Необходимо войти или зарегистрироваться

Авторизация

Введите логин, email или номер телефона, начинающийся с символа «+»
Забыли пароль? Регистрация

Новый пароль

Авторизация

Восстановление пароля

Авторизация

Регистрация

Выберите, пожалуйста, ник на пикабу
Номер будет виден только вам.
Отправка смс бесплатна
У меня уже есть аккаунт с ником Отменить привязку?

Регистрация

Номер будет виден только вам.
Отправка смс бесплатна
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Авторизация

Пост

Пост

Как Сбербанк Онлайн сливает данные пользователей

Adelta
Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост

В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост

Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).


Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.


Баннерорезка блокирует часть зловредов.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост
Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.
Как Сбербанк Онлайн сливает данные пользователей Сбербанк онлайн, Защита информации, Скрипт, Видео, Длиннопост

Я даже не обиделся, просто записал видео.

Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.


Суть происходящего в следующем:


1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.


2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.


3) Скрипты могут быть использованы для подмены вводимой информации.


На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.


Началось все с моего форума, но, к сожалению, никакого результата это не дало.


Источник:https://geektimes.ru/post/289577/

261 комментарий
Аватар пользователя Palpat1ne Palpat1ne
+190
Иллюстрация к комментарию
Иллюстрация к комментарию
+190
раскрыть ветку 51
Аватар пользователя zhk0 zhk0
+35
Предпросмотр
+35
раскрыть ветку 8
Аватар пользователя Deathman Deathman
+16
Предпросмотр
Предпросмотр
+16
раскрыть ветку 6
DELETED
0
Комментарий удален. Причина: данный аккаунт был удалён
0
Аватар пользователя VitalyF VitalyF
+65

Видимо ТС несколько лет отсидел за клевету на сбер, но выйдя на свободу всё никак не угомониться

+65
раскрыть ветку 37
Аватар пользователя BatonioAnderans BatonioAnderans
+130

Медленно положи мягкий знак на пол и толкни его в мою сторону

+130
раскрыть ветку 3
JeansTonic
+24

видимо ТС спиздил где-то статью, но не посмотрел на дату написания этой статьи )
одна из проблем интернета, что за десятилетия накопилось столько инфы, что когда находишь, возникает вопрос, а актуальна ли она на текущий момент?

+24
раскрыть ветку 1
Аватар пользователя Hardik Hardik
-2
... никак не МОЖЕТ угомнониться.
-2
aviator
-3
Более того, как злоумышленник зная даже пароль сможет хоть чтото сделать без мобилы пользователя и смс
-3
раскрыть ветку 29
Аватар пользователя faktor faktor
+3

Левый скрин - сейчас интерфейс другой

+3
раскрыть ветку 1
DELETED
+3
Комментарий удален. Причина: данный аккаунт был удалён
+3
Аватар пользователя TheYurnero TheYurnero
0

А что за фильм? Я по-моему пропустил в этой жизни что-то.

0
раскрыть ветку 1
Аватар пользователя Palpat1ne Palpat1ne
0
Сериал "Обмани меня"
0
LiguidCool
+34

Фигня все это. Вы подменили скрипты? А как злоумышленник это сделает? Разве что завирусит ПК и поставит локальный прокс ... Но в таком случае ему пофиг чей скрипт - рутаргета или родной сбера.

Подменит сам Гугл? Ну да, очень оно ему надо. Да даже если и так, то отвечать за утечку будет Сбер.

Другой вопрос, что для таких случаев должно задаваться integrity в тэг.

+34
раскрыть ветку 13
prichomzdes
+14

Согласен с человеком.

Для начала, все эти скрипты маркетинговые и могут использоваться для ремаркетинговых кампаний. Не только чтобы показывать определенную рекламу, но и для того, чтобы НЕ показывать её тем, кто уже клиент банка.

Да, тем же аналитиксом можно легко собирать пароли. Тут вопрос уже о том, у кого есть доступ к ГА сбера и о двухфакторной аутентификации. Но пароли и другая конфиденциальная инфа, так или иначе, хранятся в базе и к ней у кого-то есть доступ.

Кстати, когда я работал в банке, мы одно время собирали телефоны юзеров в ГА - для идентификации. Ребята из гугла связались с нами и настойчиво попросили не делать так. Предложили использовать встроенную опцию ГА для идентификации юзеров. Так что они мониторят кто и что собирает.

Как по мне, бояться стоит всякого рода тулбаров сомнительного происхождения, а не метрики и ГА.

+14
раскрыть ветку 10
Аватар пользователя Ohar Ohar
+10
Вы в общем правы, кроме одного: "пароли хранятся в базе".
У нормально спроектированного ресурса - нет, не хранятся в базе. Вообще нигде не хранятся. Хранятся только их хэши.
+10
раскрыть ветку 9
skonopli
+3
Тоже люто ржал с поста, ну бред же полнейший, по сути если тебе удалось подменить хосты на компьютеры жертвы то ты с легкостью можешь скачать кэш всего хрома например) Автор путает понятие взлома компьютера жертвы и слива данных банком) чистый хайп, как такое дерьмо до гиктаймся дошло непонятно, причем даже там в комментах сплшная чушь и лишь единицы на это обратили внимание. Хотя да, нечего жаловаться, статья только на гиктаймсе а не на хабре)
+3
special4u
+1

Более того, даже зная логин и пароль, как перевести или вывести деньги? Требуется же подтверждение. А для этого придет смс с кодом.

+1
JohnBlacke
+56

Естественно можно перехватить любой ввод с любого сайта и отправить его куда угодно для себя. Для начала объясните каким образом обходится проверка сертификата? Ответ: никаким, это просто бредовая статья.

+56
раскрыть ветку 10
Labian
+10

Два чаю этому господину. Автор поста не слишком то шарит в том что делает, и о каких атаках идёт речь. Более того вводит простой народ в заблуждение своим заголовком. То что на видео показано это подмен скрипта, на скрине все сторонние скрипты имеют защищенный протокол -https(То есть браузер уже намекнет что сертификат не алё). Описываемую атаку теоретически можно провернуть если подменить сертификат в домене, но тогда на кой хрен надо менять скрипты если можно просто подменить страницу?

Ответ от техподдержки норм и объясняет суть на кой там эти скрипты сдались.

Мораль проста, автору лечить навязчивое желание искать баги(данный месье с утра на храбре повесилил). А простым пользователям, если увидят что браузер говорит что сертификат не тот тыкать разорвать соединение.

+10
раскрыть ветку 1
Аватар пользователя Tanc13 Tanc13
+1
Не поста,а статьи на Гитхабе,этот просто копипастер
+1
cadm
+3

Ну, в принципе всегда возможны утечки сертификатов - тот же скандал со startssl возник из-за того, что они выдали сертификаты на чужие домены. Но в общем случае да - если уж на комп умудрились поставить чужой корневой сертификат, то не поставить заодно кейлоггер - просто глупо.

+3
Аватар пользователя slowdream slowdream
-6

ты фронт на стороне пользователя шифровать собрался ?

-6
раскрыть ветку 4
JohnBlacke
+9
Я ничего не собрался делать. С чего бы мне шифровать что-то на стороне пользователя, если SSL работает не плохо.
+9
Аватар пользователя Nice.guy Nice.guy
+4

Автор статьи не пояснил как собирал информацию о введенных данных

+4
раскрыть ветку 2
Аватар пользователя Shegendalf Shegendalf
-18
Ха, с чего бредовая? ТС прав. Причем в каждом слове. Он только что выложил в открытую вектор атаки на любого клиента сбербанка. Подмену сертификата можно организовать, это даже легко. А ну-ка пойду все эти счётчики нахер обрежу в своих сетях офисных.
-18
раскрыть ветку 1
pashek71
+2

Автор говорит, что это делается за 3 минуты, где же тогда сотни жертв?

+2
ещё комментарии
happyofheaven
+9

Господи, я получаю инфу с формы имея рут на комьютере. Я ёбанный гений

+9
раскрыть ветку 1
Аватар пользователя kalyannn kalyannn
0

Когда мне было 9 лет, одноклассник попросил меня дать ему поиграть на комп какую-нить игруху. У меня был дюк нюкем 3д. И дискета на 1.44 мб. Я записал на дискету ярлык. Проверил- все работает. Профит! Да еще и дискета почти полная.

0
Hazzi
+23
Белкиистерички.жпг
Вот фу таким быть - тиснул параноидальную статейку с гиктаймс - и сразу на пикабу за плюсиками. Там же в комментах, если что, всю паранойю развеяли.
Вкратце - подгружаются гугльаналитики и собственные скрипты сбера с цдн по ссл. Вот сильно сомневаюсь, что Гугл денег спиздить хочет.
+23
раскрыть ветку 5
Garganty
+8

Так что, минусомет готовить или нет?

+8
раскрыть ветку 1
Аватар пользователя RLenin RLenin
+7

да

+7
Cholerae
+4

Помогу с картиночкой)

Иллюстрация к комментарию
+4
Аватар пользователя Shegendalf Shegendalf
-9
Дело не в этом, а в том что это не кошерно. Эта дыра. А дыры надо затыкать. Сигнальчик для системного администратора однако.
-9
раскрыть ветку 1
Аватар пользователя SharkShark SharkShark
+2

В чем дыра то?
см: #comment_88409874

+2
ещё комментарии
Аватар пользователя zelda zelda
+6

Я вот на нашем сайте не вижу вводимых паролей из метрики

+6
раскрыть ветку 4
Аватар пользователя Ohar Ohar
-1
Потому что автор идиот.
Скрипты сайта не имеют доступа к полям ввода с типом "пароль". К ним имеет доступ только сам браузер.
-1
раскрыть ветку 3
Аватар пользователя SharkShark SharkShark
+2
+2
раскрыть ветку 2
amesqit
+13
Не надо пользоваться онлайн банком из небезопасной среды, подмена запросов на стороне компьютера пользователя делает не безопасным компьютер, а не интернет ресурс. В свою очередь т.к. совершаются потенциально опасные операции, для подтверждения операции используется смс подтверждение, которые не обойдешь никакими подменами. Паника на пустом месте.
+13
раскрыть ветку 9
Аватар пользователя Shegendalf Shegendalf
+3
Так то sms подтверждение уже давно скомпрометировано.
+3
Аватар пользователя rikaman rikaman
+2

https же

+2
раскрыть ветку 3
amesqit
+1
На стороне клиента можно подменить и https, для винды тот же Fiddler. Но без смс все равно ничего не сделать.
+1
раскрыть ветку 2
MasterOfLogic
0
Первая мысль - ну а смысл? Аутентификация по смс один фиг. )))
0
раскрыть ветку 3
Аватар пользователя nemo314 nemo314
+6
И тут вспоминаем про андройд, где любое приложение может иметь доступ к СМС (вспоминаем любой месенджер, который шлет код в виде СМС и сразу сам его подхватывает).
+6
раскрыть ветку 2
Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: