Версия // Бизнес // Зачем Сбербанк рискует репутацией на собственном сайте

Зачем Сбербанк рискует репутацией на собственном сайте

36315

Кабинетная проблема

В разделе

«Сбербанк онлайн сливает данные пользователей» - такое заявление сделал один из посетителей популярного портала Geektimes.ru, который, по его словам, убедился в этом на собственном опыте. И решил сообщить другим пользователям, «чтобы если не исправить утечку данных, то хотя бы предупредить о ней».

«Тревожные симптомы» Олег Кулабухов (пользователь с ником olegon-ru) в работе системы «Сбербанк онлайн» обнаружил в личном кабинете – на защищенной странице, где клиенты банка вводят через специальную форму свои персональные данные для проведения банковских операций. Однако защищенность, как утверждает Кулабухов, довольно условная: «в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат». Под посторонними скриптами пользователь подразумевает, в частности, счетчики посещений от Google, Doubleclick, Rutarget, Яндекс.Метрики.

Поинтересовавшись у Сбербанка, а что, собственно, происходит, Олег Кулабухов получил, по его же саркастическому определению, «замечательный ответ». «Не волнуйтесь, – успокоила клиента служба поддержки. – Данные сервисы используются банком исключительно для анализа переходов пользователей между страницами и не имеют доступа к содержимому страниц, включая данные о счетах и картах».

Однако Кулабухов почему-то не успокоился, а решил лично проверить систему на возможные «протечки». Результат – видеоролик, на котором продемонстрировано, в частности, дублирование ввода пароля.

Убедившись в том, что установленные в личном кабинете скрипты только на первый взгляд безопасны, пользователь делает следующие выводы:

• Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.

• Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать («в видео выше я подменил один из скриптов на свой»), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.

• Скрипты могут быть использованы для подмены вводимой информации.

Что делать? Как минимум, использовать при входе на сайт Сбербанка программу-баннерорезку, которая заблокирует работу счетчиков, говорит Олег Кулабухов. Как максимум – добиваться от банка исправления ситуации. Потому что даже теоретическая возможность ухода клиентской информации «за бугор» мало кому приятна. А считать посетителей банк и без гугл-аналитики может. Человек туда свой пароль ввел – а значит, у банка есть все данные о нем.

Проблема, выявленная Олегом Кулабуховым, представителям Сбербанка значимой не показалась. Ответ, которого в конце концов добился пользователь, был таков:

«В публикации... описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков, которая к тому же неверно отражена в заголовке. Автор со своего устройства подменил в браузере скрипты на свои собственные и на этом основании утверждает, что аналитические системы похищают данные пользователей. Это не соответствует действительности. ...вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко. В веб-версии «Сбербанк онлайн» в сервисы «Яндекс.Метрика» и «Google Analytics» передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как «Сбербанк онлайн», так и самих сервисов».

Между тем, самому Олегу Кулабухову и другим пользователям сети ситуация видится совершенно иначе. Подмена скриптов, продемонстрированная в ролике, – это только пример одного из возможных последствий. Проблема, считают участники обсуждения, которое ведется уже на нескольких популярных ресурсах, заключается в том, что наличие посторонних скриптов в личном кабинете, да еще и самого массового банка страны, вообще недопустимо – как и теоретическая возможность для владельцев этих скриптов получить доступ к конфиденциальным данным клиентов.

«Поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды Гугл забыл продлить один из своих доменов, и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил «случайно» дублирующий сертификат то ли гугла, то ли чего-то подобного...», – перечисляет уже имеющиеся прецеденты один из участников обсуждения.

«Это сегодня скрипт от «надёжных» разработчиков, и Гуглу не интересны ваши данные. А завтра станут интересны, и они поменяют скрипты на другие. Или опять забудут продлить домен, и вы получите на конфиденциальной страничке скрипты от ненадёжных китайских разработчиков. Причём даже не будете об этом знать. Никакой уязвимости? А, ну-ну!» – подтверждает, что опасность вовсе не иллюзорна, другой.

Подробное пояснение, почему веб-версия Сбербанка якобы безопасна, разместил на том же портале Geektimes некий эксперт службы кибербезопасности (фамилия и имя в публикации не указаны):

«Для защиты обслуживания Сбербанк Онлайн использует набор современных инструментов, включая TLS, двухфакторную авторизацию, риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов. Наиболее чувствительная клиентская информация (такая как фамилии, номера карт и счетов и т.д.) вообще не передается даже на компьютеры клиентов... Мы при каждом обновлении проводим обширное penetration-тестирование, которое включает все известные виды атак».

После чего комментирует и видео Олега Кулабухова:

«...подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом. Что же доказывает видео olegon-ru? Только то, что вы можете запрограммировать свой компьютер на передачу данных вовне. Но это никак не влияет на безопасность обслуживания других клиентов».

Подытожил свою позицию и Олег Кулабухов:

• Сбербанк использует чужие скрипты, которые лежат на чужих серверах.

• Скрипты могут быть модифицированы без ведома Сбербанка, поскольку лежат на чужих серверах и загружаются к пользователю мимо серверов Сбербанка.

• Скрипты принадлежат и иностранным компаниям, которые в некоторых случаях могут и проигнорировать законодательство РФ, пусть даже ценой ухода с нашего рынка. Иностранные организации могут потребовать от иностранных компаний гораздо больше, чем просто статистику по пользователям Сбербанка. И отказаться не получится.

• Скрипты имеют доступ к странице личного кабинета, где находятся и вводятся личные данные пользователей. Данные пользователей выводятся на странице обычным текстом и без проблем могут быть считаны скриптами.

• Скрипты могут передавать эти данные кому угодно, без ведома Сбербанка.

Получит ли начавшаяся история продолжение? Сбербанк явно считает, что тема закрыта. Но неравнодушный Калабухов, похоже, серьезно настроен на продолжение разговора. Последнее на данный момент сообщение на его форуме выглядит так: «Сбер просто забил. Я пока нет :) Просто запарка дикая на этой неделе. Подниму тему обязательно. Скоро».

Логотип versia.ru
Опубликовано:
Отредактировано: 28.06.2017 13:17
Комментарии 1
Наверх