Тинькофф Банк выложил выписки всех своих клиентов в интернет? (+Тинькофф Банк заверил в безопасности ссылочной авторизации для выписок)

Увлекательный тред ^[1] в Facebook с участием сотрудников Тинкофф Банка, из которого можно сделать вывод, что выписки всех клиентов доступны на сайте банка без аутентификации — по «секретным» ссылкам.

Осталось подождать, пока кто-нибудь угадает паттерн или перебором составит список страниц с выписками, после чего выложит их на Хабр или скормит поисковикам. Время купить попкорн еще есть.

А пока можно почитать о том, как «Яндекс» индексировал ^[2] (+1 ^[3]) SMS пользователей сайта «Мегафона» и покупателей ^[4] секс-шопа.

* * *

(добавлено 25 августа в 12:50)

Тинькофф Банк заверил в безопасности ссылочной авторизации для выписок (болдом — вопросы Роем):

Почему выбрали такой метод доставки, а не размещение выписки в теле письма или в аттаче? (ведь, помимо прочего, размещение в письме гарантирует неизменность после доставки, а на сервере вы можете менять постфактум)

В последнее время участились случаи компрометации публичных почтовых сервисов. Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.

В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.

При этом у нас настроены рейт-лимиты (время жизни ссылки по выписке, допустимое количество открытий с одного устройства или одного ip-адреса и т. д.), значение которых выбрано, исходя из удобства и обеспечения безопасности для конечного пользователя.

При соблюдении элементарных мер предосторожности (в частности, проверка личной почты только с персонального устройства без передачи его впоследствии третьим лицам) риски компрометации пользовательской информации при данном способе доставки выписки минимальны.

При этом любой клиент может отписаться от рассылки в письме и сформировать выписку за любой период самостоятельно в мобильном или интернет-банке. Более того, любой клиент может отказаться от отправки выписок на email, ограничившись лишь бумажными выписками по почте.

Почему уникальный id в URL документа не хуже пароля от почты (может быть с т.з. криптографии и вероятности подбора)?

Ссылка устойчива к взлому и перебору: она каждый раз уникальна в отличие от пользовательских паролей почты, которые зачастую не меняются в течение продолжительного периода времени. Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.

<!--

* * *

^[5]
-->