваши ФИО, дату рождения, контактный номер телефона, а также уточните, каким способом вы к нам обращались (через контактный центр по номеру 900, в чате Сбербанк Онлайн или через офис). В теме письма "Страхование Нис.vc"

Ответить
Развернуть ветку
Господин
Автор

Не вижу в этом необходимости, т.к. за найденные уязвимости вы не платите.

Ответить
Развернуть ветку
Господин
Автор

Уязвимость закрыта (по факту можно оформить, но через другую дыру, но для этого нужно ПО).
Все выданные сертификаты аннулированы.
Печально что для закрытия уязвимости этого нужно писать в интернет.

Ответить
Развернуть ветку
John Dow

Зачем об этом публично писать?! Это вообще то статья УК...

Ответить
Развернуть ветку
10 комментариев
Раскрывать всегда