Как Сбербанк Онлайн сливает данные пользователей

Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост

В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост

Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).


Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.


Баннерорезка блокирует часть зловредов.

Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост
Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.
Как Сбербанк Онлайн сливает данные пользователей Сбербанк Онлайн, Защита информации, Скрипт, Видео, Длиннопост

Я даже не обиделся, просто записал видео.

Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.


Суть происходящего в следующем:


1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.


2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.


3) Скрипты могут быть использованы для подмены вводимой информации.


На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.


Началось все с моего форума, но, к сожалению, никакого результата это не дало.


Источник:https://geektimes.ru/post/289577/

Вы смотрите срез комментариев. Показать все
194
Автор поста оценил этот комментарий
Иллюстрация к комментарию
Иллюстрация к комментарию
раскрыть ветку (51)
38
Автор поста оценил этот комментарий
Предпросмотр
раскрыть ветку (8)
20
Автор поста оценил этот комментарий
Предпросмотр
Предпросмотр
раскрыть ветку (6)
2
Автор поста оценил этот комментарий
Иллюстрация к комментарию
2
Автор поста оценил этот комментарий
Предпросмотр
раскрыть ветку (4)
2
Автор поста оценил этот комментарий
Иллюстрация к комментарию
2
Автор поста оценил этот комментарий
Предпросмотр
раскрыть ветку (2)
1
Автор поста оценил этот комментарий
Предпросмотр
раскрыть ветку (1)
2
Автор поста оценил этот комментарий
Предпросмотр
Предпросмотр
1
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
77
Автор поста оценил этот комментарий

Видимо ТС несколько лет отсидел за клевету на сбер, но выйдя на свободу всё никак не угомониться

раскрыть ветку (37)
135
Автор поста оценил этот комментарий

Медленно положи мягкий знак на пол и толкни его в мою сторону

раскрыть ветку (3)
23
Автор поста оценил этот комментарий
ь.........../(о_о)
раскрыть ветку (1)
50
Автор поста оценил этот комментарий

я по-прежнему читаю Страпони, похоже, это никогда не пройдёт...

Автор поста оценил этот комментарий

может он имел в виду типа "невозможно угомониться"?

28
Автор поста оценил этот комментарий

видимо ТС спиздил где-то статью, но не посмотрел на дату написания этой статьи )
одна из проблем интернета, что за десятилетия накопилось столько инфы, что когда находишь, возникает вопрос, а актуальна ли она на текущий момент?

раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Может стоит попробовать перейти по ссылке на источник? Дата сегодняшняя, первого скрина в оригинале нет.

4
Автор поста оценил этот комментарий
... никак не МОЖЕТ угомнониться.
1
Автор поста оценил этот комментарий
Более того, как злоумышленник зная даже пароль сможет хоть чтото сделать без мобилы пользователя и смс
раскрыть ветку (29)
2
Автор поста оценил этот комментарий
Дело техники, друг мой.
раскрыть ветку (28)
2
Автор поста оценил этот комментарий
И какой техники? Как ты получишь смс с кодом даже на этапе входа на сайт? Не нужно строить из себя суперхакера.
раскрыть ветку (27)
Автор поста оценил этот комментарий

Перехват смс сообщений давно уже не новость.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Мля пздц. Речь идет про логин пасс, который может получить сторонний сервис счетчиков. Речь про то, что даже зная его, хрен ты войдешь без мобилки и смс. Если мобилки нет, то пароль можно получить в банкомате. Туда нужно сунить свою карту, ввести пин и только в этом случае получишь ОДНОРАЗОВЫЙ пароль.

Автор поста оценил этот комментарий
Где я хоть кого-то строю, дружок. Прям скопируй и покажи мне где я хотя бы намекнул на это.
На входе на сайт не требуется смс пароль. Например я свободно захожу в свой кабинет просто по заранее запомненным паролю и логину браузером. Без смс. Прикольно, да?
Дело техники какой? Друг мой, если ты до сих пор веришь в силу смс паролей, у меня для тебя плохие новости.
раскрыть ветку (24)
3
Автор поста оценил этот комментарий

Уже давным давно спермбанк перешел на подтверждения действия через временные пароли. Причем выбор в настройках пропал. Только временные пароли. А операции только через смс. Вход в кошелек возможен и без пароля, если его специально отключить. По умолчанию он включен. Чтобы отключить, нужно специально зайти в настройки и поменять, но опять же через смс с кодом. Другими словами, зная данные аккаунта, что-либо сделать не представляется возможным. Нужна как минимум мобилка с симкартой, на которую привязан мобильный банк. Причем если украсть симку, то активировать на чужой мобилке не получится. Точно так же как и на вэбмани. Аккаунт будет заблокирован. Либо украсть карту, но нужно знать код. Именно по этому, логика сбера понятна. Хоть и украсть данные акка сложно, но даже если и украдут, то ничего сделать не смогут.

Иллюстрация к комментарию
2
Автор поста оценил этот комментарий

Ну ты можешь вообще без пароля заходить или использовать 12345. Только врешь ты не краснея, так как у сбербанк-онайл уже давно стоит запрет на вход только пол логин/пасс. И скрины в посте старые как яйца мамонта. Или мобилка с подтверждением смс или если нет мобилы - иди к банкомату, суй свою карту, вводи пин и получай одноразовые пароли на вход. Поэтому для "хацкера" могу лишь повторить, что даже зная лгогин и пароль от сбербанк онлайн - хрен ты в него войдешь. Чтобы быть в теме, нужно сначала завести его...

раскрыть ветку (22)
Автор поста оценил этот комментарий
Ты дебил, в любой момент захожу без логина и пароля. И вообще - какого х@я мой пароль кто-то пи@ дит, меня это сильно напрягает
Автор поста оценил этот комментарий
Ты гонишь чтоль?) Я только что зашёл в сбербанк онлайн без СМС кода. Тупо по логину и паролю. Поэтому действительно "чтобы быть в теме, нужно завести его"
Речи про скрины не идёт. А идёт речь о том что те кто действительно в теме. Могу легко обойти эти СМС коды. Так что не надо строить из себя супер умного. Можно немного обосраться)
раскрыть ветку (20)
2
Автор поста оценил этот комментарий
Обойти?? Ну-ну. То что ты в настройках выбрал другой тип верификации - это не значит "обойти". Я тебе могу дать свой логин и пароль и хрен ты что сделаешь. Будешь как баран в ворота стучать и не откроют.

Регистрация в сбербанк онлайн БЕЗ мобильнике НЕВОЗМОЖНА. Без смс НЕВОЗМОЖНА. Точнее если не смс, то одноразовые пароли брать у банкомата.
раскрыть ветку (19)
1
Автор поста оценил этот комментарий
Я напишу тебе большим шрифтом.
РЕГИСТРАЦИЯ В ОНЛАЙН СБЕРБАНКЕ БЕЗ СМС КОДА, НЕВОЗМОЖНА. ВХОД В СБЕРБАНК ОНЛАЙН БЕЗ СМС КОДА, ВОЗМОЖНО.
раскрыть ветку (15)
2
Автор поста оценил этот комментарий

Как миниум первый раз нужно зайти, а для этого потребуется код, который придет по смс.

2
Автор поста оценил этот комментарий
Только сейчас глянул на твой ник. Все встало на места. С трудом представляю как минимум 30летнего с ником "собирай порфель".
раскрыть ветку (12)
Автор поста оценил этот комментарий
Комментарий удален. Причина: оскорбление пользователей.
Автор поста оценил этот комментарий
В настройках ничего не менял. Все стоит как после создания. И таких людей как я большинство.
Я сказал что я обошел СМС коды? Ты заебал цепляться к словам. Дохуища скриптов, которые крадут эти СМС коды. На сам телефон можно залить всего чего твоей душеньке угодно. И ты сам же можешь это сделать по незнанию. Просто тыкнув не в ту ссылку. Ты реально очень смешной перец, но чето ты меня заебал. То в сбер нельзя зайти без СМС. Потом оказывается можно в настройках сделать наоборот. Определись уже. Можно или нельзя.
раскрыть ветку (2)
1
Автор поста оценил этот комментарий
Комментарий удален. Причина: оскорбление пользователей.
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Левый скрин - сейчас интерфейс другой

раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
Автор поста оценил этот комментарий

А что за фильм? Я по-моему пропустил в этой жизни что-то.

раскрыть ветку (1)
Автор поста оценил этот комментарий
Сериал "Обмани меня"
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку