Как Сбербанк Онлайн сливает данные пользователей

Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост

В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост

Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).


Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.


Баннерорезка блокирует часть зловредов.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост
Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.
Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост

Я даже не обиделся, просто записал видео.

Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.


Суть происходящего в следующем:


1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.


2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.


3) Скрипты могут быть использованы для подмены вводимой информации.


На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.


Началось все с моего форума, но, к сожалению, никакого результата это не дало.


Источник:https://geektimes.ru/post/289577/

Вы смотрите срез комментариев. Показать все
35
Автор поста оценил этот комментарий

Фигня все это. Вы подменили скрипты? А как злоумышленник это сделает? Разве что завирусит ПК и поставит локальный прокс ... Но в таком случае ему пофиг чей скрипт - рутаргета или родной сбера.

Подменит сам Гугл? Ну да, очень оно ему надо. Да даже если и так, то отвечать за утечку будет Сбер.

Другой вопрос, что для таких случаев должно задаваться integrity в тэг.

раскрыть ветку (13)
15
Автор поста оценил этот комментарий

Согласен с человеком.

Для начала, все эти скрипты маркетинговые и могут использоваться для ремаркетинговых кампаний. Не только чтобы показывать определенную рекламу, но и для того, чтобы НЕ показывать её тем, кто уже клиент банка.

Да, тем же аналитиксом можно легко собирать пароли. Тут вопрос уже о том, у кого есть доступ к ГА сбера и о двухфакторной аутентификации. Но пароли и другая конфиденциальная инфа, так или иначе, хранятся в базе и к ней у кого-то есть доступ.

Кстати, когда я работал в банке, мы одно время собирали телефоны юзеров в ГА - для идентификации. Ребята из гугла связались с нами и настойчиво попросили не делать так. Предложили использовать встроенную опцию ГА для идентификации юзеров. Так что они мониторят кто и что собирает.

Как по мне, бояться стоит всякого рода тулбаров сомнительного происхождения, а не метрики и ГА.

раскрыть ветку (10)
12
Автор поста оценил этот комментарий
Вы в общем правы, кроме одного: "пароли хранятся в базе".
У нормально спроектированного ресурса - нет, не хранятся в базе. Вообще нигде не хранятся. Хранятся только их хэши.
раскрыть ветку (9)
19
Автор поста оценил этот комментарий

Ты кое что забыл

Предпросмотр
раскрыть ветку (6)
7
Автор поста оценил этот комментарий

Тонко

раскрыть ветку (3)
5
DELETED
Автор поста оценил этот комментарий
В чём прикол? Я с деревни
раскрыть ветку (2)
раскрыть ветку (1)
1
DELETED
Автор поста оценил этот комментарий
Спасибо, теперь смешно!
1
Автор поста оценил этот комментарий
Мужик,ты сделал мой день три дня назад
1
Автор поста оценил этот комментарий

ювелирная тонкость)

5
Автор поста оценил этот комментарий
главное донести смысл, таки храниться ведь. и если есть очень много времени и доступа, то и хеш можно раскрутить обратно в текст.
раскрыть ветку (1)
2
Автор поста оценил этот комментарий
Если есть очень много доступа, то и пароль не понадобится. И не раскрутить в текст, а найти коллизию. Да, доебался.
3
Автор поста оценил этот комментарий
Тоже люто ржал с поста, ну бред же полнейший, по сути если тебе удалось подменить хосты на компьютеры жертвы то ты с легкостью можешь скачать кэш всего хрома например) Автор путает понятие взлома компьютера жертвы и слива данных банком) чистый хайп, как такое дерьмо до гиктаймся дошло непонятно, причем даже там в комментах сплшная чушь и лишь единицы на это обратили внимание. Хотя да, нечего жаловаться, статья только на гиктаймсе а не на хабре)
1
Автор поста оценил этот комментарий

Более того, даже зная логин и пароль, как перевести или вывести деньги? Требуется же подтверждение. А для этого придет смс с кодом.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку