«Тинькофф банк» решил платить хакерам сотни тысяч рублей после публикации о способе узнать баланс любой карты Статьи редакции

«Тинькофф банк» решил запустить программу выплат за обнаруженные на сайте и в системах банка уязвимости, рассказали vc.ru в компании. Это произошло после того, как пользователь «Хабрахабра» опубликовал информацию о способе узнать баланс любой карты банка по её номеру.

11 августа пользователь «Хабрахабра» под ником @kromm рассказал, что с помощью недоработки в системе перевода средств на сайте «Тинькофф банка» можно определить баланс любой выпущенной компанией карты, зная только её номер. Спустя несколько часов после публикации «Тинькофф банк» закрыл ошибку.

Теперь «Тинькофф банк» решил официально запустить программу Bug Bounty, которая предусматривает выплаты хакерам, которые находят уязвимости в системах компаний и передают информацию о них в сами организации, не выкладывая публично. В ближайшее время этот проект будет официально запущен на площадке HackerOne, которой уже пользуются «ВКонтакте», «Одноклассники» и другие российские компании.

Полностью совершенных технологий не бывает. Даже у самых опытных тестировщиков может замылиться глаз, поскольку они работают с привычным для них интерфейсом. Не секрет, что это порой может привести к «мертвым зонам» или к не своевременно выявленным ошибкам. Безопасность наших сервисов и данных наших клиентов – приоритет для нас, и мы рады будем использовать опыт других специалистов в области безопасности, как это уже сейчас делают крупнейшие мировые ИТ-компании.

— «Тинькофф банк»

Сумма выплат будет зависеть от критичности уязвимости и того, в каком сервисе она будет обнаружена. «Мы сейчас разрабатываем конкретные критерии, однако сейчас можно утверждать, что сумма будет варьироваться от нескольких тысяч до нескольких сотен тысяч рублей», — добавили в компании.

Представители банка добавили, что ранее уже сотрудничали с «белыми» хакерами, однако теперь решили запустить публичную программу.

0
36 комментариев
Написать комментарий...
Константин Панфилов

Андрей, пятница, девять часов вечера, а ты всё новости пишешь. Может, отдохнёшь? Выпей с нами.

Ответить
Развернуть ветку
Андрей

Вот всегда у нас так: только находится в компании человек, который любит свою работу и готов тратить на нее личное время, сразу появляются "доброжелатели": хватит работать, выпей с нами. Удивляет факт, что это предложение исходит от руководителя.

Ответить
Развернуть ветку
Константин Панфилов

Сигнал принят. Андрей, продолжай работать.

Ответить
Развернуть ветку
ave ego

а почему vc не запустил до сих пор свою bug bounty?

Ответить
Развернуть ветку
Константин Панфилов

Почему же не запустил. Если сообщите о баге, могу лайкнуть вашу аватарку в Фейсбуке.

Ответить
Развернуть ветку
ave ego

вам фейсбук дал доступ к api по получению данных по незалогиненным/непривязанным пользователям? в наших записях такого нет(

Ответить
Развернуть ветку
Константин Панфилов

Могу не лайкнуть. Как хотите.

Ответить
Развернуть ветку
ave ego

а чем закончилась та история с кучей вызванных такси?

Ответить
Развернуть ветку
Константин Панфилов

Никого не уволили :(

Ответить
Развернуть ветку
NotFop

Что за история?

Ответить
Развернуть ветку
Yuriy B.
Ответить
Развернуть ветку
Даниал Сиддики

Правильная реакция.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Gregory Golovanov

Все подтверждается. Как говорит один мой заказчик, знакомый с Олегом Юрьевичем со студенческой скамьи, "там где все платили рубль, Олег платил 4". Такое вот отношение к специалистам, решающим важные задачи.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Gregory Golovanov

Человек из Воронежа небыл айтишником или специалистом решавшим его проблемы)

Ответить
Развернуть ветку
Prolis Labkk

Пару лет назад мониторинг вакансии ткс, технологи ниже рынка получали.

Ответить
Развернуть ветку
Сергей Марченко

Он это лично делал?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alex Demin

Шалун уж отморозил пальчик:
Ему и больно и смешно,
Тиньков грозит ему в окно.

Ответить
Развернуть ветку
Andrew Kuznetsov

это была вирусная реклама, что-то вы на несклько лет отстали

Ответить
Развернуть ветку
Mihail Relby

А вот интересно, @kromm'у сколько выплатили, да и выплатили ли вообще...

Ответить
Развернуть ветку
Николай Костиков

А он в публичный доступ выложил информацию, ему не полагается за это ничего выплачивать. Выплаты только тем, кто не слил уязвимость.

Ответить
Развернуть ветку
Sergey Burmistrov

Вообще-то он сначала написал в компанию, но там никак не отреагировали.

Ответить
Развернуть ветку
Николай Костиков

И что? Факт публикации уязвимости есть, значит денег не полагается.

Ответить
Развернуть ветку
Иван Боченков

Я нашел уязвимость! Карта 5213.2437.3448.7497 баланс ее 499,23 Жду 100.000 рублей от ТинькоффБанка на нее же.

Ответить
Развернуть ветку
Улугбек Умбаров

Если скажите и пин-код, то получите 110 рублей

Ответить
Развернуть ветку
Богдан Соболев
Ответить
Развернуть ветку
Иван Боченков

Зачушили мои хакерские таланты. )) не видать мне вознаграждения))

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Дашучено

Нужна новая реферальная программа.

Ответить
Развернуть ветку
Ilya Sobak

парню, который чекал баланс карт, заплатит тинькофф?

Ответить
Развернуть ветку
Валерий Наконечников

Нет. За слив уязвимости в паблик никто не платит.

Ответить
Развернуть ветку
Yuriy B.

Так он вроде писал в СБ и получил в ответ ничего.

Ответить
Развернуть ветку
Валерий Наконечников

И в итоге слил.

Объективные детали все равно не узнаем. Но после слива никто не платит - это факт.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
slugge

ну как обычно-пока гром не грянет...

Ответить
Развернуть ветку
Стив Джобс

Нашел дыру через которую можно стырить миллион - слил её в сб и получил 100 кусков. Роиссия

Ответить
Развернуть ветку
Yuriy B.

Не надо о всех судить по себе, Стив.

Ответить
Развернуть ветку
33 комментария
Раскрывать всегда