Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Сбербанк сливает данные о переводах в рекламные сервисы

25.09.2020 7:36


30.05.2017 07:28
OlegON
 
Цитата:
sh00r00p Олег, ты на япе)
Ты постарался? :) Жалко только ссылку сюда вырезали и поставили на гиктаймс...
Мде... Какая разная аудитория-то :) Куча советов не заводить на своем компе вирусы и скрипты :)
30.05.2017 07:36
sh00r00p
 
нет, не я. Я удивился. Ссылка на гактаймс видимо потому, что у него вес больше, чем olegon.ru.
30.05.2017 13:33
grannie
 
Ответ Сбербанка

Гы
30.05.2017 15:24
Inima
 


Цитата:
В публикации Олега Калабухова описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков, которая к тому же неверно отражена в заголовке. Автор со своего устройства подменил в браузере скрипты на свои собственные и на этом основании утверждает, что аналитические системы похищают данные пользователей. Это не соответствует действительности.

Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутсвии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко.
В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов.

Мария Александрова
ПАО Сбербанк
30.05.2017 16:12
EugeneT
 
Херня какая-то, все уперлись как бараны в подмену Олегом скриптов и, в упор не видят, что он вообще не об этом говорил. Ведь речь то шла вообще о недопустимости наличия сторонних скриптов там и возможности третьей стороны (то бишь владельцев этих скриптов или персонала владельцев) получить конфиденциальные данные. А уж каким местом политика безопасности банка может повлиять на Я.Метрику или ...
30.05.2017 18:44
KirillHome
 
Цитата:
EugeneT Херня какая-то, все уперлись как бараны в подмену Олегом скриптов и, в упор не видят, что он вообще не об этом говорил. Ведь речь то шла вообще о недопустимости наличия сторонних скриптов там и возможности третьей стороны (то бишь владельцев этих скриптов или персонала владельцев) получить конфиденциальные данные. А уж каким местом политика безопасности банка может повлиять на Я.Метрику или ...
Ну, в комментариях у Экслера наконец-то докопались до правильного обозначения проблемы:

Цитата:
Цитата:
vekar: никакие платежные данные не утекают...статистика собирается строго в соответствии со скриптом
А скрипт "внезапно" логгирует ваши нажатия кнопок. И, поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды гуголь забыл продлить один из своих доменов и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил "случайно" дублирующий сертификат то ли гугла, то ли чего-то подобного... Если вы не понимаете, что на защищённой странице не должно быть ничего из третьих источников, которые вы не контролируете, значит вы попросту некомпетентны.

Цитата:
v1adimir: Наличее на странице сторонних сторонних скриптов (от надежных разработчиков) является нормой. Ваши заявления про уязвимость не имеют под собой абсолютно никаких оснований. Никакой уязвимости в такой схеме нет.
Это сегодня скрипт от "надёжных" разработчиков и гуглу не интересны ваши данные. А завтра станут интересны и они поменяют скрипты на другие. Или опять забудут продлить домен и вы получите на конфиденциальной страничкескрипты от ненадёжных китайских разработчиков. Причём, даже не будете об этом знать. Никакой уязвимости? А, ну-ну!

Цитата:
Anacreont: По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
Да, они используют левые скрипты от гугло и яндо аналитики. Да, они поставили на приватную страницу кейлогеры. То, что это кейлоггеры от гугла и яндекса именно и означает, что данные, помимо, сбербанка, утекают, как минимум, в яндекс и гуголь и сбербанк ни как не контролирует эту утечку.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.