Пользователь
0,0
рейтинг
7 июля 2011 в 23:20

Разработка → Google коварен!

Здравствуйте ув. Хабраюзеры! Произошла со мной интересная история, как раз для блога «Информационная безопасность».

Значит решил я почитать новости которые собирает мой любимый Google Reader, день оказался информационно бедный и новостей было мало. Когда заканчиваются новости из моих подписок я использую раздел который называется «Рекомендованные записи», там можно найти разные новости из каналов на которые ты не подписан, но которые тематически совпадают с твоими интересами.

Значит сижу, листаю...

Ничего не предвещало беды...


Наверное так выглядит твой Reader?


InPic.ru — Бесполезная способность
Приват24 выписки: -5.00 UAH
Демотиваторы: Машенька
Самый сок! Юдаш*ТЫДЫЩЪ*… и тут мозг понимает, что только что произошло происшествие!

— Приват24 выписка: -5.00 UAH???

Что то тут не ладно, нету у меня карты ПриватБанка и не было никогда, да и вообще, это не мои подписки — это «Рекомендованные записи»!

Эта «новость» показалась мне интересной и я решил подписаться на канал.
Что я Вам могу рассказать? PIN и CVV коды там конечно не светятся, было бы совсем глупо, многие «новости» выглядят где-то так:

Description: ДЕПОЗИТ
Available balance: -4587.25 UAH


Из такого сообщения даже номер карты не узнать, а сам канал называется "Приват24 выписки: Visa (****0205) баланс: 10063.75 UAH". Первое сообщение в этом канале датируется 13.04.2010 и всего там 170 сообщений так что — есть на что посмотреть.

Динь-динь-динь!!!


Description: ПРИВАТ24: ПЕРЕВОД С КАРТЫ НА КАРТУ. FAMILIYA A UA GOROD 18, 16(С КАРТЫ 1234567891230205 НА КАРТУ 1234567891234567) СПИСАНИЕ С КАРТОЧНОГО СЧЕТА.
Available balance: -4997.99 UAH


По этому сообщению не сложно догадаться, что номер карты владельца: 1234567891230205, а ещё фамилия латиницей.Продавец ЕвроСети продал душу дьяволу и чехольчик.

Что же далее?


А далее я продолжаю просматривать «новости» и наблюдаю на такое сообщение:

Description: МОБ СВЯЗЬ П24. 123432123: СПИСАНИЕ ЗА ПОПОЛНЕНИЕ МОБИЛЬНОЙ СВЯЗИ. ТЕЛЕФОН:+380671234567. ДАТА: 06.01.2011 21:22:23. IDPAY: 1234567(С КАРТЫ 1234567891230205 НА КАРТУ ) СПИСАНИЕ С КАРТОЧНОГО СЧЕТА.
Available balance: -4329.56 UAH


Чуть позже — такое:
Description: ГОРОДСКОЙ ФИЛИАЛ, ОТДЕЛЕНИЕ "ЦЕНТР" (BLA1). КАССА: ПРИХОДНАЯ ОПЕРАЦИЯ. НАДХОДЖЕННЯ ГОТIВКИ ЗА ПЛАТIЖНИМИ КАРТКАМИ [DAMDG55566677788899] ПЛАТЕЛЬЩИК: ФАМИЛИЯ ИМЯ ОТЧЕСТВО(С КАРТЫ НА КАРТУ 1234567891230205) ДЕПОЗИТ
Available balance: -3587.25 UAH


Итог:
Номер платёжной карты.
Номер телефона.
Имя Фамилия Отчество.
Фотографии, интересы, друзья. Спасибо ВК.

Это ещё не всё!


Я связался с банком и рассказал о такой ситуации, приняли на рассмотрение. Но потом меня осенило!


Я зашёл в канал и нажал «показать подробности»

Подписчиков канала: 2

Дальнейшее гугление позволило установить, что раньше у ПриватБанка была функция экспорта выписок в RSS, но в связи с новым интерфейсом Приват24 эта функция пока не доступна. Хотя это не особо важно.

Апофеоз


Владелец карты оказался человеком продвинутым, и хотел контролировать состояние своего счёта не только через интерфейс Приват24 но и через RSS поток, который собирает в Google Reader.
Что в этом плохого? Вполне современный подход современного человека, потом сам поток можно получить только зная секретный ключ, а поток внутри SSL!
Вердикт: Безопасно.

Но тут то гугл его и подставил, и возможно не только его…

Всё что написано далее всего лишь моё предположение.
Мне кажется, что как только Вы добавляете поток в Google Reader — ссылка по которой доступен поток, становится как-бэ общедоступной, то есть Google может предложить эту ссылку постороннему человеку в качестве новостей, рекомендованных записей и т.д.

Что в общем-то иногда НЕ БЕЗОПАСНО!

Я в шоке!


После общения с банком я решил позвонить этому человеку и рассказать о сложившейся ситуации. Кратко изложу общение:

— (Я)Здравствуйте, меня зовут Дмитрий! Это Фамилия имя?
— (Он)Да.
— (Я)Простите не знаю как рассказать, Вы пользуетесь Google Reader-ом.
— (Он)Да.
— (Я)И Он собирает у Вас RSS поток с выписками по счёту ПриватБанка?
— (Он)Да.
— (Я)Вы понимаете так уж сложилось, что я могу просматривать все Ваши операции, и другие люди возможно тоже.
— (Он)Ну и что?
— (Я) Ну как это «ну и что?» там номер Вашего телефона, Вашей карты и т.д.
— (Он) Ну и что?

Дальнейшее описание общения вижу бессмысленным.

Всё.
Ogorodnichuk Dmitrij @main
карма
35,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (159)

  • +6
    Судя по всему он себе не безопасность может позволить :)
    • +60
      image
  • +268
    Суммируя: банку всё равно, Гуглу всё равно, владельцу карты всё равно, истерика только у автора.
    • +33
      Автору тоже всё равно.
      • +27
        Извините, за апперкейсом, восклицательными знаками и словами «шок» не заметил.
        • +5
          Вы придираетесь, не так уж и много там капслока, как и знаков восклицания.
      • +2
        Автору все равно, но он в шоке? Интересно.
        • +3
          Потому что в шоке, потому и все равно :-)
          • 0
            Нам всё равно, что он в шоке…
    • +7
      Когда мне распечатали контракт в Евросети на заявлении на кредит с ПД другого клиента, мне было пофиг, но я задумался о том, что мои ПД могут куда-то утечь из-за такого раздолбайства. ИМХО, тут похожая ситуация.
      • +1
        всему виной экономия бумаги, по этой причине иногда такое узнаешь… ;)
      • +8
    • +1
      Кстати, вполне интересная информация, как бы там ни было, утечка таких данных есть не очень хорошо, можно немного и поистерить)
    • –5
      Отличное определение-истерика.
      Пытаясь читать пост, с ностальгией вспоминал себя в 3ем
      классе.
    • 0
      Ну и что?
  • +45
    Ну у автора не истерика, а подробное описание, довольно необычной и, скажем так, крайне неожиданной ситуации.
    По крайней мере, для себя можно сделать вывод о том, что не стоит на такого рода приватные фиды через гугль-ридер подписываться.
    • +1
      предостережение как бы
  • +24
    Виноват не гугл, а банк, который отдает rss без аутентификации.
    • +3
      Один из самый идиотских банков в стране, единственный их плюс — распространенность филиалов и банкоматов.
      • +15
        Почему всё плохое распространено хорошо?
        • +6
          «Пипл хавает» (с)

          Выражаясь более формально: «для среднего потребителя товаров или услуг их (известные) преимущества перевешивают недостатки (возможно неизвестные)»

      • +3
        Еще один из плюсов, это достаточно хороший онлайн банкинг — на данный момент среди украинских банков сложно найти альтернативу. И да, меня бесят их тарифы и некоторые ньюансы в обращении с клиентами. Если кто знает лучше — посоветуйте.
        • 0
          Отстойный у них онлайн банкинг, задержка обновления счетов от недели до десяти дней это ппц. И глючит оно всё страшно.
          • 0
            О какой задержке обновления идет речь? Если вы о балансе, то там есть кнопочка принудительного пересчета итогов. Глюки бывают местами, но особо страшных, которые бы влияли на юзабилити я в последнее время не наблюдал.
            А вот самое большее что меня раздражает в Privat24 для физлиц, так это коммисия за перевод между своими счетами. Повбывавбы
      • +3
        по моим данных у них также весьма развитый комплекс услуг, включая интернет-банкинг. Может, подскажете, у кого лучше есть? Я себе сейчас банк подбираю.
        • 0
          Посмотрите на OTP Bank. Обслуживанием и сервисом остался доволен.
    • +5
      Виноват точно не гугл. Еще года 4 назад у ПриватБанка была эта проблема, он тупо отдавал данные по RSS без аутентификации. Потом я пытался общаться с поддержкой, но забил на их непроходимую тупость. Как оказывается воз и ныне там, жаль, переписка не сохранилась. Безопасность клиента превыше всего, да.
      • +2
        Извиняюсь, не дочитал, все всем давно известно. Фиды у привата открытые с самого начала существования приват24.
      • +7
        У ПриватБанка полно проблем, и их непроходимая тупость — главная.
      • 0
        Я тебе скажу по секрету, что он не только RSS отдавал, он еще и FIDO трафик вполне исправно отдавал параллельно с платежками. :-)
        • +1
          В какую эху?
          • 0
            fido7.ru.plastic.cards?
            • 0
              В те времена банкоматов было по пальцам пересчитать. Какие карты?
          • 0
            Всякие, днем машинка прозванивала по межгороду банк за платежками и заодно выгребала почту для города. Ночью раздавала все это местным фидошникам. Так и жили.
    • +2
      Вообще в Google Reader уже много лет не могут сделать поддержку приватных фидов. Могли бы хотя бы сделать галочку «не показывать этот фид другим пользователям», уже бы решение с неким секретным токеном в URL стало бы относительно терпимым, токен знает только Google и ни с кем не делится.
      А вообще надо им сделать и нормальную http-аутентификацию.
    • 0
      Для того чтоб личная RSS-лента стала доступна другим достаточно нажать Нравиться.
  • –4
    Не плохой у вас баланс на карте приват банка :)
    • –4
      ой, простите, дочитал. Это не ваш счет. Жаль :(
      • +11
        А жаль почему?
        Хотел спросить:
        — Есть пару WMZ?
        — А если я найду?
        :)
        • +3
          Не. Порадоваться за других.
          Не с того я района я :)
    • +1
      Кредитка, с лимитом в 10к грн. Для того чтобы иметь такой лимит дочку рокфеллера иметь не надо.
  • +41
    У меня дежа вю
    • +7
      И через год тоже будет.
      • +7
        Вот теперь я верю, что банку и владельцу карты все равно.
    • +5
      Да Вы правы.

      Ну извините.
      • +5
        Прочитал пост по Вашей ссылке, как будто свой прочитал. Но уверяю Вас, я не знаю о его существовании.
        • +13
          А бывалый хабраюзер помнит и бдит! %)
          • +3
            кстати, вы в курсе, что вы зарегестрированы в один день, один час, с разбежкой в 21 минуту? :)
            • 0
              Кстати нет :) Прикольно.
            • 0
              Теперь да! Спасибо :)
        • +2
          Человек, которому Вы звонили, не говорил что-то типа «Да мне уже звонили с Хабра год назад! Мне пофигу»? :)
  • +8
    Этот банк ищет кодеров готовых работать за $200 habrahabr.ru/blogs/pay_system/85208/
    • +1
      И найдет же, а что самое страшное — они будут там работать.
      • +1
        А что такого? Дороговато в час, конечно, но хороший специалист того стоит…
  • +10
    Достаточно посчитать количество смайликов в официальном блоге Private24 и оценить стиль изложения, чтобы никогда не иметь с ними дела.
  • 0
    Приват, видимо, совсем не 24.
    • +6
      Да и не приват.
    • +5
      скорее, 24 не совсем приват.
      • 0
        Не до 24, не до приват, не до банк.
      • +1
        Ну если взять, что 24 в названии — это часов в сутки. Мой вариант тоже имеет право жить)
    • +1
      С 8 до 24 — приват, а ночью приходит кариес…
  • 0
    Вполне современный подход современного человека, потом сам поток можно получить только зная секретный ключ, а поток внутри SSL!

    По-моему в ридере нету возможности читать запароленные фиды, и отсюда напрашивается вывод что фид был открытый, а ридер просто его заиндексировал. А оттуда нельзя узнать URL фида, что бы посмотреть что к чему?
    • 0
      Тьфу, конечно можете — вы его сами замазали в картинке. Тогда все очень просто — скопируйте URL в адресную строку броузера — если фид открытый — откроется без всяких паролей, значит ридер не виноват. Если нет — то это действительно очень серьёзный фак в безопасности ридера.
      • 0
        Ну конечно же URL открытый.

        Мне кажется, что в Reader нужно добавить фичу типа «приватный фид.»
        • +3
          А толку? Это только будет давать иллюзию «защищенности» — ведь урл может засветить не только ридер.

          Ваабще считать урл — ключём к какой-то приватной информации — верх наивности.

          • +1
            Особенно учитывая популярность разных тулбаров и прочих аддонов и плагинов к браузерам, которые в качестве заявленной фичи передают урл третьим лицам.
    • 0
      URL фида посмотреть можно, я на картинке его затирал, что бы не видно было.
      Выглядит так:
      api.bp.ua/getrss=SHAключ.(Ну мне показалось, что ключ SHA, на md5 не похож.)
      • 0
        А открыть его вне гугл-ридера можно?
        • 0
          Да, но только несколько записей, штук 5.
          • +4
            Ну какие тогда вообще могу быть претензии к ридеру? Ну заиндексировал его, имеет право — у фидов нету robots.txt, насколько я знаю. Это однозначно серьёзный фак банка, если они считают что URL «который никто не знает» — это достаточная защита личных данных их клиентов.
            • 0
              Да нет, это проблема гугла на самом деле. Я нигде не вижу в их соглашениях, чтобы юзер давал разрешение публиковать адреса фидов, которые он добавил.
              • +4
                По-моему URL по определению не может считаться приватной или защищенной информацией. Для этих целей есть фиды с паролями. По-моему это верх безалаберности передавать строго конфиденциальную информацию по открытым каналам связи.
                • 0
                  В чем принципиальное отличие?
                  • 0
                    Как минимум, урл виден в очень многих браузерах, а в очень многих пароль звездочками закрывается. То есть для урла существует далеко не нулевая вероятность компроментации даже без использования злоумышленником технических средств вообще (на этапе фиксации урла, конечно).
                    • 0
                      У меня за спиной злоумышленник не стоит.
                      • 0
                        Вообще никто за спиной не стоит?
                        • 0
                          Когда я работаю с банковской информацией — нет. А уж тем более никто, способный запомнить за 1 секунду несколько десятков случайных символов.
                          • –1
                            Ридер РСС вроде подразумевает, что сообщения от потока приходят к вам асинхронно. А некоторые ученые утверждают (и некоторые практики доказывают), что человек физически не в состоянии что-то забыть. Сознательно вспомнить может быть не в состоянии, а в вот подсознание помнит всё, а значит есть методы (от «сыворотки правды» и гипноза до «ментального сканирования ауры») эту информацию получить. Вы с ними не согласны на 100% и такие риски как «раз кто-то имел возможность увидеть что-то конфиденциальное, то это что-то завтра может появиться на первой полосе „АиФ“ не закладываете в принципе в свои юзкейсы?
                            • 0
                              Ого, как все запущено. Во-первых, в ридере не видно адреса потока, если я специально не хочу его посмотреть. Во-вторых, риски «ментального сканирования ауры» распространяются и на случай, когда вы пароль вводите и кто-то имел возможность увидеть клавиатуру.
                              • 0
                                Вы отвечаете за все ридеры? :)

                                Я такие риски стараюсь исключить и как объект, и как субъект. То есть стараюсь прикрыть клавиатуру телом или выбрать момент, когда на меня не смотрят. С другой стороны — отворачиваюсь, когда кто-то пароль при мне вводит.
                                • 0
                                  Мы обсуждаем гугл ридер, а не все ридеры.
                                  • +1
                                    Я думал мы обсуждаем безопасность передачи конфиденциальных данных по «секретному» урлу…
                                    • 0
                                      Очевидно, что абсолютно безопасных методов передачи информации не существует. Вон недавно научились даже квантовую передачу информации прослушивать, хотя раньше считалось невозможным. Мы обсуждаем, имеет право гугл публиковать без разрешения мою информацию или нет.
                                      • 0
                                        А вы уверены, что это ваша информация? Вы её обладатель? Если уверены, то определили ли вы режим доступа к ней? Известили ли о нём Гугл?
                                        • 0
                                          У них есть соглашение о конфиденциальности, которое описывает что я разрешаю делать с моей информацией, а что нет. Разрешения передавать посторонним людям адреса фидов в ридере я там не нашел. Найдете — покажете.
                                          • 0
                                            Ещё раз — это ваша информация? Вы её сгенерировали?
                                            • 0
                                              Какая разница кто ее сгенерировал? Номер моей банковской карты тоже не я сгенерировал, но это не значит, что его можно выкладывать на всеобщее обозрение.
                                              • 0
                                                А почему нет? Кто это запрещает? Или кто проведёт безотзывную транзакцию лишь по номеру?
                                                • 0
                                                  Самому не смешно?
                                                  • 0
                                                    Ни капли. Банк, грубо говоря, обязует меня хранить в секрете лишь пин-код. Если бы он обязал хранить в секрете номер карты, то я бы по ней расплатится не смог в магазине.
                          • 0
                            А откуда Вы знаете что Ваш провайдер не заворачивает трафик через прозрачный и незаметный squid чтобы сэкономить чуток полосы. А в логах сквида все-все урлы есть.
                            • +1
                              HTTPS
                • 0
                  Адреса электронной почты тоже не являются приватной информацией. Вы не будете возражать, если гугл опубликует с кем вы переписываетесь?
                  • 0
                    Личная информация – это информация, предоставленная вами, которая указывает лично на вас, например ваше имя, адрес электронной почты, платежная информация и другие сведения, которые могут быть обоснованно отнесены Google к такой информации.
                    RSS-фиды к личной информации можно отнести с натяжкой.

                    Справедливости ради надо сказать, что гугл однажды уже опубликовывал то, «с кем вы переписываетесь» при появлении wave. Был большой скандал. :)

                    Банк, отдающий приватную информацию без элементарной HTTP-авторизации, это не оправдывает.
                    • 0
                      Только Базз а не Вейв, и по голове они за это очень серьёзно за это получили :) При том, что это даже не было в такой явной форме, как вы описываете.
                    • 0
                      Еще раз. В чем разница между секретным кодом, который нужно вводить в формочку, и секретным кодом, который нужно вводить в адресную строку?
                      • 0
                        Если данные формочки передаются в урле — то никакой :)
                        • 0
                          Какая разница, в урле или не в урле?
                          • 0
                            Данные в урле часто поддаются визуальной компрометации.
                            • 0
                              Ваши письма тоже. Предлагаете гуглу выложить их на всеобщее обозрение, раз такая пьянка пошла?
                              • 0
                                Это будет нарушением моего конституционного права, потому не предлагаю. Тайна урла нигде, по-моему, не прописана в отличии от тайны переписки.
                                • 0
                                  Ерунда какая-то. Что по вашему такое, переписка? Письма в конвертах? Письма электронные? Сообщения в твиттере? Комментарии на форуме? Личные сообщения на форуме? Текст отправляемый через POST? Текст отправляемый через GET? Урл? Что из этого является перепиской, а что нет?
                                  • 0
                                    Письма в конвертах. Письма на открытках/карточках. Письма электронные. Личные сообщения на форуме. Текст (для конкретного адресата), отправляемый через POST или GET (а также PUT). Любое мое сообщение, которое я отправляю лично кому-то или получаю лично в свой адрес. Раскрытие адреса нарушением тайны переписки не является, может быть нарушением условия договора и/или 152-ФЗ.

                                    В данном случае урл это адрес, Гугл вольно или невольно его разгласил (причём не факт, что он не имеет статуса общедоступных с вашего же согласия), но права на тайну переписки он не нарушил…
                                    • 0
                                      А вот нифига подобного. Когда я ввожу в браузер my-bank.com/rss/verylongsecretstring, он коннектится по адресу my-bank.com:80 и отправляет туда сообщение навроде
                                      GET /rss/verylongsecretstring HTTP/1.0
                                      Host: my-bank.com

                                      Когда я пользуюсь гугл ридером, я даю гуглу строку текста и поручаю передать ее в соответствующем формате серверу банка. Когда я пользуюсь гмейлом, я даю гуглу строку текста и поручаю передать ее в соответствующем формате почтовому серверу. В чем разница?
                                      • 0
                                        В первых двух случаях вы поручаете браузеру или ридеру получить информацию для вас (далеко не факт, что вашу) с определенного адреса. В третьем вы поручаете гуглу отправить вашу (как минимум исходящую от вас) информацию на определенный адрес. Чувствуете разницу?
                                        • 0
                                          Не чувствую. Во всех случаях сначала идет отправка сообщения, потом получение ответа.
                                          • 0
                                            Почувствуйте разницу между технической информацией и вашей лично.
                                            • 0
                                              А если я посылаю секретный код (выданный банком) с помощью смс на номер банка, а в ответ мне информация о балансе приходит — это техническая информация или моя личная?
                                              • 0
                                                Отсылаете техническую, приходит личная. Наверняка банк в договоре предусмотрел, что он любого, кто пришлёт данную техническую инфу будет считать вами и запретил вам её собщать третьим лицам. Если вы её сообщили какому-то «смс-ридеру инк», а он её распространил то это ваши с ним проблемы. Если «смс-ридер» не брал на себя обязательство хранить эту техническую информацию в секрете, то можете попробовать в иске на него апеллировать к тому, что эта информация является персональными данными, но учтите, что в конкретный(пускай и открытый) список персональных данных никакие коды не входят
                  • 0
                    Так рекомендации в ридере не пишут кто на эти фиды подписан. Понятное дело, что если бы можно было узнать все фиды на которые подписан конкретный человек — это серьёзный фак, но это не так. У думаю, тут более корректной аналогией было бы ситуация, когда в неком почтовом сервисе, зная только адрес электронной почты можно было бы получить все его содержимое, и люди пользовались всё равно пользовались бы им для конфиденциальной информации.
                  • 0
                    Я точно не буду возражать, если Гугл где-то опубликует мыла тех, с кем я переписываюсь без привязки ко мне и содержанию самой переписки. Также не буду возражать, если опубликует мое мыло. Но вот если опубликует под урлом gmail.com/volch5 содержание моей переписки или, хотя бы, адрес последнего кто мне написал — то буду очень сильно.
                    • 0
                      А если под урлом gmail.com/dgjkfhgjklhsdflkghadfjklghwilh4343hrsfjkldhafklw3h5r, который будет известен только вам?
                      • 0
                        Если я сам не включил такую опцию (причём «только мне» — это невозможно, минимум сам гугл должен знать этот урл) — то тоже буду.
                        • 0
                          А если вы включите эту функцию и посмотрите сайт в файрфоксе, то вы не будете возражать, когда через неделю обнаружите свой урл на сайте мозиллы в разделе «Рекоммендуемые сайты»?
                          • 0
                            Неудачным стечением обстоятельств буду недоволен, как если бы в лесу покакал, встал и обнаружил, что на меня целая толпа смотрит. Возражать против того, что сам сделал как-то глупо.
                            • 0
                              Интересно. А если мозилла решит все ваши пароли с сайтов, которые не используют шифрование, опубликовать, тоже не будете возражать?
                              • 0
                                Буду не доволен. А вот против действий тех, кто ими воспользуется буду возражать. В принципе и против таких действий мозиллы (вернее Гугла) буду возражать, но по поводу нарушения ими 152-ФЗ, а не Конституции.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Я может что-то путаю, но вроде раньше писали, что фиды, у которых только один подписчик считаются приватными и в рекоммендации не попадают.

    Там где написано про 2 подписчиков — это включая автора или нет? Если не включая, то ССЗБ. А вот если включая, то непонятно.
    • 0
      Ну судя по всему 2 подписчика это автор и я.
      Не знаю сколько было подписчиков когда я добавил фид.
    • 0
      У владельца вполне может быть несколько аккаунтов — это не показатель.
      А если подписаться в Ридере и отдельно в GMail'е — это будет сколько подписчиков?
      • 0
        Каким образом в гмейле можно подписаться на рсс?
        • 0
          В настройках раздел «Веб-подборки» — будет что-то наподобие бегущей строки над кнопками во Входящих.
  • 0
    Спасибо Вам, отрубил эту РСС.
    • 0
      Думаю любой системе, которая выдает приватные данные (номера кредиток, телефоны и т.д.) любому, кто знает урл не стоит доверять…

      Я бы на Вашем месте сменил банк :)
  • +6
    На сколько я понял, то google просто собрал открытые atom с сайта eventr. Можно ещё енкоторые найти таким поиском Приват24 выписки site:eventr.com
  • +1
    С «Сбербанк@Онлайн» была ситуация когда я увидел чужие карты только я не звонил в банк и не искал владельца… Сначала владелец карт на меня вышел, чуть позже в тот же день сбербанк заблокировал его карты (тогда еще у них не было тут блога, но хабр мониторили).

    Не все банки одинаково полезны, но некоторым ксчастью не наплевать.
    • 0
      Имхо, не очень корректно вы поступили, опубликовав топик не звоня в банк предварительно. Вот позвонили бы и если хотя бы сразу после конца разговора данные остались бы открытыми вам — можно с чистой совестью жать кнопку submit. Хорошая СБ банка отрубила бы сервис полностью «до выяснения» ещё в процессе разговора с вами. Не уверен, правда, в существовании таких банков с такими СБ даже в мире, не говоря о России.
      • +3
        Во первых при обновлении страницы инфа чужая сменилась на мою, и в том топике это есть.

        Во вторых, я бы мог так поступить, но не обязан висеть по полчаса пробиваясь через терни техподдержки чтобы донести что-то до СБ. Я уже имел неоднократный опыт добро-саморитянства, неоднократно был послан и предпочитаю публичные порки.

        И я думаю Вы согласитесь со мной, учитывая что только что признались в недоверии к СБ.
        • 0
          Не соглашусь. Сообщить об уязвимости в софте разработчикам и/или эксплутационщикам я считаю своим долгом. Если они в разумный срок её не устранят, то считаю долгом оповестить пользователей этого софта не сильно напрягающим меня методом. Определение разумности срока оставляю на свое настроение, но в любом случае оно положительно.
          • 0
            Вы меня извините, но не соглашаться с собственными высказываниями это как минимум странно

            Печься о судьбе разработчиков больше чем о финансовых проблемах клиентов, об это я даже говорить ничего не буду.

            Ваша политика годится для вебсайтов и нейтральных программ, но не для финансовых систем. Тут нужно сразу мордой в грязь, чтоб увольняли быдлокодеров командами.
            • 0
              Я не согласился с вашей позицией, а не со своим недоверием к СБ. И печусь я не о судьбе разработчиков, а о судьбе клиентов, причём больше всего именно клиентов финансовых систем.

              Поясню — как только я публикую данные о какой-то уязвимости какой-то финансовой системы я даю возможность злоумышленникам, которые до моего поста о ней не знали, ею воспользоваться до того, как СБ об этой уязвимости вообще узнает. Соблюдая обратный порядок я даю возможность СБ закрыть её. А вот если им, извините, насрать и они не закрывают, тогда оповещаю о рисках пользователей, добавляя что финансовой системе на них насрать.
              • 0
                А, ну так вы просто топик не читали, понятно. Речь в том посте идет о баге, а не о уязвимости.

                ИМХО, Вы делете лишниетелодвижения, а я просто принимаю как аксиому — «у нас всем на всё насрать, но если запахло жаренным то начинают шевелиться».
                • 0
                  Баги и уязвимости это пересекающиеся множества.
  • +1
    А у меня в рекомендованных англоязычные статьи про до-диез (C#) и макак…
  • 0
    Делать РСС ленту своих транзакций имхо бред полный, выб еще вебмоней так же сделали))))))

    1. подтвержждение транзации по телефону. вот и вся нужная функция!
    • 0
      К моему РСС ридеру имеет доступ (я надеюсь) куда меньшее число людей, чем к телефону.
  • +3
    У меня чувство дежавю. Похожий пост уже был на Хабре. Про RSS точно. И про банк. По-моему как раз про этот украинский Private Bank. Кто-нибудь еще помнит?
  • +9
    Им всего-то надо название сменить на Паблик-банк и всё встанет на свои места.
  • 0
    Кстати спасибо за ссылку на гугл, давно искал.
  • –1
    Может мне кто поможет с google reader-ом?

    Когда жму ссылку «Выйти» в правом верхнем углу, у меня страница выходит и автоматом снова входит на читалку.

    Ссылка вида:
    www.google.com/accounts/Logout?service=reader&continue=http://www.google.ru/reader/view/&cd=RU

    Вроде как в сапорт писать надо, так?
  • 0
    Да у нас практически во всех банках на соображения безопасности смотрят в последнюю очередь.

    В ВТБ24 между получением карты и внесением денег необходимо позвонить в их колцентр и рассказать все свои личные данные: паспорт, прописка, кодовое слово

    Сайт Авангарда работает через https, но на нём размещён скрытый сторонний счётчик. Смысла в этом — нуль, а все браузеры считают соединение скомпрометированным.
    • 0
      Сайт Авангарда работает через https, но на нём размещён скрытый сторонний счётчик.
      Про какой счетчик вы говорите? Не нашел там ничего подобного. На мой взгляд у них все хорошо с безопасностью.

      Про ВТБ24 даже говорить не хочется.
      • 0
        liveinternet в самом начале body
        • 0
          Это только на главной странице.
          • +1
            А какая разница — это страница с формой входа в интернет-банкинг.
  • +4
    >Когда заканчиваются новости из моих подписок я использую раздел…
    А я работать обычно после этого начинаю.
    • 0
      Я тоже. А потом иду в раздел…
  • +1
    После того, как мне на мыло стали ежемесячно приходить выписки с чьего-то чужого счета, я уже не верю в то, что банки заботятся о безопасности информации о клиентах.
    Причем приходили не только подробности о финансах, но и полные данные о человеке, включая телефон и домашний адрес.
    Банку пришлось два раза писать, чтоб они перестали это делать.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Ну я тоже об этом подумал. :)
    • 0
      А может и включать ничего не потребовалось…
  • 0
    После этого я не верю ни женщинам, ни банкам :(
    • 0
      А женщины тут причем? ))
      • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    А мне понравился линк гугла на google.com.
    Круто.
  • 0
    Какой банк, такие и клиенты.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.