ТКС Банк опроверг информацию о случайной рассылке личных данных клиентов

Читатель ЦП Антон Губарев прислал в редакцию письмо, где описал занятную техническую ошибку, которую якобы допустили специалисты самого технологичного банка «Тиньков Кредитные Системы». Из-за возникшего бага некоторые абсолютно незаинтересованные лица начали получать письма с персональной информацией (в том числе, с паспортными данными) посторонних людей, которые были или собирались стать клиентами банка.

Антон Губарев уточняет, что это не уязвимость, а скорее невнимательность со стороны людей, которые занимались разработкой сайта. Баг касается услуги «Страхование», которая предоставляется в партнёрстве с компанией «Ренессанс». При заполнении анкеты некоторые пользователи вместо своих адресов, очевидно, оставляют какие-то случайные — первое, что приходит им на ум, вроде «sekret@yandex.ru» или «moyemail@mail.ru».

На эти адреса, которыми владеют и пользуются совсем чужие люди, впоследствии отправляются заполненные анкеты, в которых упоминаются и паспортные данные клиентов.



Антон уточняет, что этот коллапс был бы невозможен в том случае, если бы на сайте была включена верификация электронных адресов.

Нет, банк поступил честно. Люди сами вписывали в нужную графу этот наипопулярнейший e-mail (скорее всего, люди просто не обладали ящиком и писали наугад, раз поле-то необходимое), ну а банк «честно» отправлял «им» их заполненную анкету.

Проблема лишь в том, что программисты не удосужились навесить на это дело проверку «один клиент = одно мыло». Ну или систему предварительного создания аккаунта с последующим подтверждением по электронной почте, дабы персональная инфа точно не уходила третьим лицам.

Интересно также описанное Антоном взаимодействие с поддержкой банка.

В самом начале истории, мой товарищ обнаружил пару таких мыл. Далее я (как их клиент) обратился в банк, рассказал всё об этих прелестях, в ожидании того, что мой товарищ за оперативное сотрудничество что-то получит. С нами тут же связался специалист, выпытывая инфу и подробности о баге.

Спустя пару дней нам пообещали, что вручат iPad 2. Осталось только, мол, передать данные — что, собственно, мы и сделали. При формировании письма с подтверждениями и прочими плюшками мы обнаружили, что писем таких в ящике уже сотни. Ну, поскольку мы ребята не совсем бедные и этот старый айпад нам не вперся, мы поговорили о возможности вручения этого айпада деньгами, ну и заодно попробовали поднять сумму.

На это банк отреагировал весьма внезапно — человек, общавшийся с нами, пропал, а на общей почте нас развернули фразой «На текущий момент мы не готовы выплатить какое-либо вознаграждение. В случае изменения решения с вами свяжутся».

К первым числам апреля, по словам Антона, техническая ошибка была устранена.

Представители банка заявили ЦП, что в данной ситуации утечки персональных данных не произошло, а разосланные данные были тестовыми:

ТКС Банк проводил тестовую рассылку по адресам, которые генерировал робот, при этом рассылались тестовые данные, которые ничего общего с персональными данными наших клиентов не имеют. Соответственно, речи об утечке персональных данных наших клиентов не идет.