Свежие посты   По годам   По датам
  • 08 Сентября 2015 » Мелочное мошенничество и повышение осведомлённости
    “Полюбить так королеву, а украсть - так миллион!” - не самый удачный девиз для мошенников. Конечно, одна крупная успешная афера может обеспечить индивидуума до конца дней, но и внимание со стороны пострадавшей стороны и органов правопорядка будет совсем иным. Такие преступления готовить надо так, чтобы не осталось ни единой зацепки, ни единой улики, что сложно. Альтернативный вариант - множество мелких мошенничеств, обычно простых в исполнении, но самое главное - незаметных или некритичных для пострадавшей стороны. Например, среди специалистов известен (непубличный) случай в одной ритейловой сети, когда установленное на кассовых терминалах вредоносное ПО добавляло в чек покупателям незначительные дополнительные суммы, отправлявшиеся к злоумышленникам. Технические детали в СМИ не публиковались, но сейчас речь и не про них, а про незаметность: покупатели долгое время даже не замечали самого факта мошенничества. Оно и понятно: заметить среди двух десятков позиций одну с неправильной суммой без специального изучения крайне сложно. А даже если и так - будет ли кто-то всерьёз разбираться с, например, одиннадцатью рублями? Вирусы шифровальщики тоже чаще всего требуют небольшие суммы в расчёте на то, что жертве будет проще и быстрее заплатить, чем решать проблему иным способом. Более того, когда сумма ущерба мала (до 1000 рублей согласно ст. 7.27 КоАП РФ), даже уголовная ответственность не наступает. Поэтому в случае заражения нескольких компьютеров в сети организации злоумышленникам важно суммарно не перейти этого минимального порога - стратегически выгоднее спустя некоторое время повторить атаку на ещё несколько компьютеров, чем рисковать уголовным сроком. В известных мне случаях на некоторых предприятиях злоумышленники  именно так и поступали, оставаясь безнаказанными. Наконец, незначительность потенциального ущерба притупляет бдительность тех, в чьи обязанности входит предупреждение мошенничеств, да и сами системы обычно настраиваются так, чтобы иметь некий минимальный порог срабатывания, до которого контроль упрощён или вовсе отсутствует. Чужой банковской карточкой вряд ли получится оплатить крупную попытку, а вот воспользоваться ей в сети быстрого питания, особенно если там стоят автоматы для самостоятельного заказа, поддерживающие PayPass и payWave, проще простого. Проверено неоднократно =) Главная сложность мелкого мошенничества - в необходимости обеспечения его массовости, иначе овчинка не будет стоить выделки. Ну, а массовость возможна только при наличии достаточного количества жертв, общий уровень грамотности таков, что позволяет им такими жертвами становиться. Повышение осведомлённости, таким образом, может вполне оказаться гораздо более эффективной мерой, чем дорогостоящие технические средства, настроенные на поимку “крупной рыбы”. Жаль только, что в кризис одной из наиболее часто урезаемых статей бюджета становятся как раз затраты на обучение. Тем приятнее, что со стороны государственных ведомств ведётся деятельность по повышению осведомлённости, в том числе и среди детей, будущих активных пользователей: Памятки Управления "К" МВД Проект Роскомнадзора "Персональные данные Дети" Изображение

  • 07 Сентября 2015 » (уязвимость) Fiat Chrysler отозвала 7810 внедорожников в связи с уязвимостью в ПО
    Брешь позволяла удаленному пользователю перехватить управление машиной. В пятницу, 4 сентября, компания Fiat Chrysler добровольно отозвала 7810 внедорожников собственного производства. Причиной этому стала обнаруженная во встроенном ПО уязвимость, позволяющая удаленному пользователю перехватить управление машиной. Наибольшее число отозванных машин пришлось на внедорожники Jeep Renegade 2015-го года выпуска. Эти модели оснащены бортовым компьютером с 6,5-дюймовым сенсорным дисплеем. В настоящее время компанией не зарегистрировано ни единого случая, когда вследствие эксплуатации уязвимости водителям был причинен ущерб. Специалисты Fiat Chrysler заверили покупателей в сложности эксплуатации бреши. По их словам, успешный перехват управления требует значительных технических навыков и длительного пребывания злоумышленника рядом с целевым автомобилем. Помимо этого, написание рабочего эксплоита занимает достаточно много времени. Напомним, что в июле нынешнего года Fiat Chrysler отозвала 1,4 млн машин в связи с обнаруженной в телематическом ПО UConnect уязвимостью. Брешь, продемонстрированная на выставке Black Hat исследователями безопасности Чарли Миллером (Charlie Miller) и Крисом Валасеком (Chris Valasek), позволяла удаленному пользователю перехватить управление автомобилем. Источник </div>

  • 07 Сентября 2015 » (уязвимость) Автономный автомобиль можно обмануть, используя лазерную указку и компьютер Raspberry Pi
    Исследователь в области безопасности Джонатан Петит (Jonathan Petit) обнаружил, что оптические дальномеры (LIDAR), используемые в автономных автомобилях, легко могут быть введены в заблуждение с помощью простой установки, включающей маломощный лазер и контроллер, в качестве которого можно использовать, например, одноплатный компьютер Raspberry Pi. Установка формирует импульсы, которые LIDAR принимает за отражения от объектов. В результате у электроники, управляющей автономным автомобилем, создается ложное представление о наличии препятствий, таких как другие транспортные средства, стены и люди. Необходимые импульсы хакер записал, используя серийный LIDAR IBEO Lux. Сложная часть, по его словам, заключается в том, чтобы синхронизировать сигналы от автономного автомобиля с «отражениями», воспроизводимыми установкой. Лазерные дальномеры используются для обнаружения объектов на больших дистанциях. Как утверждает Петит, ему удавалось создать иллюзию присутствия машины, стены или пешехода на расстоянии от 20 до 350 метров до автономного автомобиля, причем технически нет сложности в формировании большого количества объектов и имитации их движения. Атака удавалась с расстояния до 100 метров, с разных направлений. Взломщик отмечает, что ему даже не приходилось точно нацеливаться на автономный автомобиль. «Загрузив» систему автономного автомобиля большим количеством ложных объектов, можно лишить ее возможности следить за настоящими объектами. Исследование Петита, которое будет представлено на ноябрьской конференции по компьютерной безопасности Black Hat Europe, показывает, что создателям автономных автомобилей еще есть над чем поработать, прежде чем выпускать свои детища на дороги. Источник

  • 01 Сентября 2015 » Взгляд Gartner на рынок UTM в 2015 году
    На прошлой неделе вышел свежий Gartner Magic Quadrant для UTM (Unified Threat Management) за 2015 год. Изменений по сравнению с прошлым год не сказать, что особо много, но они есть. Рассмотрим кратко основные. [caption id=”attachment_7429” align=”aligncenter” width=”607”] Magic Quadrant for Unified Threat Management 2015 (G00269677)[/caption] Fortinet продолжает оставаться безоговорочным лидером, а Check Point уверенно удерживает второе место. Но это в мировом масштабе, в России же официальная судьба первого покрыта туманом: никаких публичных пресс-релизов после получения сертификатов ФСТЭК год назад компания на сайте не публиковала, а вот дела у второго вендора (со штаб-квартирой в Тель-Авиве) на волне американоимпортозамещения, явно идут гораздо веселее. Dell и WatchGuard покинули квадрант Лидеров и разошлись по двум другим: Dell - в Претенденты, WatchGuard - в Провидцы. Компания Cyberoam стала подразделением Sophos и их две точки на картинке слились в одну - в числе Лидеров. Cisco и Juniper своих позиций в квадранте Претендентов принципиально не поменяли, а вот Stormshield (результат слияния NETASQ и Arkoon), подававший в своё время надежды, перемещён из квадранта Провидцев в квадрант Нишевых игроков. Вот так выглядел данный квадрат год назад, можно посмотреть на изменения более детально: [caption id=”attachment_5775” align=”aligncenter” width=”607”] Magic Quadrant for Unified Threat Management 2014 (G00261973)[/caption] Подробнее про понятие UTM и основных вендоров можно почитать в этих постах: Это (ино)странное слово UTM, ZLONOV.ru UTM… как это по-русски?, ZLONOV.ru Описание сути квадрантов (Лидеры, Провидцы, Нишевые игроки и Претенденты) приводил вот здесь. Обширная подборка других квадратов Gartner по-прежнему по этой краткой ссылке: http://bit.ly/zlonov-MQ

  • 28 Августа 2015 » (уязвимость) Endress+Hauser закрывает бреши в десятках ICS-продуктов
    Критическая уязвимость, доступная удаленно и приводящая к полному зависанию системы, присутствует в библиотеке Device Type Manager, используемой многими АСУ ТП немецкой компании Endress+Hauser. Продукция компании используется многими компаниями, относящимися к секторам критической инфраструктуры. Библиотека DTM разработана другой компанией, CodeWrights, выпустившей новую версию, в которой брешь была устранена. «Александр Большев и Светлана Черкасова из Digital Security обнаружили уязвимость, вызванную некорректной обработкой входящих данных и присутствующую в библиотеке HART Device Type Manager (DTM), разрабатываемой компанией CodeWrights GmbH и используемой в HART-оборудовании Endress+Hauser, — говорится в бюллетене ICS-CERT. — Уязвимость способна приводить к переполнению буфера с последующим сбоем в работе базового FDT-приложения (Field Device Tool). Для восстановления штатной работы системы требуется перезагрузка базового приложения. Базовое приложение используется в основном для проведения удаленной настройки. Эксплойт этой уязвимости не приводит к утере информации или контроля над системой, использующей HART-устройства на базе петель уровня 4—20 мА». Для эксплойта уязвимости атакующему понадобится послать специально созданный пакет на уязвимое устройство, однако в бюллетене ICS-CERT говорится, что разработка рабочего эксплойта будет весьма затруднительна. «Это достаточно сложная уязвимость. Разработать для нее рабочий эксплойт будет нелегкой задачей. Для эксплойта понадобится получить доступ к каналу, по которому пакеты передаются приложению. К тому же для того, чтобы привести к сбою в работе приложения, потребуются четко согласованные по времени действия. Все эти факторы делают эксплойт уязвимости крайне сложным», — говорится в бюллетене. Endress+Hauser выпустила программное обновление для своей продукции, которое ее клиенты могут скачать с веб-сайта компании. Источник

  • 26 Августа 2015 » Партнёрская конференция ИнфоВотч в Армении
    В конце лета компания ИнфоВотч проводила для своих партнёров третью ежегодную конференцию, местом проведения которой в этот раз была выбрана Армения. Для меня это был один из тех редких случаев, когда я где-то участвовал не как блогер, и чуть ли не второй раз, когда на партнёрском мероприятии присутствовал не со стороны организаторов. Как известно, что происходит в Вегасе Армении, остаётся в Армении, поэтому я не буду раскрывать, что означает: “Чёч!”, почему Александр известен теперь как Бочелли, чем именно запомнились бус-пати и кого приняла в свои ряды и какая диаспора =) Вместо этого хочу кратко рассказать о тех новинках ИнфоВотч, про которые нам рассказывали, и немного о самой стране. Прежде всего, наверное, надо упомянуть новую версию флагманского продукта InfoWatch Traffic Monitor 6.0. Думаю, подробный обзор коллеги ещё представят, мне же показались самыми интересными из новых возможностей - контроль облачных хранилищ, контроль тонких клиентов (Microsoft RDP и Citrix) и, конечно, модуль Device Monitor Mobile для контроля web-трафика телефона, SMS, камеры телефона и т.п. Модуль Device Monitor Mobile будет представлен для Android и iOS с джейлбрейком. Ну, а самая любопытная новинка - это, пожалуй, своя собственная сота Mobile Traffic Monitor для перехвата вообще всего (голос, трафик, SMS) в радиусе её действия даже для устройств сотрудников без агента. Полный список изменений гораздо больше: белые/чёрные списки приложений, новые каналы перехвата, поддержка СУБД PostgreSQL, улучшенные технологии анализа и многое другое. Ждём официального релиза. InfoWatch EndPoint Security получил новую редакцию Insight Edition - некий ответ со стороны ИнфоВотч разработчикам “программ-следилок”, гордо именующих себя DLP по поводу и без. Цель этого продукта - предоставить (прежде всего руководству) удобный инструмент для контроля и принятия взвешенных управленческих решений. Достаточно понятные и информативные отчёты выглядели любопытно (показывали демо-версию). Продукт в большей степени ориентирован на SMB-сегмент и своих заинтересантов, полагаю, найдёт, особенно с учётом возможности проведения у заказчика бесплатной тестовой диагностики в течение ознакомительного периода. Совсем кратко был представлен InfoWatch Automation System Advanced Protector (ранее назывался InfoWatch Automated System Protector, а ещё ранее - АПК «ЩИТ»). Тема безопасности промышленных систем автоматизации и управления сейчас высоко актуальна, так что интерес к ней со стороны вендора понятен. К слову, могу порекомендовать вот эту подборку материалов по тематике ИБ АСУ ТП. Ну, и наконец, был представлен комплекс для защиты от таргетированных атак InfoWatch Attack Killer в составе: Targeted Attack Detector AntiDDoS WAF - Web Application Firewall DAST и SAST - Dynamic и Static Application Security Testing При запуске Attack Killer ИнфоВотч вполне оправданно идёт по OEM-пути, выпуская под новым брендом внешние продукты и продукты своей группы компании: Qrator, Wallarm, Appercut, Cezurity. [box type=”info” style=”rounded”]UPD. 28.08.2015 Во избежание двоякости восприятия поясню: Qrator, Wallarm - внешние продукты, Appercut, Cezurity - продукты ГК ИнфоВотч.[/box] В целом, по итогам конференции могу сказать, что ИнфоВотч выглядит как успешная компания с интересным диверсифицированным портфелем решений и обширной активной партнёрской сетью. Подробнее про новинки, полагаю, можно будет узнать на BIS-Summit 2015, куда пока регистрация ещё, как я вижу, открыта. Что же касается места проведения, то Армения прекрасна и организаторы позволили в этом убедиться лично. На иллюстрации к этому посту фотография храма в Гарни, больше фотографий можно посмотреть в моём альбоме в Facebook, плюс ещё некоторые фото публикую в Instagram. Некоторые факты об Армении, которые мне показались любопытными: Первой страной, принявшей христианство в качестве государственной религии, стала Армения в 301 году. Гора Арарат, которая является символом Армении и изображена на гербе страны, расположена не в Армении. Территория горы отошла к Турции в 1921 году. Армяне любят играть в шахматы, более того, в школах есть обязательные уроки шахмат. Армян в Армении проживает в два с половиной раза меньше, чем вне её пределов. Если население самой страны составляет 3 миллиона человек, то представителей армянской диаспоры во всем мире более семи миллионов. При возможности обязательно побывайте в Армении, ну и к продуктам ИнфоВотч тоже при случае присмотритесь ;-)

  • 19 Августа 2015 » (уязвимость) Благодаря Positive Technologies устранены опасные уязвимости в SCADA-системах Siemens и Schneider Electric
    Специалисты Schneider Electric советуют пользователям как можно скорее установить существующие обновления безопасности. Эксперт Positive Technologies Илья Карпов обнаружил и помог устранить уязвимости в продуктах, предназначенных для построения систем автоматизации в различных отраслях, от нефтехимических заводов до электростанций. Илья выявил проблему хранения паролей в открытом виде в системах компании Schneider Electric — InTouch Machine Edition 2014 (версия 7.1, Service Pack 3, Patch 4) и InduSoft Web Studio (7.1.3.4), а также в их предыдущих версиях. Уязвимость, которая получила идентификатор CVE-2015-1009 и базовую оценку 6,4, нельзя использовать удаленно, однако внутреннему злоумышленнику достаточно низкой квалификации для ее эксплуатации. Специалисты Schneider Electric советуют пользователям как можно скорее установить существующие обновления безопасности (патч для InTouch Machine Edition 2014, патч для InduSoft Web Studio) и ограничить физический доступ персонала к этим системам в целях снижения потенциальной угрозы разглашения конфиденциальной информации со стороны внутренних злоумышленников. Кроме того, в июле компания Siemens выпустила специальный апдейт к апрельскому бюллетеню, в котором поблагодарила Илью Карпова за обнаружение опасной и очень простой в использовании уязвимости, угрожающей безопасности целого ряда решений на базе Siemens SIMATIC: SIMATIC HMI Basic Panels 2nd Generation — все версии до WinCC (TIA Portal) V13 SP1 Upd2; SIMATIC HMI Comfort Panels — все версии до WinCC (TIA Portal) V13 SP1 Upd2; SIMATIC WinCC Runtime Advanced — все версии до WinCC (TIA Portal) V13 SP1 Upd2; SIMATIC WinCC Runtime Professional — все версии до WinCC (TIA Portal) V13 SP1 Upd2; SIMATIC HMI Basic Panels 1st Generation (WinCC TIA Portal) — все версии до WinCC (TIA Portal) V13 SP1 Upd4; SIMATIC HMI Mobile Panel 277 (WinCC TIA Portal) — все версии до WinCC (TIA Portal) V13 SP1 Upd4; SIMATIC HMI Multi Panels (WinCC TIA Portal) — все версии до WinCC (TIA Portal) V13 SP1 Upd4; SIMATIC WinCC V7.X — все версии до V7.3 Upd4; SIMATIC PCS 7 — все версии до V8.1 SP1. Ошибка CVE-2015-2823 с оценкой 6,8 дает возможность локально и удаленно пройти аутентификацию на сервере с помощью хеш-функции пароля пользователя. Пароль при этом знать не обязательно. Компания Positive Technologies одной из первых стала исследовать вопросы безопасности систем промышленной автоматизации, сотрудничая с ведущими производителями АСУ ТП (SCADA). В 2012 году было представлено масштабное исследование «Безопасность промышленных систем в цифрах». Год спустя в лаборатории Positive Technologies создали стенд Choo Choo Pwn — модель игровой железной дороги, все элементы которой — поезда, шлагбаумы, светофоры — контролируются с помощью АСУ ТП, собранной на основе трех SCADA-систем. Эксперты компании регулярно проводят тематические вебинары и выступают на ведущих международных конференциях по информационной безопасности. В 2015 году одним из самых зрелищных элементов соревновательной программы форума PHDays V стал конкурс, участники которого должны были захватить контроль над промышленной системой управления, связанной с ракетной установкой, и произвести выстрел по «секретному объекту». А конкурс Choo Choo Pwn в этом году стал еще более реалистичным: как и в реальном мире, участникам нельзя было отправить команду, которая приведет к аварии: логика, обеспечивающая безопасность движения, не позволяла этому произойти, — и целью соревнования стал взлом целого комплекса средств, обеспечивающих безопасность транспорта. Все необходимые проверки на наличие недостатков безопасности, выявленных в программном обеспечении Siemens SIMATIC, добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol. Часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний. Источник </div>

  • 18 Августа 2015 » (уязвимость) ICS-CERT предупредила организации о наличии уязвимостей нулевого дня в SCADA-системах
    Эксплуатация брешей позволяет злоумышленникам получить контроль над уязвимым устройством. Команда экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT опубликовала предупреждение для всех организаций о наличии критических уязвимостей в человеко-машинных интерфейсах SCADA-систем (Human-machine interface, HMI).Некоторые уязвимости в линейке SCADA-систем до сих пор не исправлены, несмотря на то, что данные о брешах были раскрыты ИБ-экспертом из Elastica Адитья К. Судом (Aditya K. Sood) на конференции Def Con еще две недели назад. Суд выделил следующие проблемы: незащищенная система аутентификации, слабое шифрование, возможность подделки межсайтовых запросов и прочие недостатки, влияющие на работу HMI-модулей. Подверженные брешам HMI-модули были разработаны такими компаниями, как Moxa, Prisma, KACO, Rockwell Automation, Schneider Electric и Siemens. Web-интерфейсы Rockwell Automation 1766-L32BWAA/1766-L32BXBA/1769-L18ER/A содержат уязвимости, позволяющие удаленное включение файла, а программируемый логический контроллер LOGIX5318ER – XSS-бреш. Уязвимости в продуктах KACO возникают из-за жестко закодированных учетных записей. Суд также выяснил, что пароли к человеко-машинным интерфейсам Prisma недостаточно защищены. Проэксплуатировав уязвимость подделки межсайтовых запросов, неаутентифицированный атакующий может обновить конфигурацию устройств. Schneider Electric Modicon M340 PLC Station P34 подвержен брешам, возникающим из-за жестко закодированных учетных записей, и уязвимостям, позволяющим удаленное/локальное включение файла. Бреши могут быть проэксплуатированы хакерами для осуществления DoS-атак и удаленного выполнения кода. Контроллер Moxa ioLogik E2210 Ethernet Micro RTU содержит три уязвимости, позволяющие атакующему получить несанкционированный доступ к человеко-машинному интерфейсу. ICS-CERT также опубликовала ряд рекомендаций по минимизации угроз для SCADA-систем, пока все необходимые обновления не будут выпущены. Источник

  • 18 Августа 2015 » (уязвимость) Баги в оборудовании Schneider Electric остаются открытыми
    Спустя почти две недели с момента их разглашения на DEF CON уязвимости в SCADA-оборудовании Schneider Electric остаются непропатченными. В конце прошлой недели группа экстренного реагирования на кибератаки против промышленных систем управления (Industrial Control System Cyber Emergency Response Team, ICS-CERT) издала оповещение о ситуации со Schneider Electric. В настоящий момент организация занята анализом патчей совместно с Адитией Судом (Aditya K. Sood), обнародовавшим уязвимости на DEF CON. Суд заявил, что решение об издании предупреждения было принято после его выступления в Лас-Вегасе, во время которого он раскрыл подробности уязвимостей в программном обеспечении интерфейса оператора модуля Modicon M340 PLC Station P34. Интерфейс оператора используется для визуализации автоматизированных процессов и позволяет администраторам управлять инфраструктурой при помощи одного экрана или нескольких экранов. Уязвимость кроется в модулях, поддерживающих функцию Factory Cast Modbus. «Предупреждение основано на информации из моего выступления на DEF CON, однако есть высокая вероятность того, что атакующие уже используют эти уязвимости в течение какого-то времени», — заявил Суд. Он передал в Schneider Electric отчет и PoC-код для двух удаленно доступных уязвимостей и для одного связанного с ними бага, требующего локального эксплойта. Одна из этих уязвимостей — вшитая учетная запись, о которой, по словам представителей ICS-CERT, им было известно еще до выступления Суда. Суд же заявил, что ему неизвестно, была ли она удалена после обсуждения разработки патча. Две другие уязвимости, удаленное (remote file inclusion, RFI) и локальное включение файлов (local file inclusion, LFI), могут быть использованы либо в ходе фишинговых атак с использованием специально созданной URL-ссылки, либо же при наличии у атакующего физического доступа к программному обеспечению. «Опасность ситуации в том, что злоумышленник может атаковать пользователей или администраторов SCADA-системы при помощи URL-ссылки, которая, будучи кликнута, исполнит код, хранящийся на стороннем домене, — заявил Суд. — Таким же образом и локальный файл может быть скачан при помощи LFI-атаки, однако хочу заметить, что в подобных случаях RFI куда опаснее» Схожая RFI-уязвимость была обнаружена в веб-интерфейсах Rockwell Automation 1766-L32BWAA/1766-L32BXBA, программируемых логических контроллерах, используемых на многих предприятиях. «Уязвимости включения файлов достаточно просто пропатчить, но это зависит от ICS-вендоров», — заявил Суд. Ранее в этом году Rockwell усилила ненадежную защиту паролей в интерфейсе оператора RSView32, в котором для защиты паролей использовался устаревший криптографический алгоритм. Источник

  • 17 Августа 2015 » Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью
    В прошлом месяце я описывал потенциальную уязвимость в сервисе по рассылке ежемесячных выписок Банка Тинькофф. Кратко напомню, что суть состояла в том, что на странице, куда переходил пользователь из письма от банка, присутствовали встроенные сервисы рекламы и статистики, которые вместе с пользователем (а ссылка не требовала авторизации и открывалась по простому клику) потенциально могли получить доступ к его pdf-файлу с выпиской (подробнее здесь: Хороший плохой Тинькофф Банк). История, в целом, закончилась хорошо - банк по итогам обращения коллеги из УЦСБ и моей переписки c его официальным аккаунтом в Твиттере благополучно уязвимость исправил (@tinkoff_bank даже теперь на меня подписан в твиттере, что, несомненно, приятно). Единственным нюансом, якобы показывающим ложность найденной уязвимости, был комментарий в Facebook от представителя компании Лаборатории Касперского о том, что настройки на стороне Банка Тинькофф предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. На прошлой неделе мне пришло очередное письмо с ссылкой на ежемесячную выписку и я, даже толком не изучив саму выписку - а вдруг там бонус за помощь в раскрытии уязвимости? =) - первым делом стал проверять доступность ссылки с других устройств. Результаты эксперимента подтвердили справедливость моих опасений. Итак, ссылка в письме имеет вид: http://click.email.tinkoff.ru/?qs=19b5ed2250b0f0f239573633916015835caeb406686ac991dbaeb05216da9d159fee8cf03c43b0df (ссылка нерабочая, так как я её придумал сам, подобрав внешне похожую). После её открытия пользователь оказывался на странице с адресом типа такого: https://www.tinkoff.ru/statement/?ticket=746F5GFADF27B494BA7AB71B1E9DCD7EDC90CD30F808778E031742F8B8C23F554F (ссылка нерабочая, т.к. см. выше). Наконец, на самой странице отрабатывал скрипт, который по ссылке совсем уж сложного вида скачивал PDF-файл. Ссылка на файл получалась примерно такой: https://www.tinkoff.ru/api/v1/statement_file/?sessionid=njGVfr37h8jk96sFii8M4Lz8fm0b90LS.m1-api03&account=9836386326&statementId=987545912&scenario=portal_statement (см. выше) Вторую и третью ссылку (в отличие от той первой, что была в самом письме) должен знать только пользователь, а для сторонних сервисов она, согласно комментарию специалистов ЛК, должна быть нерабочей, так как с их устройств явно не проводилось никакой авторизации в интернет-банке Банка Тинькофф. Тем не менее, скачав и запустив Tor Browser (одно из самых простых и удобных средств для анонимизации себя в сети Интернет) я с лёгкостью убедился, что скормленные ему вторая и даже третья ссылки прекрасно позволяют скачать PDF-файл с выпиской. Для полноты картины добавлю, что Tor Browser запускался в виртуальной машине, установленной на моём ноутбуке, находящемся в это время вместе со мной в другой стране - в Армении на Партнёрской конференции ИнфоВотч (про неё чуть позже отдельно напишу). Из данной виртуальной машины вообще ни разу не осуществлялась авторизация в Интернет-банке Банка Тинькофф, а Tor Browser и вовсе был скачан за пять минут до начала эксперимента. В общем, мне трудно представить, как именно отслеживает Банк Тинькофф те самые устройства, с которых ранее происходил вход. Полная цитата Aleks Gostev в Facebook: "т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки." - на самом деле нет. Мы эту "багу" в первый же день отловили. Там нормальные куки и проверки на авторизацию - так что с другой машины ссылка не работает. Как куки с бразуера хоста попали в куки браузера Tor  Browser виртуальной машины я не знаю. Разве что у меня на ноутбуке уже давно работает троян от Тинькофф? =) Среди клиентов Hacking Team я их не видел, купили у кого-то другого? =) Сейчас уже принципиального значения данный эксперимент не имеет, так как Банк всё исправил. Вернее, он имеет разве что как раз только принципиальное значение - как демонстрация того, что уязвимость была =)