Оффтоп Andrey Frolov
15 206

«Тинькофф банк» решил платить хакерам сотни тысяч рублей после публикации о способе узнать баланс любой карты

«Тинькофф банк» решил запустить программу выплат за обнаруженные на сайте и в системах банка уязвимости, рассказали vc.ru в компании. Это произошло после того, как пользователь «Хабрахабра» опубликовал информацию о способе узнать баланс любой карты банка по её номеру.

11 августа пользователь «Хабрахабра» под ником @kromm рассказал, что с помощью недоработки в системе перевода средств на сайте «Тинькофф банка» можно определить баланс любой выпущенной компанией карты, зная только её номер. Спустя несколько часов после публикации «Тинькофф банк» закрыл ошибку.

Теперь «Тинькофф банк» решил официально запустить программу Bug Bounty, которая предусматривает выплаты хакерам, которые находят уязвимости в системах компаний и передают информацию о них в сами организации, не выкладывая публично. В ближайшее время этот проект будет официально запущен на площадке HackerOne, которой уже пользуются «ВКонтакте», «Одноклассники» и другие российские компании.

Полностью совершенных технологий не бывает. Даже у самых опытных тестировщиков может замылиться глаз, поскольку они работают с привычным для них интерфейсом. Не секрет, что это порой может привести к «мертвым зонам» или к не своевременно выявленным ошибкам. Безопасность наших сервисов и данных наших клиентов – приоритет для нас, и мы рады будем использовать опыт других специалистов в области безопасности, как это уже сейчас делают крупнейшие мировые ИТ-компании.

— «Тинькофф банк»

Сумма выплат будет зависеть от критичности уязвимости и того, в каком сервисе она будет обнаружена. «Мы сейчас разрабатываем конкретные критерии, однако сейчас можно утверждать, что сумма будет варьироваться от нескольких тысяч до нескольких сотен тысяч рублей», — добавили в компании.

Представители банка добавили, что ранее уже сотрудничали с «белыми» хакерами, однако теперь решили запустить публичную программу.

#новость #уязвимости #hackerone #Тинькофф_банк

Статьи по теме
Пользователь «Хабрахабра» рассказал о способе определить баланс любой карты «Тинькофф банка»
Соцсеть «Одноклассники» запустила программу выплат за найденные на сайте уязвимости
Google запустила программу поиска уязвимостей в Android с наградами до $38 тысяч
«ВКонтакте» будет платить за найденные на сайте и в приложениях уязвимости
{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0442\u0438\u043d\u044c\u043a\u043e\u0444\u0444_\u0431\u0430\u043d\u043a","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","hackerone"], "comments": 36, "likes": 24, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 17618, "is_wide": true }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15395' + '50799') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 17618, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/17618\/get","add":"\/comments\/17618\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/17618"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

36 комментариев 36 комм.

Популярные

По порядку

Написать комментарий...
23

Андрей, пятница, девять часов вечера, а ты всё новости пишешь. Может, отдохнёшь? Выпей с нами.

Ответить
7

Вот всегда у нас так: только находится в компании человек, который любит свою работу и готов тратить на нее личное время, сразу появляются "доброжелатели": хватит работать, выпей с нами. Удивляет факт, что это предложение исходит от руководителя.

Ответить
21

Сигнал принят. Андрей, продолжай работать.

Ответить
0

а почему vc не запустил до сих пор свою bug bounty?

Ответить
23

Почему же не запустил. Если сообщите о баге, могу лайкнуть вашу аватарку в Фейсбуке.

Ответить
0

вам фейсбук дал доступ к api по получению данных по незалогиненным/непривязанным пользователям? в наших записях такого нет(

Ответить
2

Могу не лайкнуть. Как хотите.

Ответить
1

а чем закончилась та история с кучей вызванных такси?

Ответить
1

Никого не уволили :(

Ответить
0

Что за история?

Ответить
31

Правильная реакция.

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

11

Все подтверждается. Как говорит один мой заказчик, знакомый с Олегом Юрьевичем со студенческой скамьи, "там где все платили рубль, Олег платил 4". Такое вот отношение к специалистам, решающим важные задачи.

Ответить
4

Чет когда Тинькофф с закрытыми глазами подписал левую оферту от человека (из Воронежа?), мистер смузи не бонусом щедрым грозил находчивому гражданину, а 159 статьей УК РФ :)

Ответить
6

Человек из Воронежа небыл айтишником или специалистом решавшим его проблемы)

Ответить
0

Пару лет назад мониторинг вакансии ткс, технологи ниже рынка получали.

Ответить
3

Он это лично делал?

Ответить
0

Грозил статьей мошенничество?

Ответить
0

Шалун уж отморозил пальчик:
Ему и больно и смешно,
Тиньков грозит ему в окно.

Ответить
1

это была вирусная реклама, что-то вы на несклько лет отстали

Ответить
2

А вот интересно, @kromm'у сколько выплатили, да и выплатили ли вообще...

Ответить
7

А он в публичный доступ выложил информацию, ему не полагается за это ничего выплачивать. Выплаты только тем, кто не слил уязвимость.

Ответить
4

Вообще-то он сначала написал в компанию, но там никак не отреагировали.

Ответить
–2

И что? Факт публикации уязвимости есть, значит денег не полагается.

Ответить
–5

Я нашел уязвимость! Карта 5213.2437.3448.7497 баланс ее 499,23 Жду 100.000 рублей от ТинькоффБанка на нее же.

Ответить
6

Если скажите и пин-код, то получите 110 рублей

Ответить
0

Зачушили мои хакерские таланты. )) не видать мне вознаграждения))

Ответить

Комментарий удален

1

Нужна новая реферальная программа.

Ответить
0

парню, который чекал баланс карт, заплатит тинькофф?

Ответить
0

Нет. За слив уязвимости в паблик никто не платит.

Ответить
0

Так он вроде писал в СБ и получил в ответ ничего.

Ответить
1

И в итоге слил.

Объективные детали все равно не узнаем. Но после слива никто не платит - это факт.

Ответить

Комментарий удален

0

ну как обычно-пока гром не грянет...

Ответить
–2

Нашел дыру через которую можно стырить миллион - слил её в сб и получил 100 кусков. Роиссия

Ответить
0

Не надо о всех судить по себе, Стив.

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления