Увлекательный тред в Facebook с участием сотрудников Тинкофф Банка, из которого можно сделать вывод, что выписки всех клиентов доступны на сайте банка без аутентификации — по «секретным» ссылкам.
Осталось подождать, пока кто-нибудь угадает паттерн или перебором составит список страниц с выписками, после чего выложит их на Хабр или скормит поисковикам. Время купить попкорн еще есть.
А пока можно почитать о том, как «Яндекс» индексировал (+1) SMS пользователей сайта «Мегафона» и покупателей секс-шопа.
* * *
(добавлено 25 августа в 12:50)
Тинькофф Банк заверил в безопасности ссылочной авторизации для выписок (болдом — вопросы Роем):
Почему выбрали такой метод доставки, а не размещение выписки в теле письма или в аттаче? (ведь, помимо прочего, размещение в письме гарантирует неизменность после доставки, а на сервере вы можете менять постфактум)
В последнее время участились случаи компрометации публичных почтовых сервисов. Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.
В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.
При этом у нас настроены рейт-лимиты (время жизни ссылки по выписке, допустимое количество открытий с одного устройства или одного ip-адреса и т. д.), значение которых выбрано, исходя из удобства и обеспечения безопасности для конечного пользователя.
При соблюдении элементарных мер предосторожности (в частности, проверка личной почты только с персонального устройства без передачи его впоследствии третьим лицам) риски компрометации пользовательской информации при данном способе доставки выписки минимальны.
При этом любой клиент может отписаться от рассылки в письме и сформировать выписку за любой период самостоятельно в мобильном или интернет-банке. Более того, любой клиент может отказаться от отправки выписок на email, ограничившись лишь бумажными выписками по почте.
Почему уникальный id в URL документа не хуже пароля от почты (может быть с т.з. криптографии и вероятности подбора)?
Ссылка устойчива к взлому и перебору: она каждый раз уникальна в отличие от пользовательских паролей почты, которые зачастую не меняются в течение продолжительного периода времени. Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.
<!--
* * *
-->
