Офтоп
Андрей Фролов

«Тинькофф банк» решил платить хакерам сотни тысяч рублей после публикации о способе узнать баланс любой карты Статьи редакции

«Тинькофф банк» решил запустить программу выплат за обнаруженные на сайте и в системах банка уязвимости, рассказали vc.ru в компании. Это произошло после того, как пользователь «Хабрахабра» опубликовал информацию о способе узнать баланс любой карты банка по её номеру.

11 августа пользователь «Хабрахабра» под ником @kromm рассказал, что с помощью недоработки в системе перевода средств на сайте «Тинькофф банка» можно определить баланс любой выпущенной компанией карты, зная только её номер. Спустя несколько часов после публикации «Тинькофф банк» закрыл ошибку.

Теперь «Тинькофф банк» решил официально запустить программу Bug Bounty, которая предусматривает выплаты хакерам, которые находят уязвимости в системах компаний и передают информацию о них в сами организации, не выкладывая публично. В ближайшее время этот проект будет официально запущен на площадке HackerOne, которой уже пользуются «ВКонтакте», «Одноклассники» и другие российские компании.

Полностью совершенных технологий не бывает. Даже у самых опытных тестировщиков может замылиться глаз, поскольку они работают с привычным для них интерфейсом. Не секрет, что это порой может привести к «мертвым зонам» или к не своевременно выявленным ошибкам. Безопасность наших сервисов и данных наших клиентов – приоритет для нас, и мы рады будем использовать опыт других специалистов в области безопасности, как это уже сейчас делают крупнейшие мировые ИТ-компании.

— «Тинькофф банк»

Сумма выплат будет зависеть от критичности уязвимости и того, в каком сервисе она будет обнаружена. «Мы сейчас разрабатываем конкретные критерии, однако сейчас можно утверждать, что сумма будет варьироваться от нескольких тысяч до нескольких сотен тысяч рублей», — добавили в компании.

Представители банка добавили, что ранее уже сотрудничали с «белыми» хакерами, однако теперь решили запустить публичную программу.

0
36 комментариев
Популярные
По порядку
Написать комментарий...

Андрей, пятница, девять часов вечера, а ты всё новости пишешь. Может, отдохнёшь? Выпей с нами.

23

Вот всегда у нас так: только находится в компании человек, который любит свою работу и готов тратить на нее личное время, сразу появляются "доброжелатели": хватит работать, выпей с нами. Удивляет факт, что это предложение исходит от руководителя.

7

Сигнал принят. Андрей, продолжай работать.

21

а почему vc не запустил до сих пор свою bug bounty?

0

Почему же не запустил. Если сообщите о баге, могу лайкнуть вашу аватарку в Фейсбуке.

23

вам фейсбук дал доступ к api по получению данных по незалогиненным/непривязанным пользователям? в наших записях такого нет(

0

Могу не лайкнуть. Как хотите.

2

а чем закончилась та история с кучей вызванных такси?

1

Никого не уволили :(

1

Что за история?

0

Правильная реакция.

31

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Все подтверждается. Как говорит один мой заказчик, знакомый с Олегом Юрьевичем со студенческой скамьи, "там где все платили рубль, Олег платил 4". Такое вот отношение к специалистам, решающим важные задачи.

11

Чет когда Тинькофф с закрытыми глазами подписал левую оферту от человека (из Воронежа?), мистер смузи не бонусом щедрым грозил находчивому гражданину, а 159 статьей УК РФ :)

4

Человек из Воронежа небыл айтишником или специалистом решавшим его проблемы)

6

Пару лет назад мониторинг вакансии ткс, технологи ниже рынка получали.

0

Он это лично делал?

3

Грозил статьей мошенничество?

0

Шалун уж отморозил пальчик:
Ему и больно и смешно,
Тиньков грозит ему в окно.

0

это была вирусная реклама, что-то вы на несклько лет отстали

1

А вот интересно, @kromm'у сколько выплатили, да и выплатили ли вообще...

2

А он в публичный доступ выложил информацию, ему не полагается за это ничего выплачивать. Выплаты только тем, кто не слил уязвимость.

7

Вообще-то он сначала написал в компанию, но там никак не отреагировали.

4

И что? Факт публикации уязвимости есть, значит денег не полагается.

–2

Я нашел уязвимость! Карта 5213.2437.3448.7497 баланс ее 499,23 Жду 100.000 рублей от ТинькоффБанка на нее же.

–5

Если скажите и пин-код, то получите 110 рублей

6

Зачушили мои хакерские таланты. )) не видать мне вознаграждения))

0

Комментарий удален

Нужна новая реферальная программа.

1

парню, который чекал баланс карт, заплатит тинькофф?

0

Нет. За слив уязвимости в паблик никто не платит.

0

Так он вроде писал в СБ и получил в ответ ничего.

0

И в итоге слил.

Объективные детали все равно не узнаем. Но после слива никто не платит - это факт.

1

Комментарий удален

ну как обычно-пока гром не грянет...

0

Нашел дыру через которую можно стырить миллион - слил её в сб и получил 100 кусков. Роиссия

–2

Не надо о всех судить по себе, Стив.

0
Читать все 36 комментариев
"Почта России" начала тестировать упаковку для доставки вина - новый шаг на пути к онлайн-торговле алкоголем
Люди выбирают сами, что хотят носить. Как сделать мерч лидером «продаж» во внутреннем магазине «ВсеИнструменты.ру»

Мы полагали, что корпоративный мерч сотрудникам можно только подарить, но оказывается, «продажа» мерча за внутрекорпоративную валюту более эффективна.

Питч-дейтинг выпуск третий: комбайнеры

Рассказываем историю продакта «Яндекса», который решил помочь фермерам, а также составляем свой словарик стартапера.

Запустить игру и не прогореть: зачем нужны маркетинговые исследования в гейминге и как их проводить

Маркетинговое исследование помогает экономить сотни тысяч долларов и выпускать продукты, которые приносят миллионы.

Такие дела: жалоба на «Яндекс.Такси» за отказ перевозить собаку-поводыря

Девушка с нарушением зрения подала жалобу в прокуратуру из-за того, что водители популярного сервиса такси «Яндекс Go» слишком часто отказываются возить ее с собакой-поводырем.

Удаленное трудоустройство - плюсы и минусы. Юридический взгляд
«Сбер» запустит агентство для продажи рекламы на всех площадках экосистемы Статьи редакции

Обсуждается использование банкоматов, как дополнительного места для объявлений, сообщают близкие к запуску источники.

Наводим порядок и изучаем rocket sience. Доклады Go meetup

На прошедшем Go meetup спикеры из Evrone, «Ситимобил» и «Авито» учили правильной организации кода микросервиса, рассказывали, как вырастить MVP в полноценную масштабируемую архитектуру, и разобраться с мусором и алгоритмами управления памятью. Все доклады записаны в студии и доступны для просмотра.

Ментальное здоровье сотрудников: почему важно его поддерживать и как это сделать?

Ментальное или психическое здоровье сотрудников — тема, которая в последнее время часто обсуждается в бизнес-сообществе. В 2020 году из-за пандемии и карантина она заняла лидирующие позиции в топ-дискуссиях руководителей и HR-специалистов крупных компаний. События последнего года показали, что результат в бизнесе напрямую зависит от психического…

Авито не возвратило деньги оплаченные мною за товар который не получал + доставку!

Заказал товар с другого города через Авито доставку, но после оформления заказа и оплаты выяснилось, что товар ремонтированный, и меня это не устроило, в этот же час я обратился к Авито поддержке чтобы отменили заказ, но поддержка отвечала и отвечает шаблонными фразами - мы свяжемся со службой доставки и ответим вам на почту....

Маркировка молочной продукции

В 2021 году в России начала действовать маркировка молочной продукции. У нее есть особенности: в процессе участвуют типографии и предприятия общепита. Разбираемся, что нужно знать о работе по новым правилам и кого они затронут.

null