先日、Tinkoff Bankのクライアント
は興味深い事実を
発見しました -銀行は、顧客口座のお金の動きに関する情報との直接リンクを介して、そのウェブサイトのウェブサイトに声明を投稿しました。 これは情報セキュリティの専門家の監視であり、銀行の秘密の侵害か、彼のトリックで有名なオレグ・ティンコフの別のPRの動きですか?
毎月、Tinkoff Bankの各クライアントは、電子メールで抜粋を受け取ります。これは、口座内のお金の動きに関する情報が添付されたpdfファイルが添付された素敵な手紙です。
ネストされたステートメントの例:
7月末に、レターのレイアウトが少し変更され、銀行はステートメントを含むファイルをレターに添付せず、リンクのみに限定することにしました。
すべては問題ありませんが、リンクは銀行のWebサイト(
https://www.tinkoff.ru 、次のページ)に直接つながります。
www.tinkoff.ru/statement/?ticket=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXいくつかのポイント:
- 64桁のチケットIDを除き、パラメーターはリンクに渡されません。
- リンクには、任意のIPアドレスからアクセスできます。
- リンクからページにアクセスするには、銀行のウェブサイトで個人アカウントにログインする必要はありません。
マジックページを読み込むと、特定のクライアントのステートメントのダウンロードが自動的に開始されます。
銀行の従業員
はこの状況
についてコメントしました 。
UPD :ステートメントページのコードを見ると、組み込みウィジェットを見つけることができます。
-ツイッター
-Facebook
-Youtube
-Google+
-Instagram
明細書を受け取るためにページのアドレスのみを知る必要がある場合、これらのサービスの技術担当者はすでに銀行の顧客の機密データにアクセスできます。
UPD 2:robots.txtの問題コメントでは、Khabravchiansは、電子メール内のリンクがドメインclick.email.tinkoff.ruにつながることに気付きました。この場合、robots.txtは
空です。
抽出自体(pdfドキュメント)は、robots.txtで
閉じられて
いない www.tinkoff.ru/api/v1/statement_fileからダウンロード
されます。
質問は次のとおりです。