Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Сбербанк сливает данные о переводах в рекламные сервисы : Сеть

20.05.2022 2:05


Контакты Поиск
31.05.2017 16:14
OlegON
 
На гике какой-то Эксперт вылез. Для сохранности, копирую его полет мысли и мой ответ
Цитата:
С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер. Очень странно видеть такого качества публикации на столь уважаемом ресурсе. Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов. При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам. По сути, в изрядно эмоциональной манере, но на слишком дилетантском техническом уровне Сбербанк обвинён в использовании сервисов сбора технических метрик от таких уважаемых компаний, как Google и «Яндекс».

Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.

Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.

Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.

Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.

По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.

Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.

Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, … либо я админ компьютера или домена.

Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.

Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.

С уважением,
Эксперт службы Кибербезопасности Сбербанка
Извините, анонимный Эксперт службы Кибербезопасности, но меня лично Вы совершенно зря задели… После того как Вы начали писать в комментариях ересь, можно было бы вообще проигнорировать это исчадие беллетристики, но многие читающие стали неправильно истолковывать мое молчание.

Буду последователен.

Про слив данных клиентов. Можете сказать, положа правую руку на левое сердце, что метрики Гугла и Яндекса не собирают данные клиентов? Что же они тогда собирают? Что они могут собирать, я показал на видео.

Про то, что GA и Метрика — стандарт де-факто. Да, де-факто, просто шикарные сервисы, я тоже ими пользуюсь, но только не для тех мест, где находится конфиденциальная информация (см. выше).

Про то, что информацию можно ограничить с точностью до одного байта Вы имели отвагу написать ниже и получили минусы. Смотрим видео и убеждаемся, что не то, что до байта, а вообще поменять скрипты можно. Причем, раздавать специалистам Сбера одно, а клиентам — другое. Вообще не проблема. И что отдается клиентам, судя, опять же, по видео, никак не регулируется.

В связи с тем, что скрипты гибкие и динамические, лежат на других ресурсах, которые Сбербанк вообще никак не контролирует, результат их выполнения никак и никем, кроме владельцев ресурсов, не регулируется. Можно практически что угодно делать на странице, для чего скрипты и предназначены. Сегодня Вы их проверили, завтра они уже другие. Сегодня Вам с одного URI дали один скрипт, а мне другой в тот же момент времени. Мне опять видео снимать, Эксперт? Или хоть эти банальности понятны?

Про политику конфиденциальности у Google. Допустим, я провел очень важный и очень личный для меня перевод. Например, перевел 100 руб. в Фонд Кибербезопасности Сбербанка. И тут сотрудник Google, умирая со смеху сливает это моим друзьям и знакомым в тот же Google. Я пишу жалобу, бегаю в суд, куча убитого времени, выплатили мне 50 руб., чтобы слезы вытер. Друзья не забыли, дали кличку Эксперта Кибербезопасности Сбербанка. И? Чего ради все это? Чтобы маркетолог график какой-то увидел?

Про фокусы школьников и то, что я видео смонтировал… Я на видео, если присмотритесь, переходил со страницы на страницу, специально, чтобы показать, я НЕ модифицировал страницу, никак. URI страницы был виден. Вам не кажется, Эксперт, что Вы запутались, локально ли я что-то модифицировал или это видеомонтаж? Вы бы прежде, чем меня грязью поливать, нашли бы грамотных людей и расспросили бы, возможно ли такое и как этого избежать. Одного значка «Эксперт» не достаточно, чтобы аппелировать на мои замечания. Еще раз подчеркну. Видео НЕ смонтировано. Локально я НИЧЕГО не менял, кроме сертификата. Но, чтобы Вас опять не занесло. Суть в доверии третьим сторонам, которые, кстати, могут быть вообще не в курсе такого доверия и не уделять должного внимания конфиденциальности такой информации.

Наконец, Эксперт, атака называется MITM, а не MIM. И то, что Вам интересно, как это сделано, подчеркивает уровень Вашей неосведомленности, что на фоне того, как Вы кидаетесь в меня грязью, выглядит более, чем странно. Вы быстренько разберитесь, что происходит при подмене скриптов и что они могут сделать, вдруг завтра в школе будут спрашивать, и приходите. Терминологию можете не использовать, чтобы такие дилетанты, как я, не позорили Кибербезопасность Сбербанка, разбирая Ваши ляпы.

Ниже опять разбираете подмену страницы. Я уже отвечал много раз в комментариях, что страницу подменять нет никакого смысла, поскольку самый интерес для злоумышленника будут представлять данные, которые будут на оригинальной странице. Вы бы хоть пробежали комментарии, их на момент написания Вашего опуса было еще не так много. «Зеленый замочек» остался на месте, не переживайте.

Я не думаю, я знаю, что в Сбербанке есть грамотные люди. Маскировка номеров кредиток — замечательная идея, однако ее недостаточно, есть масса другой, незамаскированной информации, Вы-то, анонимный Эксперт Кибербезопасности, зачем вылезли вперед с этим опусом и опозорили этих грамотных людей?

Потрясает количество сотрудников Сбербанка, которые вместо того, чтобы схватиться за голову и поднять проблему выше, быстренько исправить эти скрипты и забыть историю, начали поливать грязью меня и даже пробовать как-то давить с намеками перейти «в правовое поле». Вот от того и проблемы, что лечатся симптомы, а не болезнь…
31.05.2017 16:24
~Guest~
 
Конечно поддерживаю твое начинание, однако для тушения пожара они в первую очередь потушат тебя. Уж слишком большая махина.
31.05.2017 16:25
Мак-Мак
 
Тема попала в центральные новости


Ответ Сбербанку:
- Основная проблема заключается в том, что Сбербанк доверяет полный и бесконтрольный доступ к страницам Сбербанк-онлайн третьей стороне, которую он не контролирует, и персонал которой он не контролирует.
Персонал третьей стороны имеет (бесконтрольную) возможность модифицировать исполняемые на странице скрипты с криминальными целями. При этом ни Клиент, ни сам Сбербанк об этом ничего не узнают.
31.05.2017 16:52
twix
 
Пле. Объясните кто-нибудь уже этим "не школьникам" и экспердам, что проблема не в том, какие данные передаются в гуглы и рамблеры (какими бы "обезличенными" они не были), а в том, что, blyat, на страницах с чувствительной информацией используются сторонние скрипты, для подмены которых даже не надо иметь доступ к компьютеру пользователя.

Кстати, вот вам пример:
Попадёт роутер пользователя СБ-онал в руки злоумышленников, и какие скрипты "метрики" будут работать на страницах - одному чёрту известно...
31.05.2017 17:04
Woodstock
 
Олег побрейся, скоро с "Пусть говорят" начнут звонить:)
31.05.2017 17:08
Мак-Мак
 
Кстати, хорошо бы привлечь к обсуждению Positive Technologies и услышать их мнение.
Уж с ними-то "экспертам" из сбербанка не тягаться ...
31.05.2017 17:12
OlegON
 
Я и не против... Даже только "за". Я буду очень удивлен, если хоть какой-то эксперт, чье существование напрямую не зависит от Сбербанка, поставит свою подпись под словами: "Рекомендую всем банками ставить сторонние скрипты на страницах с конфиденциальной информацией и сливать данные о российских пользователях банка за рубеж".
31.05.2017 17:16
twix
 
Цитата:
Мак-Мак Кстати, хорошо бы привлечь к обсуждению Positive Technologies и услышать их мнение.
Уж с ними-то "экспертам" из сбербанка не тягаться ...
Ну, так давайте напишем письмо на pt<at>ptsecurity.com, с просьбой прокомментировать ситуацию. У них-то не эксперты в компании, а просто специалисты. Должны разъяснить студентам что к чему.

Апдейт: написал им письмо на контактный адрес. Посмотрим, будет ли хоть какая-нибудь реакция. Очень хотелось бы, конечно.
31.05.2017 17:37
~Guest~
 
Цитата:
Woodstock Олег побрейся, скоро с "Пусть говорят" начнут звонить:)
В тяжбе со Сбером я бы сразу весь брился, не в обиду, но хз, куда кривая выведет.
31.05.2017 19:13
Dim
 
запасаюсь попкорном )

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.