Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона

    Альфа-Банк Украина входит в ТОП-5 по количеству активных карт среди всех украинских банков и имеет довольно неплохой интернет-банкинг My Alfa-Bank.

    У них существует функция перевода средств другому клиенту по номеру телефона: чтобы перевести деньги, достаточно указать номер телефона получателя, нет необходимости указывать номер карты.

    Длительное время функция p2p-перевода по номеру телефона действовала при соблюдении определенных условий: если у получателя подтверждён телефон и оформлена зарплатная (именно зарплатная) карта в Альфа-Банке Украина.

    Не так давно, в конце марта этого года, банк реализовал p2p переводы по номеру телефона в интернет-банкинге My Alfa-Bank уже для всех клиентов банка, а не только для «зарплатников».

    Я решил протестировать функцию на предмет получения данных о клиенте по его номеру телефона.

    Ввожу сумму и номер телефона родственника, у которого открыт счёт в Альфа-Банке, нажимаю «Далее».


    На следующей странице, чтобы убедиться, что деньги будут отправлены нужному человеку, банк указывает ФИО клиента в замаскированном виде: часть фамилии замаскирована звёздочками, а имя и отчество указаны только первыми буквами, это правильно (здесь и далее номера телефонов, ФИО отправителя и получателя указаны фиктивными):


    Конечно, если средства перевести, я увижу полные ФИО получателя. Но и получатель увидит мои – так что на этом этапе проверка закончена.

    Перехожу в последние операции, чтобы посмотреть на детали этого теста:



    Ничего интересного – при наведении курсора мыши на такую операцию нет интересующих меня данных.



    Позже, в мае, функция переводов между клиентами Альфа-Банка по номеру мобильного телефона появилась и в мобильном приложении.

    И я, зная, что работа с мобильными приложениями может быть реализована иначе, решаю проверить это на Android.

    Ввожу данные (сумма и номер телефона), ввожу код из SMS и вижу ту же картину: ФИО маскируется.



    Хорошо для клиентов, но жаль для меня. Отменяю операцию.

    Однако иду проверить данный перевод в последних операциях в web-версии – и да, в деталях платежа, который я проверял в мобильном приложении, отображаются поля «Отправитель платежа» и «Получатель платежа»!



    Да, уязвимость найдена.

    Таким образом, проблема именно в отображении операций, созданных в мобильном приложении — по номеру телефона можно получать актуальные ФИО клиентов, даже не отправляя им деньги. Таких клиентов может быть до 1,15 млн. (количество активных карт по данным НБУ), но необходимо, чтобы клиент был зарегистрирован в системе.

    Пишу в банк по найденным на сайте адресам, что им следует доработать передачу полей при операции, совершаемой в мобильном приложении (или маскировать данные оттуда, как это сделано на других этапах такой операции), и проблема будет решена.

    Хронология событий:

    30 мая — первое письмо, в котором я указываю ссылку на запароленный документ со скриншотами с детальным описанием проблемы;

    07 июня — повторное письмо с вопросом о реакции, получаю ответ: «Опишите проблему в текстовом формате (при необходимости добавьте скрин) для решения вопроса», отправляю ответ;

    26 июня — моё повторное письмо с вопросом о том, будет ли исправлена ситуация или нет, и когда. Получаю следующий ответ: «Зафиксированное предложение передается в профильное подразделение для рассмотрения и включения в план дальнейших действий. Реализация зафиксированного предложения зависит от разных факторов: ресурсов, сложности реализации, проектов, которые находятся уже в реализации. По предложениям, которые поступают на банк, обратная связь не предоставляется» – по предложениям? Я же ясно указал, в чём проблема, приложил скриншоты, подсказал решение;

    07 июля – естественно, никакого движения, попытался уточнить вопрос через знакомых.
    Во время проверки обнаруживается, что теперь ошибка не зависит от платформы и воспроизводится также и в web-версии: теперь для получения ФИО владельца по номеру телефона одновременно использовать приложение и сайт не нужно — узнать ФИО клиента без перевода средств можно просто в интернет-банкинге;

    08 августа — пишу в банк, что хочу опубликовать информацию о том, как найденная ошибка не была исправлена банком за несколько месяцев; получаю ответ "Информация предоставлена Вами была передана в соответствующий отдел Банка и получен ответ, что она будет добавлена в backlog, но на данный момент изменения проводиться не будут" и "Отдел разработки не считает, что предоставленная Вами информация повлияет на уязвимость интернет-сервиса, но приняли ее во внимание. Спасибо, что помогаете нам стать лучше. С уважением, Альфа-Банк!".



    Итог: с конца мая и на текущий момент уязвимость не исправлена — по номеру телефона можно получить ФИО клиента, не совершая перевода (просматривая детали незавершённой операции в интернет-банкинге).
    Метки:
    Поделиться публикацией
    Комментарии 71
    • 0
      В Альфа-банке Украина в 2014 году отношение к уязвимостям было немного лучше, хоть и со второго обращения только закрыли.
      • 0
        Там тоже идёт речь об украинском Альфа-Банке) А вот ещё одна статья про них же, от того же автора: Как я племянника с Днем рождения поздравлял
        • +1
          Да, я сначала не заметил. Вроде быстро отредактировал, но наши комментарии теперь не согласуются)). Спасибо за статью.
      • –7
        Обязательная регистрация с личными данными и выдача кода.

        То есть, силовики смогут и без вас лазить по вашим банкам, как в этом случае. Как менять имей коды известно давно.

        при этом обязать телеком-компании собирать персональные данные всех без исключения пользователей. В этом же документе предлагается возродить практику ведения базы уникальных идентификаторов IMEI-кодов. Как пишет в пояснительной записке к законопроекту Госспецсвязи, отсутствие системы регистрации абонентов и уникальных кодов мобильных устройств усложняет проведение мероприятий по нацбезопасности «в условиях кибернетических угроз».

        Как пишет в пояснительной записке к законопроекту Госспецсвязи, отсутствие системы регистрации абонентов и уникальных кодов мобильных устройств усложняет проведение мероприятий по нацбезопасности «в условиях кибернетических угроз». «Кроме того, требует внимания ситуация с использованием разнообразного конечного оборудования (айфоны, айпады, коммуникаторы, смартфоны, мобильные телефоны и так далее) на фоне растущего спектра предоставления услуг на базе телекоммуникаций, так как неконтролируемое количество конечного оборудования в обороте содействует распространению „мобильного мошенничества“ и других кибернетических преступлений», — говорится в записке. По задумке Госспецсвязи, у других ведомств с момента принятия закона будет только три месяца на адаптацию своих нормативных актов.
        • +3
          Надо заметить, что Альфа в РФ тупо игнорирует письма типа «Дайте контакты ваших безопасников, дабы сообщить о проблеме». Правда, так сделали 6 из 7 банков, куда я писал. Один единственный ответил через 4 дня.
          • 0
            А кто ответил?)
          • 0
            А можете уточнить, куда вы писали что вас проигнорировали?
            • 0
              Напишите в личку ваш email, там и обсудим ;-)
          • +1
            И как вы предлагаете исправить «уязвимость»?
            и она присутствует в любом другом банке
            • +1
              Хотя да, полное ФИО можно заменить неполным
              • +2
                В нескольких других украинских банках (про РФ не знаю) такой ошибки нет: в одном банке исправили после моего обращения в течении дня, в другом — в течении нескольких месяцев, после чего выплатили вознаграждение, в третьем — ФИО не показываются.
                Изначально я предлагал не передавать поля с ФИО при операции, совершаемой в мобильном приложении (или маскировать, как это сделано на шаг ранее). После того, как было выяснено, что теперь ФИО видны и при незавершённой операции, проводимой в обычном ИБ, — нужно скрывать их и здесь.
                • –1
                  Ну обычно пишут имя и фамилию, даже при незавершенных операциях (сбер, тинков), это нужно для того, чтобы удостовериться, что перевод не ошибочный, потому что возврат средств практически невозможен. А то, что ФИО показывается полностью, скорее всего да, бага.
                  • 0
                    Верно, ФИО для того, чтобы не ошибиться в переводе. Но реализации «ПЕТР** П.П.» должно быть достаточно для проверки.
                    • +1
                      Сбер пишет Имя Отчество и первую букву фамилии
                    • 0
                      Уже много времени Приватбанк позволяет через оформление перевода на карту ПБ узнать полное ФИО по номеру карты, который в принципе несложно перебрать.
                  • +1
                    Согласен, что если предоставляется функция сокрытия персональных данных, то она должна работать корректно и синхронно независимо от платформы.
                    Но сомнительна сама идея сокрытия этих данных в таком виде. Работая в банке лично видел полное совпадение первых букв ФИО и даты рождения с коллегой из соседнего офиса(а у нас система логинов была построена на комбинации этих данных), полного совпадения ФИО и разницей всего в одной цифре номера телефона у клиентов и прочее-прочее. Тут скорее надо бы ограничить метод перебора ФИО по подставлению номеров телефона. Выше товарищи правильно описали, что операция р2р достаточно рисковая и нужно точно знать кому ты отправляешь средства (ошибиться в номере карты или номере телефона может и получатель, предоставляя их). И если банк предоставляет возможность каким-то образом идентифицировать получателя дабы отправитель смог убедиться в верности реквизитов — то лучше это делать в явном виде.
                    • 0
                      Полные однофиамильцы встречаются примерно на каждые 8-10т человек, это норма.
                      Но вероятность ошибиться в номере телефона и получить человека с похожим ФИО — очень низкая.
                    • +1
                      Это не уязвимость, а просто несинхронная работа мобильной и web версии. Меня устраивает, что я вижу ФИО получателя полностью. Особенно когда приходится переводить приличные суммы.
                      • 0
                        В статье указано: 07 июля… Во время проверки обнаруживается, что теперь ошибка не зависит от платформы и воспроизводится также и в web-версии: теперь для получения ФИО владельца по номеру телефона одновременно использовать приложение и сайт не нужно — узнать ФИО клиента без перевода средств можно просто в интернет-банкинге.
                        • 0
                          Вам непонятно, почему выдача ФИО по номеру телефона является уязвимостью?
                        • +3
                          Альфа в рф не сильно лучше. Закрыли пару детских косяков, но проблему с няшным чатиком, через который можно узнать логин, марку телефона и читать чужие сообщения игнорят, хотя писали даже от имени компании.
                          Ушел от них и знакомым советую…
                          • +2
                            Пост написать не хотите? Или упомянуть тут? Они есть на Хабре, последнее время часто пишут.
                            • +1
                              Если и писать то анонимно, а то были случаи.
                              • 0

                                Но не читают, видать...

                                • 0
                                  Читают, но что-то другое, похоже. Лучше бы пофиксили детские косяки: кукам хотя бы secure выставили, hsts там, CSP всякие, знаете ли, придумали 8) Не. «И таааак сойдееет» (с).
                                • +2
                                  Хочу. Как только в другую страну перееду — так и напишу =)
                                  Но если серьезно, то писать со своего аккаунта желания правда нет. Во-первых, трудно быть услышаным, во-вторых, очевидно, вероятность не совсем той реакции.
                                  Отправлять безопаснее от имени юрлица. Вот устроюсь безопасником — подарю работадателю всё найденное =)
                                • 0

                                  Если я правильно понимаю о чём вы, то это уже давно закрыли.

                                  • +1
                                    Или не правильно поняли, или не пофиксили. Проверил.
                                • 0
                                  Альфа в РФ не сильно лучше. При переводе по номеру телефона происходит не только раскрытие ФИО, но и адреса прописки.
                                  • 0
                                    ого, это баг или фича? можно подробнее? о_О
                                    Банк был поставлен в известность, если не фича?
                                    если это баг, то наверняка они могут за него не иллюзорно выхватить по закону о защите персональных данных, конечно если это то, о чём я подумал.

                                    • 0
                                      Я сегодня смогу проверить вечером ;-)
                                      • 0
                                        Отпишитесь здесь, интересно.
                                        • 0
                                          Не, не заметил такого. ФИО и даже телефон частично скрыты.
                                          • 0
                                            Ясно. А у pansa выше что-то не пофиксили.
                                          • 0
                                            Делаем перевод, в мобильном приложении платёжку в виде pdf… Вуа-ля!
                                      • 0

                                        А можете подробней рассказать об этом? Где именно раскрывается адрес прописки? И полное ФИО? У нас в системах везде отображается маскированное ФИО.

                                        • +1
                                          Если сделать «Детали платежа» в pdf, то в этом файле всё видно.
                                      • +1
                                        К сожалению, данная проблема (слив ФИО клиента без его желания по номеру телефона) не нова, Сбер например поправил ситуацию отображая 1 букву фамилии, так же сделал «приватный» режим в приложении, чтоб люди имеющие твой номер телефона у себя не могли идентифицировать тебя как клиента сбера и не узнали о тебе лишней информации, а вот в рокет-банке всё серьезней :(

                                        Если у тебя есть карта рокет-банка, ты можешь вводить номера телефонов в свою записную книжку, затем открыть приложение рокета и видеть там ФИО людей, на этих номерах… и на данный момент никак этому не противостоять.


                                        Но видимо ввиду того что большинство клиентов Рокета — школьники хипстеры? я не знаю как назвать их, ни в коем случае нет цели кого-то обидеть, просто назовём этих людей «медийные личности», которые наоборот стараются выкладывать информацию о себе всюду и «им нечего скрывать, захотят найти — найдут, ну и что что мои фио будут у кого угодно» — никого это не беспокоит.

                                        (хотя в защиту банка они что-то обещали поправить, вероятно в новой версии приложения)
                                        • +1

                                          В материнском банке тоже прикольно: вставляешь карту в банкомат, на весь экран аршинными буквами 'ИВАН ИВАНОВИЧ, вам одобрен кредит на 1111111 р.'


                                          И вся очередь наблюдает это. Все знают, как зовут держателя карты, все примерно предоставляют, сколько у него денежек на счете...

                                          • 0
                                            Вообще, российский Альфа-банк вызывает очень странные чувства. Они стабильно «сливают» имена и отчества всех клиентов в регионе, при этом отвечают, что там не все клиенты (!) и это не является персональными данными. Не то, что это было бы опасно, но это странно. И на мои письма о подделке писем от них не реагировали, пока я не опубликовал информацию. Хотя сейчас это тоже исправили не до конца.
                                            • +1
                                              как то раз, оформил дебетовую карту альфы на номер телефона, который более 5 лет был резервным (для сигнализации и уведомлений, т.е. этот номер кроме меня никто не знал, на него не звонил и т. п.), всё было замечательно несколько лет, но потом у меня сменился пакет услуг и мне выдали карту категорией выше, после чего на этот номер начали сыпаться звонки от всякого рода «брокерских агентств» обещающих золотые горы.

                                              И можно бы было подумать что это холодный обзвон, если бы не обращение по имени отчеству…
                                              а с учетом того что номер изначально оформлен не на меня — напрашиваются печальные выводы.

                                              поначалу эти звонки удивляли, затем они злили — стал добавлять номера в черный список, теперь же, по настроению, если они пробиваются через черный список, я стал тратить их время — 40 минутные разговоры с «успешными менеджерами» забавляют, особенно когда они уже ждут согласия, а ты такой — ну что-то я не до конца понял, давайте начнем сначала, вот дам я вам денег и что и что будет, расскажите!
                                              многих там прям слышно как разрывает от негодования :D звонить почти перестали, часто просто бросают трубку, видимо понимая куда позвонили )
                                            • +2
                                              За статью не осуждаю, но я тебе лично писал, что пофиксим в ближайшем релизе в июле или начале августа.
                                              image
                                              Хотфиксом не было возможможности это исправить.

                                              Релиз уже собран… на неделе зальем.

                                              P.S.: когда пишешь во все возможные инстанции есть возможность получить всевозможные ответы ;)

                                              • +1
                                                Привет. Верно, но конец июля прошёл, начало августа наступило…
                                                Не хотелось тебя втягивать и беспокоить, плюс показалось, что ты морозишься — я тебе несколько раз задавал вопросы, на которые ты не отвечал (не только по этому поводу), поэтому я продолжил писать на ту почту, которую использовал изначально.
                                                image
                                                • +1
                                                  Признаюсь честно — в пятницу в 17:39 я уже думал не о багах…

                                                  • 0
                                                    Это понятно. Но вопрос же был не про пятницу.

                                                    спойлер
                                                    «Зафиксированное предложение передается в профильное подразделение для рассмотрения и включения в план дальнейших действий. Реализация зафиксированного предложения зависит от разных факторов: ресурсов, сложности реализации, проектов, которые находятся уже в реализации. По предложениям, которые поступают на банк, обратная связь не предоставляется»

                                                    «Отдел разработки не считает, что предоставленная Вами информация повлияет на уязвимость интернет-сервиса, но приняли ее во внимание».
                                              • 0
                                                Возможно, чтобы что-то исправить, нужно 100500 согласований. И пока деньги явно не утекают, то никто особо не чешется.
                                                К примеру, я уже ровно месяц долблю техподдержку Билайна, и безуспешно. В прошлом месяце поменяли условия тарифов, как я понимаю скопом на нескольких архивных тарифах. В публикациях на сайте нет новости и какой либо другой информации об изменениях в тарифе, и служба поддержки не может предоставить ссылку на такую информацию. Более того, на сайте в данный момент размещены и доступны для скачивания не измененные условия тарифа.
                                                При этом тарификация происходит по другим условиям, тариф за 800р стал стоить внезапно 900р.
                                                За месяц написал уже более полусотни обращений. Один раз подумал, что преодолел ботоподобную первую линию поддержки, и мне даже ответил сотрудник «да действительно проблема есть», но ничего не изменилось. И вопросы вида «мне же уже ответили, что проблема есть, вот цитата из переписки» расшибались об ответы вроде «Если Вам не подходят условия тарифа-Вы можете выбрать другой. Сейчас много новых популярных тарифов.», а то и вовсе «уточните номер телефона» или «уточните, на кого зарегистрирован номер».
                                                Хотя суть заявки в том, что информация о тарифе, размещенная на сайте, не соответствует реальным списаниям.
                                                Я к чему — техподдержки крупных сервисов всеми силами делают вид, что проблемы нет, даже если они есть. У них по регламенту положено объяснить клиенту, про «проблема с клиентом, а не с сервисом». Всем реально начхать. Что уж говорить про то, что они могут засветить фио своих клиентов с привязкой к телефону третьим лицам
                                                • +2
                                                  Ну а про массовый слив персональных данных есть тоже любопытная история. Про то, как сами люди сливают всю возможную информацию о себе компаниям, с которыми у них нет никаких договорных отношений.
                                                  Речь идет про страховые компании. В свете того, что сейчас массово страховщики отбрыкиваются от ОСАГО (его нельзя сделать даже в офисе компаний под всякими благовидными и неблаговидными предлогами), остается вариант в еОСАГО. Который работает довольно забавно.
                                                  От еОСАГО страховщики тоже отбрыкиваются, всякими разными способами. Но сначала предлагают заполнить полную информацию: данные ПТС и СОР авто, полную информацию с ВУ, данные паспорта владельца и страховщика, с местом и датой рождения, местом выдачи и т.д. и т.п. Email и телефон (коды подтверждения приходят и туда и туда) В некоторых случаях пишут «проверка не пройдена», и предлагают загрузить сканы/фото паспорта, ВУ, документов на авто. В общем все возможные нужные и не нужные данные собирают, разве что номера счетов в банке не просят. А в конце, после заполнения десятков полей результат один — «по техническим причинам» страховка не срабатывает. ВСК например сделал вообще красивый финт — присылают в конце код подтверждения (того, что хочешь оформить полис) по СМС вида hHf62U*sebR, его нужно ввести в поле на сайте. А в поле его нельзя вставить, ивент что-то вроде «on paste return false». То есть возможность вставить выпилена сознательно, и приходится этот бредовый код набирать. А при вводе 100% правильного кода из СМС выдается ошибка, что код неправильный! А через некоторое время происходит таймаут ввода кода, и все.

                                                  В итоге, чтобы сделать страховку ОСАГО я ввел свои персональные данные на сайтах 5 или 6 страховых компаний, вплоть до предоставления им сканов ВУ, паспорта и ПТС. А договор ОСАГО получил только от одной. Остальные просто получили все мои данные. Я им сам их дал, максимально подробные. Что там они с ними будут делать — отдельная история.
                                                  • 0
                                                    По поводу еОСАГО. Есть набор данных который необходим для расчета премии, и есть набор данных для прохождения проверки РСА (проверяются данные собственника ТС, страхователя, ТС, водителей). еОСАГО нельзя оформить без этих проверок. А страховая заранее не может знать результатов проверки. Сканы документов нужны для того что бы исправить некорректные данные в РСА. Но это не отменяет того что прежде чем запрашивать эти данные страховая должна получить от вас согласие на обработку ПД. А самое согласие вы потом можете отозвать.
                                                  • 0
                                                    29 октября 2016 года расторг договор с пчелайном из за «отсутствия» интернета (64 кб\с не считаю наличием интернета), тариф был «все за 300 постоплата». До сих пор не вернули 300р залога =)), даже уже звонить смысла не вижу — футболят.
                                                    • 0
                                                      Несоответствие тарифов опубликованной на сайте информации — это серьёзное нарушение:
                                                      — информирования об оказании услуг;
                                                      — закона о рекламе;
                                                      — собственно порядка оказания услуг.

                                                      Зарегистрируйте заявление в Роспотребнадзор с описанием проблемы (возможно не поможет, это не самое действенное). Но есть вероятность, что всем должны в принципе будут пересчитать все тарифы согласно опубликованной на сайте информации. :)
                                                      Т.к. сайт Билайна вполне себе является СМИ, а информация о тарифах вполне себе информация которую можно считать рекламной, то зарегистрируйте жалобу в ФАC.
                                                      Суть претензии, что реклама не соответствует оказанию услуги (да-да, этим занимается именно ФАС), почему очень высока вероятность, что сработает этот вариант: https://www.yandex.ru/yandsearch?text=ФАС%20оштрафовала%20билайн&lr=2&clid=9582

                                                      При следующем обращении в Билайн дайте им номера входящих жалоб в роспотребнадзор и ФАС, есть вероятность, что если не сработает государство — то сам Билайн внезапно быстро всё поправит (во избежание проблем).

                                                      Обратится в оба органа и оформить жалобу, очень просто.
                                                      Можно написать через Госуслуги, ещё есть варианты по почте или даже через веб-формы на сайте.

                                                      Роспотребнадзор: http://rospotrebnadzor.ru/feedback/new.php
                                                      ФАС: http://fas.gov.ru/contacts/requests/poryadok-obrashheniya.html
                                                      • 0
                                                        В ФАС не обращался, но обращался в Роскомнадзор и в Роспотребнадзор с жалобами на Билайн схожего характера (Билайн изменил условия тарифа, изменив состав включенных в тариф услуг, а изменения на сайте сделал примерно через пол года, тогда же опубликовал новость об изменениях).
                                                        В обоих случаях получил ответы, суть которых, как я ее понял для себя: «если нарушение имеет место, и вас это не устраивает — обращайтесь в суд, так как имеете право». То есть смысла от этих обращений не так уж много.
                                                        Если интересно ознакомиться с обращением и/или ответом, то можно тут https://trublast.ru/2017/01/09/roskomnadzor/
                                                        Там я конечно немного «косякнул», обратившись с Билайн с претензией типа «об изменениях объявили только сейчас, а не работает уже пол года, услуга не предоставлялась в объеме, заявленном в тарифе, верните деньги». Сейчас ситуация несколько иная, тарификация одна, а в тарифе ПРЯМО СЕЙЧАС указана другая информация. Но на результат обращения в надзорные органы я думаю не сильно повлияет.
                                                        «Верните деньги» — условно стандартная формулировка. В обращении должно быть требование, чего конкретно я хочу. Хотеть вернуть мне не предоставленные по тарифу минуты или там мегабайты (которые должны быть предоставлены) — несколько глупо. Поэтому требую возвращать абонентскую плату.
                                                    • 0
                                                      Только не закидывайте меня помидорами. В чем все таки уязвимость?

                                                      Юридически нельзя, что за закон? Как можно навредить абоненту (даже потенциально), узнав его ФИО через телефон?

                                                      Или обсуждается нравственный аспект. Т.е. навредить нельзя, просто нехорошо это. К слову про нравственный аспект, не так давно была возмущена сайтом поиска ФИО по телефону. Возмутило то, что писк выдает список личных социальных аккаунтов, номер телефона в которых заведен, НО скрыт для всех. Тем не менее, сайт, как видите, жив здоров.
                                                      • +3
                                                        Как можно навредить абоненту (даже потенциально), узнав его ФИО через телефон?

                                                        Можно позвонить этому абоненту, назвать его по имени-отчеству, представиться работником банка и убедить совершить какие-либо действия с картой или счетом. Социальная инженерия, google://Кевин_Митник
                                                        • 0
                                                          не так давно была возмущена сайтом поиска ФИО по телефону. Возмутило то, что писк выдает список личных социальных аккаунтов, номер телефона в которых заведен, НО скрыт для всех.

                                                          Тут, немного другая ситуация, человек использующий социальные сети и введя свой номер телефона — дважды ССЗБ, ввиду того что он, дважды, своими собственными руками выложил свои же персональные данные в сеть, по своему желанию. А как мы знаем — что в сеть упало, собаке попало там и останется, и не важно что считается что ты «скрыл» их или «удалил».

                                                          Мы же ведем речь о том (допустим с рокетбанком), что рандомный человек не использующий социальные сети в принципе, не важно по какой причине, хоть даже клинической паранойи, вынужден столкнутся с тем, что заключив договор с банком его фио с привязкой к номеру может быть получено практически любым человеком, в не зависимости от желания человека, в не зависимости на кого у него оформлена симка и т.п.

                                                          А что до применения связки фио+актуальный номер телефона, думаю не секрет что многие ребята собирают большие базы данных, которые затем продают/меняют тем же «успешным менеджерам» из «супер крутых брокерских компаний» и компаний по продаже пылесосов — в лучшем случае, в худшем — эти базы попадают к более сообразительным ребятам, которые с помощью этих актуальных вводых могут пойти дальше, позвонив, к примеру, родителям человека из базы, которые о чудо тоже есть в этой же базе — «такой-то такой-то ваш(а) сын(дочь)? Вы знаете… я бы не хотел вас волновать понапрасну, уточню еще — номер же у него(неё) вот такой, я не ошибся? а в бумажнике была карта такого-то банка..? Сожалею… я такой-то, такой-то, вынужден сообщить что… и вам надо перевести столько-то туда-то, чтобы всё было хорошо»…

                                                          Примеров, которыми сволочи без моральных принципов разводят пенсионеров в сети куча, а наличие персональных данных по сути в открытом доступе, против воли владельца этих персональных данных, очень облегчает им жизнь, что просто не может не беспокоить многих.
                                                          • 0
                                                            Отличная возможность узнать, является ли номер телефона клиентом банка + его ФИО бонусом. Вам никогда не приходили мошеннические смс якобы от банка с суммой списания и просьбой че-то там сделать? Мне вот приходили (привет, Бинбанк). Но ладно мне, а если это бабулька какая-то?
                                                          • +5
                                                            У них там xss везде, где только можно, даже на главной https://alfabank.ua/search?query=%22%3E%3Cimg%20src=x%20onerror=prompt(%27OPENBUGBOUNTY%27)%3E
                                                            • +2
                                                              Едрить они простофили!!!
                                                              • +2
                                                                Ещё у них sql injection на поддомене, это недопустимо для банка, эта sql inj находится там больше года и никто её не собирается фиксить.
                                                              • +1
                                                                Хром заботливо блокирует =)
                                                                «ERR_BLOCKED_BY_XSS_AUDITOR»
                                                              • +1
                                                                в украинском отп банке, если позвонить на городской номер, который указан для карте держателя и ввести для проверки баланса номер карты, узнаешь баланс любой карты их клиентов. Звонил на горячую линию и спрашивал, почему так, ведь это дает возможность совершить противозаконные действия — банк не видит в этом ничего такого
                                                                • +1
                                                                  О, как раз об этой ситуации будет моя следующая статья, она уже готова и лежит в черновиках)
                                                                • 0
                                                                  tennalian, Бинбанк тут при чем? Бинбанк нормальный серьезный стабильный банк такой фигней не занимается. Если что и шлет, то только клиентам и только со своего официального номера. А это все мошенники, о которых неплохо бы уведомлять банк, например сообщением в группу vk.com/binbank, чтобы СБ взяло мошенников на карандаш
                                                                  • 0

                                                                    Fixed.

                                                                    • 0
                                                                      Мы видим наглядно халатное отношение к продукту в компаниях постсоветского пространства. Человек сам нашел уязвимость, отписал о ней, а в итоге не то, что благодарность, даже нормального отношения к своему запросу не получил. Обидно, честное слово.
                                                                      • 0
                                                                        Так в чем уязвимость?
                                                                        Подобьем все неизвестные в уравнении «Как узнать ФИО клиента Альфа-Банка»:
                                                                        1. Нужно залогиниться в приложение и не сделать транзакцию до конца.
                                                                        2. Нужно залогиниться в ИБ и зайти в историю операций.
                                                                        3. Нужно точно знать, что клиент Альфа-Банка — клиент Альфа-Банка.

                                                                        Где утечка инфы?
                                                                        • +1
                                                                          3. Тебе банк сам скажет есть ли у этого номера телефона Фамилия Имя и Отчество. Кроме номера телефона ничего не нужно.
                                                                          • 0
                                                                            Ага, кроме того, что самому быть клиентом банка и находиться в авторизационной зоне ИБ или мобильного приложения.
                                                                        • +1

                                                                          На текущий момент что-нибудь известно от банка??
                                                                          По факту же, да уязвимость, но некритичная. Если бы ещё XSS раскопали, да инфу о балансе — вот тогда да.

                                                                          • +1
                                                                            Эту уязвимость исправили; XSS, найденную w9w — не знаю.
                                                                            • +1

                                                                              Если сможете, то выложите потом переписку с банком, разумеется, затрите там, что конфенденциально.

                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.