Как я обнаружил проблемы у ЮМани (Сбербанк) с безопасностью и не получил денег за найденную уязвимость

info@vsetut.pro

Стать автором

Вернуться

18.09.2024 06:49:12 | Хабр

Хабы: Информационная безопасность, Финансы в IT

Как известно, в России почти каждая первая финансовая организация позиционирует себя как софтверную IT‑компанию, а не просто как «банк» или «платежная система». Сегодня речь пойдет о ЮМани — подразделении Сбера, IT‑гиганта всея руси.

До того, как ЮМани стал тем, чем он сейчас является, сервис долгое время существовал как продукт Яндекса под названием Яндекс.Деньги — в те времена у меня был очень приятный опыт взаимодействия с техническим руководством компании, я неоднократно (будучи security researcher'ом) сообщал им об уязвимостях, а они, в свою очередь, оперативно это исправляли, давали обратную связь и вознаграждали за такую работу, аналогично тому, как это делали и зарубежные крупные IT‑компании в рамках взаимодействия с white‑hat хакерами. Такая вот IT‑компания здорового человека. Но с тем, как Сбербанк поглотил Яндекс.Деньги и провёл ребрендинг, проект стал превращаться, скорее, в IT‑компанию курильщика: взаимодействовать с представителями проекта в соц. сетях стало практически невозможно, какие‑либо данные на страницах о Bug Bounty программах были удалены и даже ни одного email‑адреса не оставили в качестве средства связи для сообщения об уязвимостях.

Пару месяцев назад я обнаружил уязвимость в сервисе ЮМани (о ней чуть позже) и сразу же решил сообщить о ней. Однако никаких релевантных этому форм связи, email‑адресов и т. д. я не обнаружил — способов безопасно сообщить о такой уязвимости элементарно не было на официальном сайте сервиса. Я попытался связаться с людьми, работающими в ЮМани, однако, опять же, я не получил никакой обратной связи. На этом моменте я, что называется, «забил», в надежде, что ошибку исправят и без меня, ведь не может же такая дырень оставаться незамеченной долго, правда? Спойлер: может.

Подробнее

Читайте также

Intel получит $3 млрд на производство чипов для Пентагона
18.09.2024 06:45:00 | ferra.ru

Простая латиница для русского языка
18.09.2024 06:15:54 | Хабр

Есть ли код в No-code?
18.09.2024 06:09:52 | Хабр

История: Опыт работы в нефтегазовой отрасли
18.09.2024 06:00:50 | Хабр

Apple отозвала иск к разработчикам хакерского ПО из-за собственных рисков
18.09.2024 06:00:00 | ferra.ru

[Перевод] Искусственный интеллект переубеждает сторонников теорий заговоров
18.09.2024 05:33:20 | Хабр

Сайт интернет-магазина не конвертит — опять обвиним маркетплейсы, или будем решать проблемы?
18.09.2024 05:17:04 | Хабр

Перечислены напитки и продукты, которые помогают поддерживать водный баланс при болезни
18.09.2024 05:15:00 | ferra.ru

о1: почему новая GPT от OpenAI — это не хайп, а переход к новой парадигме в ИИ
18.09.2024 05:00:33 | Хабр

Учёные обнаружили, что сон на выходных снижает риск развития болезней сердца на 20%
18.09.2024 04:30:00 | ferra.ru

Конфигурирование DHCPv6 и SLAAC в IPv6-сетях
18.09.2024 04:15:25 | Хабр

Названы лучшие продукты, которые нужно есть, когда вы достигли плато в похудении
18.09.2024 03:45:00 | ferra.ru

Врач объяснила, почему бобовые — натуральный суперпродукт
18.09.2024 03:00:00 | ferra.ru

Intel приостановит строительство заводов в Европе и сократит траты на производство
18.09.2024 02:15:00 | ferra.ru

Доказано: вейпинг вредит мозгу студентов
18.09.2024 01:30:00 | ferra.ru

Педиатр рассказал, безопасны ли батуты для здоровья детей
18.09.2024 00:45:00 | ferra.ru

Диетологи назвали добавки, которые облегчают боли при месячных
18.09.2024 00:00:00 | ferra.ru

«Додо Пицца» не выдержала натиска фанатов Genshin Impact
17.09.2024 23:23:49 | ferra.ru

Как я поднимал качество продукта в IT-стартапе
17.09.2024 23:20:24 | Хабр

VK начнёт платить блогерам процент от рекламы
17.09.2024 23:17:24 | ferra.ru

Раскрыт лучший вечерний перекус при резистентности к инсулину
17.09.2024 23:15:00 | ferra.ru

Российские учёные оценили влияние атомной энергетики на человечество
17.09.2024 23:12:37 | ferra.ru

Установка RuAntiblock с помощью скрипта (модуль для OpenWRT) для полного обхода блокировок в том числе Ютуба
17.09.2024 23:09:27 | Хабр

Учёные ПНИПУ нашли способ сделать авиа детали более «выносливыми»
17.09.2024 23:02:44 | ferra.ru

Роботизацию российских компаний проспонсируют на 350 млрд рублей
17.09.2024 22:55:18 | ferra.ru

Звездная сеть и 445 миллиардов, небезопасные киберпространства России, и глобальный контроль над ИИ
17.09.2024 22:53:05 | it-world

Названо число программистов в России
17.09.2024 22:45:07 | ferra.ru

Росатом завершил наладку уникального модуля по производству ядерного топлива
17.09.2024 22:34:04 | ferra.ru

Российские учёные изучили возможность переработки мусора в биореакторах
17.09.2024 22:32:40 | ferra.ru

Названы продукты с самым большим количеством клетчатки
17.09.2024 22:30:00 | ferra.ru

Исследование: заболевшие Альцгеймером получают частичный иммунитет от рака
17.09.2024 22:25:12 | ferra.ru

Путин подчеркнул роль технологий в укреплении суверенитета России
17.09.2024 22:17:41 | ferra.ru

«Яндекс» разработал ПО для создания маршрутов курьеров небольших компаний
17.09.2024 22:16:11 | ferra.ru

VK запустил сервис работы с ИИ для «чайников»
17.09.2024 22:08:15 | ferra.ru

Российские учёные научились создавать сложные детали из карбида кремния
17.09.2024 21:52:44 | ferra.ru

Смотреть все

НОВОСТИ

Названы десять поломок, которые водители готовы починить сами
28.03.2026 14:30:00 | За рулем

В российском городе прогремели сильные взрывы
19.03.2026 03:44:02 | Lenta.ru

Экс-глава контртеррористического центра: активист Кирк был против войны с Ираном
19.03.2026 03:42:54 | ТАСС

МВД Катара: спасатели продолжают бороться с огнем в Рас-Лаффане
19.03.2026 03:41:17 | ТАСС

Дмитриев заявил, что Рютте опасается недовольства Трампа
19.03.2026 03:41:03 | Life.ru

Россиянин погиб при атаке ВСУ на Севастополь
19.03.2026 03:40:00 | Lenta.ru

Один человек погиб и два пострадали из-за атаки ВСУ на Севастополь
19.03.2026 03:39:00 | ТАСС

В Москве показали модуль для радиосвязи даже в заглубленном пункте управления
19.03.2026 03:38:41 | ТАСС

Ещё в двух аэропортах России ввели план «Ковёр»
19.03.2026 03:38:14 | Life.ru

Вероятность начала Трампом наземной операции в Иране оценили
19.03.2026 03:37:07 | Lenta.ru

КСИР заявил об ударах по американским военным базам в Кувейте, ОАЭ и Бахрейне
19.03.2026 03:37:00 | Российская Газета

Иран заявил о ракетном ударе по саудовскому НПЗ в Янбу на Красном море
19.03.2026 03:34:50 | Life.ru

США допустили отправку тысяч солдат на Ближний Восток
19.03.2026 03:34:38 | Lenta.ru

В России появился ГОСТ на системы ИИ в сфере здравоохранения
19.03.2026 03:33:45 | ТАСС

Дмитриев допустил рост цен на нефть до 200 долларов за баррель
19.03.2026 03:30:55 | Life.ru

Россиянин описал Мозамбик словами «одиночные прогулки ночью — плохая идея»
19.03.2026 03:30:30 | Lenta.ru

Пожар в московском бизнес-центре Turas полностью потушили
19.03.2026 03:28:57 | Life.ru

В Абу-Даби приостановили работы на комплексе Habshan после атаки Ирана
19.03.2026 03:27:11 | Life.ru

Reuters: США могут направить дополнительно тысячи военных на Ближний Восток
19.03.2026 03:25:59 | ТАСС

Воздушную тревогу отменили в трех регионах Украины
19.03.2026 03:19:47 | ТАСС

В ГД предложили разрешить привязывать полис ОСАГО не к автомобилю, а к водителю
19.03.2026 03:19:37 | ТАСС

Пушков заявил, что поведение США — это проклятие глобальной сверхдержавы
19.03.2026 03:19:03 | Life.ru

В США идет следствие по делу экс-начальника контртеррористического центра Кента
19.03.2026 03:19:00 | Российская Газета

Назван самый уродливый в мире военный самолет
19.03.2026 03:18:26 | Lenta.ru

Японский индекс Nikkei падает на 2,6% на открытии на фоне ситуации на Ближнем Востоке
19.03.2026 03:15:56 | ТАСС

Японский индекс Nikkei падает на открытии из-за ситуации на Ближнем Востоке
19.03.2026 03:15:56 | ТАСС

Расчёты ПВО отражают атаку БПЛА ВСУ на промзону Невинномысска
19.03.2026 03:14:34 | Life.ru

Подполковник Дэвис: Иран удивил американцев общественной реакцией на атаки
19.03.2026 03:10:00 | Российская Газета

Россияне, достигшие 80 лет в марте, получат в апреле увеличенную пенсию
19.03.2026 03:08:51 | ТАСС

«Динамо» уступило «Спартаку», но пробилось в финал Кубка России
19.03.2026 03:07:29 | Life.ru

Мурадов: Украина используется как режим-наемник в борьбе с Россией
19.03.2026 03:06:47 | ТАСС

Мурадов: Украину используют как режим-наемник в борьбе с Россией
19.03.2026 03:06:47 | ТАСС

На Чукотке стартовала самая протяженная гонка на оленьих упряжках
19.03.2026 03:03:57 | ТАСС

Эксперт Киселев: освобождение ВС РФ Гришино откроет дорогу на Доброполье
19.03.2026 03:03:04 | ТАСС

Тигра-людоеда поймали живьем
19.03.2026 03:00:34 | Lenta.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro