Клиент «Тинькоффа» вынудил банк начать платить за поиск ошибок
Один из клиентов Тинькофф Банка опубликовал пост на «Хабрахабре» (ресурс для IT-специалистов) о технической ошибке банка, при помощи которой, по словам автора, можно выявить баланс на чужом счету.
Суть ошибки заключается в том, что при переводе средств с карты на карту на сайте банка (card2card) при недостаточной сумме для транзакции высвечивалось сообщение о том, что средств недостаточно. Как подтверждает скриншот, опубликованный автором поста, это сообщение появлялось до ввода CVC (защитный код на платежной карте, требующийся для онлайн-авторизации) и подтверждения операции. Автор также утверждает, что путем многократного подбора можно было определить верхнюю границу суммы, возможную для перевода, и таким образом узнать баланс карты.
В пресс-службе банка подтвердили, что в течение нескольких дней «была техническая ошибка», подчеркнув, что никакого риска для средств клиента банка она не несла. «Введя номер карты, можно было лишь узнать путем перебора, достаточно ли на ней средств для совершения перевода, — узнать точный баланс карты было невозможно», — сказали РБК в пресс-службе кредитной организации, отметив, что в пятницу «ошибка» была устранена.
Номер карты тоже относится к конфиденциальной информации, хотя не настолько важной, как пин-код или CVC, говорит директор по информационной безопасности «ВТБ Капитала» Андрей Бажин. Клиент сам несет ответственность, если передает номер карты третьим лицам, поэтому безопаснее при пополнении средств передавать номер счета, а не карты, отмечает он.
Замечания клиента, однако, вынудили банк к ответным действиям. В кредитной организации объявили, что в течение месяца будет запущена программа материального поощрения клиентов, нашедших ошибки и сообщивших о них непосредственно компании, не анонсируя общественности такую информацию. Традиционно такие программы называются Bug Bounty. Например, они есть у таких технологичных компаний, как Qiwi, VK и Mail.Ru.
Размер вознаграждения будет варьироваться от нескольких тысяч до нескольких сотен тысяч рублей и будет зависеть от типа сервиса, в котором будет обнаружена ошибка, а также от степени критичности этой ошибки. «Лучшим «охотникам за ошибками» мы предложим работу у нас, так что это еще и потенциальный HR-канал», — сказали в «Тинькоффе».