{"id":7683,"title":"\u041a\u0430\u043a \u043d\u0430\u0439\u0442\u0438 \u0441\u043b\u0430\u0431\u044b\u0435 \u043c\u0435\u0441\u0442\u0430 \u0432 \u0438\u043d\u0432\u0435\u0441\u0442\u0438\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0441\u0442\u0440\u0430\u0442\u0435\u0433\u0438\u0438","url":"\/redirect?component=advertising&id=7683&url=https:\/\/vc.ru\/promo\/303922-korotko-servis-dlya-analiza-investicionnogo-portfelya&placeBit=1&hash=9949277ba20bce980299ffc9707868bf0a4e8244a0a0603096cd0d81905cdd42","isPaidAndBannersEnabled":false}
Приёмная
Господин

Обнаружил уязвимость при оформлении страхового продукта в «Сбере»

Не так давно «Сбербанк» объявил о проведении акции «Сбер — детям».

Организаторы акции:

ПАО Сбербанк

Акционерное общество «Центр программ лояльности»

Среди призов среди прочего есть следующий продукт - Поощрение № 3: Промокод на предоставление страховой программы «Дети под защитой» сроком страхования на 1 год. Страховая сумма 400 000 р.

О котором собственно и будет речь.

Попытки достучаться до поддержки Сбера о наличии уязвимости при оформлении страхового продукта не увенчались успехом - ваше обращение закрыто по следующим причинам:

- страховка без страховой премии не действительна;

- вы не сможете оформить несколько страховых сертификатов;

- мы уже ответили на ваше обращение;

- у вас еще есть вопросы кроме этого?.

Уязвимость:

Человек может оформить на себя или дождевого червя любое количество страховых сертификатов.

При этом сами сертификаты не предполагают уплату страховой премии - выплату страховой премии осуществляет ПАО Сбербанк: страховщик ООО СК «Сбербанк страхование», страхователь ПАО Сбербанк. Выгодоприобретатель - застрахованное лицо.

Не будем говорить о том как получить промокод для оформления страхового сертификата потому что он не понадобится совсем.

Перейдем к получению страхового продукта - для этого нужно перейти на страницу: sber.insure/products/detyzashita/ и нажать кнопку «Оформить онлайн».

Откроется форма с полем для ввода промокода. Заполним его комбинацией, например BugBounty и нажмем на кнопку «Применить».

В ответ получим сообщение Неверный промокод. Но не спешим закрывать страницу.

Откроем Инструменты разработчика в браузере.

Найдем кнопку «Активировать», у элемента button удалим свойство disabled="true" и нажмем кнопку «Активировать».

Вуаля, мы перешли на страницу оформления Страхового сертификата.

Никакой валидации данных. Но она и не нужна - ошибка будет на плечах застрахованного лица.

Заполним все необходимые поля, подтвердим номер телефона и на почту получим страховой сертификат.

Который согласно условиям страхования будет действителен.

Потенциально, один человек может оформить на себя любое количество сертификатов, а это без малого 85 000 000 страховых премий.

Вопрос: Сбер это норма игнорировать проблему?

Или эти сертификаты ничего не стоят и все участники/клиенты не смогут воспользоваться сертификатом. Согласно условиям страхования - должны.

0
13 комментариев
Популярные
По порядку
Написать комментарий...

Удаление свойства disabled с кнопки в этом году уже два раза делал на сайтах МФО, в том числе один раз для оформления займа. Рад видеть Сбер в рядах микрозаймовых контор.

7

Как вам черт возьми подобное приходит в голову))

5

Баг детский совсем, улыбнулся даже.

Сберу стоит выяснить, были ли реальные перечисления по таким сертификатам без промокода, спонсор акции действительно должен фактически оплатить премию, иначе любой суд развернёт выплату без документа, подтверждающего оплату. А это значит, что тем, кто накосячил, крупно повезло. ред.

5

Учитывая что постоянно сливают данные пользователей сбера, не удивительно что там работают джуниоры с дцп

2

Я бы не рискнул заходить на сайт с именем sber.insure
Тем более там вводить свои данные.

1

whois я тоже посмотрел. Но всё равно доверия мало.

1

Зато у менеджеров рекордная конверсия)

1

Не уверен что сертификат оформленный таким образом будет действующим, ведь он оформлен считай мошенническим образом. А проверять как-то не тянет.

1

Здравствуйте! Мы готовы проверить все детали. Пришлите, пожалуйста, на zabota@sberbank.ru ваши ФИО, дату рождения, контактный номер телефона, а также уточните, каким способом вы к нам обращались (через контактный центр по номеру 900, в чате Сбербанк Онлайн или через офис). В теме письма "Страхование Нис.vc"

0

Не вижу в этом необходимости, т.к. за найденные уязвимости вы не платите.

2

Уязвимость закрыта (по факту можно оформить, но через другую дыру, но для этого нужно ПО).
Все выданные сертификаты аннулированы.
Печально что для закрытия уязвимости этого нужно писать в интернет. ред.

0

Зачем об этом публично писать?! Это вообще то статья УК...

0
Читать все 13 комментариев
Цифровой акселератор СИБУРа: feedback от участников

СИБУР, крупнейшая в России интегрированная нефтехимическая компания, и GenerationS, платформа по развитию корпоративных инноваций, подвели итоги первого цифрового акселератора.

Релиз Checkaso 2.5 на Product Hunt. Новые инструменты и дизайн

Друзья, всем привет! Сегодня у нас релиз на Product Hunt. Будем рады вашей активности: поддержке и обратной связи. Важная и приятная новость: в честь обновления дарим -30% на любую подписку.

История одного издательства: как я, будучи инженером-нефтяником, начал выпускать трогательные книги для детей

Всем привет! Меня зовут Александр Шмаков, я исполнительный директор типографии «НП-ПРИНТ» и основатель санкт-петербургского книжного издательства «Гудвин».

Цифровой госпиталь и медицина на 360°: как мы обновили сайт частной клиники №1 в России

Иногда больницы у русского человека вызывают недоумение и страх: процедурный кабинет, где пахнет лекарствами и не только, представили? Но зачастую это наши страхи из детства и юношества суровых 90-х, потому что сейчас всё иначе.

Сайт для АО «Европейский Медицинский Центр» (ЕМС)
SHAREit объявляет о партнерстве с Httpool для расширения присутствия в России и СНГ

SHAREit Group анонсировала выход на российский рынок цифровой рекламы. Глобальная компания в сфере интернет-технологий, выбрала Httpool, входящую в Aleph Group, своим стратегическим партнером по продажам рекламы. Будучи официальным представителем SHAREit, Httpool займется продвижением рекламных возможностей приложения для брендов и агентств из…

Купил квартиру под офис компании

Меня зовут Евгений, сейчас моя компания занимается разработкой экологического стартапа и разработкой проектной документации по экологии с 2012 года. Тогда мне было 23 года, все это время мы платили за аренду и были привязаны к условиям и ограничениям. В 2021 году мы с женой купили квартиру площадью 70 м2 на первом этаже жилого дома и разместили…

«Повышение ключевой ставки не оказало измеримого эффекта на динамику российского рынка акций»

Виталий Исаков, директор по инвестициям УК «Открытие»

Десять лет спустя: каким видели будущее программирования в 2012 году Статьи редакции

Пользователи Hacker News сравнили предсказания программистов девятилетней давности с текущим положением дел.

ITC.ua
Первые владельцы новых MacBook Pro рассказали, что «чёлка» иногда закрывает часть меню в приложениях Статьи редакции

В документации Apple описаны методы, с помощью которых разработчики могут управлять поведением интерфейса в таких случаях.

Мы сделали машину, которая генерирует рекламные креативы

И запустили кампанию, в которой автоматически сгенерированные креативы продвигают продукт для автоматической генерации креативов.

Linkedin запустил маркетплейс для поиска и заказа услуг фрилансеров — за время тестов он собрал 2 млн пользователей Статьи редакции

Сервис предназначен для работодателей, а сами кандидаты не смогут искать работу.

null