Адрес для входа в РФ: exler.bar
Сбербанк-онлайн
30.05.2017 12:04
9361
Комментарии (112)
На Geektimes рассказывают всякие страсти про сбербанк-онлайн - "Как Сбербанк Онлайн сливает данные пользователей".
Цитата.
Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).
...
Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.
Суть происходящего в следующем:
1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.
Скажите, кто пользуется "Сбербанк-онлайн" (я не пользуюсь, у меня карты Сбера нет) - там вот реально такая кошмарная дыра в безопасности? Они реально используют всякие посторонные скрипты - гугл.аналитики, яндекс.метрики и рутаргеты?
Автор статьи Олег Кулабухов от Сбера по этому поводу получил совершенно потрясающий ответ, цитирую:
Прям даже не верится, что там все может быть НАСТОЛЬКО запущено.
Войдите, чтобы оставить комментарий.
Извините, джентльмены, не было возможности поиграться с подменой. Появится - обязательно попробую.
Но я вспомнил какую интереснейшую штуку, и в этом блоге ее подтвердить может не один человек.
Помните, в один прекрасный момент гугл накосячил со своими скриптами, в результате позволив включать левый код в свои, подписанные сертификатом, баннеры и счетчики?
О какой еще безопасности можно говорить? Тут уже даже не теоретический взлом, а вполне имевший место быть косяк гугла, дискредитирующий на то время любой сайт с гугловскими приблудами.
Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки.
Может хоть так поймете, что дырка не в самом протоколе, а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
Но я вспомнил какую интереснейшую штуку, и в этом блоге ее подтвердить может не один человек.
Помните, в один прекрасный момент гугл накосячил со своими скриптами, в результате позволив включать левый код в свои, подписанные сертификатом, баннеры и счетчики?
О какой еще безопасности можно говорить? Тут уже даже не теоретический взлом, а вполне имевший место быть косяк гугла, дискредитирующий на то время любой сайт с гугловскими приблудами.
Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки.
Может хоть так поймете, что дырка не в самом протоколе, а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
seturentss: а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
Ну так сделайте свой Луна-банк с блэк-джеком и шриптами, и играйтесь на здоровье.
seturentss: Может хоть так поймете, что дырка не в самом протоколе, а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
они это и подтвердили%) в, упомянутой выше статье geektimes.ru/post/289661/ , ибо никто не спорит что у Google и Яндекс приличная репутация, что вероятность серьезного взлома там не сильно выше ( а с моим отношением сберу думаю что ниже) чем у сбера, только вот общая вероятность успешной атаки увеличивается примерно в три раза.
Про то что они анализируют передаваемые данные, интересный предполагаемый факт, все что они могут ( почти уверен что этого не сделано) это проверять неизменность кода скрипта, который в данный момент ( и именно им, что учитывая геораспределенность сервисов не является полной гарантией) отдается в ответ на запрос.
seturentss: Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки
а это как раз сценарий вида "верю чужому коду", правда в аналитеку вроде параметров, на которые может воздействовать пользователь браузера, передается сильно меньше, но .
Palm: В Сбербанк онлайн уязвимостей нет geektimes.ru/post/289661/
маркетинговый бред.
seturentss: Извините, джентльмены, не было возможности поиграться с подменой. Появится - обязательно попробую.
они это и подтвердили%) в, упомянутой выше статье geektimes.ru/post/289661/ , ибо никто не спорит что у Google и Яндекс приличная репутация, что вероятность серьезного взлома там не сильно выше ( а с моим отношением сберу думаю что ниже) чем у сбера, только вот общая вероятность успешной атаки увеличивается примерно в три раза.
Про то что они анализируют передаваемые данные, интересный предполагаемый факт, все что они могут ( почти уверен что этого не сделано) это проверять неизменность кода скрипта, который в данный момент ( и именно им, что учитывая геораспределенность сервисов не является полной гарантией) отдается в ответ на запрос.
seturentss: Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки
а это как раз сценарий вида "верю чужому коду", правда в аналитеку вроде параметров, на которые может воздействовать пользователь браузера, передается сильно меньше, но .
Palm: В Сбербанк онлайн уязвимостей нет geektimes.ru/post/289661/
маркетинговый бред.
seturentss: Извините, джентльмены, не было возможности поиграться с подменой. Появится - обязательно попробую.
мысль для вектора атаки, если кому не лень: имея доступ к транзиту можно играться перекрытием запросов на отозванные сертификаты, если я правильно помню это приведет к тому что, через некоторое время бразер будет не признавать безопасным ни один сайт, таким образом можно выработать у пользователя привычку не реагировать на предупреждения.
Вы знаете... успокоительные каменты очень похожи на help в первой игре Plants vs. Zombies.
Если речь о том, что Гугло-Яндексам в принципе нельзя доверять, то поздновато пить боржоми.
Если же о том, что кто-то может на вашей странице подменить содержимое скрипта, то этот кто-то сможет и добавить скрипт туда где его никогда не было.
Если же о том, что кто-то может на вашей странице подменить содержимое скрипта, то этот кто-то сможет и добавить скрипт туда где его никогда не было.
Блин, вот вроде речь про программирование, интернет и прочие сугубо технические и по идее четкие вещи. Но при этом спор и разноглася не прекращаются. Мне со стороны всё это китайская грамота конечно, но просто удивлен что даже в такой технической среде как программирование может быть столько разногласий. Почему? Вроде же не о философии или религии разговор. Или это из серии ручная коробка против автоматической?)
azik-footbik: но просто удивлен что даже в такой технической среде как программирование может быть столько разногласий. Почему?
1) Потому, что 50% спора идет о мнении/оценочном суждении, примерно о таком: "Выявленная автором статьи особенность работы сбербанка: серьезная уязвимость, незначительная проблема или вообще норма?". Доказать или опровергнуть мнение невозможно. Можно лишь пояснить причины/аргументы для наблюдающих за беседой. В любой самой "технической" области есть большой простор для оценочного суждения (космонавтика, математика, физика).
2) Потому, что вторые 50% спора идет о фактическом суждении, примерно о таком: "Без вмешательства в работу клиентской машины можно подменить внешние HTTPS скрипты, не вызвав блокировку со стороны браузера". В фактической стороне этого вопроса беседующие а) не разбираются досконально и/или б) не готовы терпеливо и вежливо объяснить оппоненту свое понимание.
3) Потому, что беседа идет не структурировано. Например, в ответ на опровержение или подтверждение фактических суждений, другие участники не всегда говорят: "Большое спасибо, я теперь понял, как https защищает от такой подмены скриптов, вы были правы. А теперь давайте обсудим, достаточно ли хорошо браузер предупреждает пользователя об угрозах в этом случае, ок?". А просто переключаются на другую тему как будто это контр-аргумент к изначальной дискуссии, что-то типа: "Но смотрите, какое левое предупреждение дает браузер! Пользователь же это проигнорирует!".
4) Потому. что в процессе беседы люди переходят на личности, обвиняют друг друга в отсутствии технического образования и непонимании простых вещей. В такой ситуации многим неловко признать правоту другой стороны даже в конкретном незначительном вопросе, и приходится "идти до конца".
Как-то так. 😄 Более подробно о почти всех поворотах сегодняшней дискуссии можно прочитать вот в этой отличной статье. Сегодня попалась в ленте ФБ, очень рекомендую:
https://theoryandpractice.ru/posts/16062-v-internete-kto-to-prav-11-pravil-spora-s-adeptami-lzhenauki
Дискуссия ушла в технические дебри, хотя проблема совсем не в этом. Гуглу, Яндексу и прочим могут сделать предложение, от которого те не смогут отказаться - например спецслужбы или судебные власти других стран. И если обращения таких органов в Сбербанк будут рассматриваться по российским законам, обращения в Гугл - не обязательно.
Хрен бы с ним, с https и прочими сертификатами. Кто может поручиться, что официальный сотрудник того же Яндекса не сольет данные клиентов Сбера? Историй, когда сотрудники компаний сливали и обворовывали клиентуру - вагон и маленькая тележка, так что кипеш вполне по делу - чем больше свиней у корыта, тем больше грязи. Ставить счетчики всяких левых контор на интернет-банкинг - надо быть полными дебилоидами с мозгом рака. Они бы еще яндекс директ туда прикрутили, ну а че, лишняя копеечка не помешает. Впрочем, это же Сбер, так что все нормуль, ничего удивительного.
ping sbrf.ru
PING sbrf.ru (194.54.14.129) 56(84) bytes of data.
^C
--- sbrf.ru ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
А можешь популярно объяснить, почему пинг не ходит и как это показывает крутость/ламерство спецов сбера?
sbrf.ru мне доступен.
PING sbrf.ru (194.54.14.129) 56(84) bytes of data.
^C
--- sbrf.ru ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
А можешь популярно объяснить, почему пинг не ходит и как это показывает крутость/ламерство спецов сбера?
sbrf.ru мне доступен.
Многие иностранные банки используют гугл аналитикс, а наши еще и яндекс метрику в банк-клиентах. Да, это снижение безопасности. Сам Сбер с помощью своих приложений следит за клиентами и не жужжит. Чего только стоит приложение для смартфонов в принудительном порядке устанавливаемое клиентам и по умолчанию на некоторые модели. У меня есть бесплатная карта сбера, пришлось оформить для возврата средств. Недавно перестал работать смс-банк. На звонок в службу поддержки ответили, что у меня вирусы в смартфоне и нужно установить сбербанк-приложение для проверки и больше никак. На мой вопрос ОТКУДА они знают про вирусы, если никаких ИХ приложений у меня на телефоне не стоит, ответа не последовало. Смс-банкинг стоит 60 руб в месяц, а я привык иногда кому-то за телефон заплатить или немного денег перевести. Пришлось перезванивать снова и другому оператору сказать, что нет у меня вирусов и быть не может, т.к. телефон кнопочный (типа 3310 )). Мне сообщили номер обращения и нужно было еще раз перезвонить, чтобы сказать, что проблема с вирусами устранена. Только после этого мне включили смс-банк.
З.Ы. Приложение, к примеру, не работает на рутованных телефонах и пересылает в личный кабинет, т.е. на сервер сбера, всю твою адресную книгу и еще неизвестно что еще...
З.Ы. Приложение, к примеру, не работает на рутованных телефонах и пересылает в личный кабинет, т.е. на сервер сбера, всю твою адресную книгу и еще неизвестно что еще...
теперь догадываюсь ,как чувствует себя Пенни во время разговоров Шелдона с Леонардом о физике 😖))
забрутфорсить роутер... подменить скрипт в трафике... прописать сертификаты в ифреймах... 😖))
АЛЕКСЕЕЕЕЙ БОРИСОВИИИИЧ, можно в рублику "ликбез" перевод вот этого потока красноречия от программистов в комментариях, пажааальста? - смогу тогда форсить перед другими в других комментариях на других сайтах ,вворачивая такие же словечки ИТшные -)))
забрутфорсить роутер... подменить скрипт в трафике... прописать сертификаты в ифреймах... 😖))
АЛЕКСЕЕЕЕЙ БОРИСОВИИИИЧ, можно в рублику "ликбез" перевод вот этого потока красноречия от программистов в комментариях, пажааальста? - смогу тогда форсить перед другими в других комментариях на других сайтах ,вворачивая такие же словечки ИТшные -)))
По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
vekar: никакие платежные данные не утекают...статистика собирается строго в соответствии со скриптом
А скрипт "внезапно" логгирует ваши нажатия кнопок. И, поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды гуголь забыл продлить один из своих доменов и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил "случайно" дублирующий сертификат то ли гугла, то ли чего-то подобного... Если вы не понимаете, что на защищённой странице не должно быть ничего из третьих источников, которые вы не контролируете, значит вы попросту некомпетентны.
v1adimir: Наличее на странице сторонних сторонних скриптов (от надежных разработчиков) является нормой. Ваши заявления про уязвимость не имеют под собой абсолютно никаких оснований. Никакой уязвимости в такой схеме нет.
Это сегодня скрипт от "надёжных" разработчиков и гуглу не интересны ваши данные. А завтра станут интересны и они поменяют скрипты на другие. Или опять забудут продлить домен и вы получите на конфиденциальной страничкескрипты от ненадёжных китайских разработчиков. Причём, даже не будете об этом знать. Никакой уязвимости? А, ну-ну!
Anacreont:
По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
А скрипт "внезапно" логгирует ваши нажатия кнопок. И, поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды гуголь забыл продлить один из своих доменов и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил "случайно" дублирующий сертификат то ли гугла, то ли чего-то подобного... Если вы не понимаете, что на защищённой странице не должно быть ничего из третьих источников, которые вы не контролируете, значит вы попросту некомпетентны.
v1adimir: Наличее на странице сторонних сторонних скриптов (от надежных разработчиков) является нормой. Ваши заявления про уязвимость не имеют под собой абсолютно никаких оснований. Никакой уязвимости в такой схеме нет.
Это сегодня скрипт от "надёжных" разработчиков и гуглу не интересны ваши данные. А завтра станут интересны и они поменяют скрипты на другие. Или опять забудут продлить домен и вы получите на конфиденциальной страничкескрипты от ненадёжных китайских разработчиков. Причём, даже не будете об этом знать. Никакой уязвимости? А, ну-ну!
Anacreont:
По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
Да, они используют левые скрипты от гугло и яндо аналитики. Да, они поставили на приватную страницу кейлогеры. То, что это кейлоггеры от гугла и яндекса именно и означает, что данные, помимо, сбербанка, утекают, как минимум, в яндекс и гуголь и сбербанк ни как не контролирует эту утечку.
Судя по комментариям, Сбербанк и его клиенты стоят друг друга 😒
Это духовные скрипты, нечего их бояться.
Я, интуитивно, всегда избегаю заходить в личные кабинеты через публичный вай-фай. А в домашней сети с нормальным паролем, как я понимаю, бояться нечего. В целом, думаю, проблема преувеличена.
Я как пострадавшее лицо могу твердо заявить:
либо уних дыры в защите, либо крысы в конторе, а может и все вместе.
либо уних дыры в защите, либо крысы в конторе, а может и все вместе.
В сбербанк онлайне присутствуют скрытый ифрейм с googletagmanager.com/ns.html
Яндекс метрика
mc.yandex.ru/watch/16949086
и гугл аналитика с идентификатором
_gaq.push(['_setAccount', 'UA-34621209-1']);
Яндекс метрика
mc.yandex.ru/watch/16949086
и гугл аналитика с идентификатором
_gaq.push(['_setAccount', 'UA-34621209-1']);
arafrael666: В твиттер Алекса пришел официальный акк Сбера с объяснениями, больше похожими на оправдания.
"Это было давно и неправда". (с)
я только мобильные приложения использую для банкинга с айфона.
собственно денег на картах не держу вообще, надо - со счета переслал сколько надо, заплатил и в сторону.
собственно денег на картах не держу вообще, надо - со счета переслал сколько надо, заплатил и в сторону.
Хм... опять же, "не читал, но осуждаю". Это я про себя, если что.
Наверное, если бы там были ТАКИЕ дыры, как нас пугают, этими дырами давно бы уже воспользовались грамотные люди. Однако тихо вроде в Датском королевстве.
С другой стороны я не прогер ни разу, так что мое мнение нах никому не интересно 😄
Наверное, если бы там были ТАКИЕ дыры, как нас пугают, этими дырами давно бы уже воспользовались грамотные люди. Однако тихо вроде в Датском королевстве.
С другой стороны я не прогер ни разу, так что мое мнение нах никому не интересно 😄
Negator: Наверное, если бы там были ТАКИЕ дыры, как нас пугают, этими дырами давно бы уже воспользовались грамотные люди. Однако тихо вроде в Датском королевстве.
Несколько дней назад писали - и пруфы дали, когда я засомневался, что такой маразм возможен - перевод денег со своей карты на чужую смской с телефона.
Та что дыр там дофигища.
жээээсть... Зашел в сбербанк онлайн, и тупо открыл исходник страницы, а там.... И рутаргет, и яндекс метрика, и гугловый какой-то адовый скрипт с копирайтом от 2012 года... Гребаный стыд....
Короче, дыру подтверждаю.
Короче, дыру подтверждаю.
Константин Игоревич: жээээсть... Зашел в сбербанк онлайн, и тупо открыл исходник страницы, а там.... И рутаргет, и яндекс метрика, и гугловый какой-то адовый скрипт с копирайтом от 2012 года... Гребаный стыд....
Короче, дыру подтверждаю.
Короче, дыру подтверждаю.
А можете указать поконкретнее или вы сказали наугад, типа пальцем в.... дыру?
Комменты интересней самого поста. Оказывается все ведущие банки так или иначе используют коды счетчиков от google или yandex.
Реально, или не реально, но я на одной конференции слушал доклад Сбербанк- технологий, как они улучшают User Experience. И ничтоже сумняшеся, на слайдах появляется информация о том, что они анализируют список веб-сайтов, которые клиент посещает. Для анализа кредитоспособности якобы. Спрашиваю - а откуда эта инфа берется, как вы получаете информацию о том, какие сайты я посещаю? Смотрите куки на моей машине?
Они стали выкручиваться, вот типа, вы подписываете соглашения, когда входите на сайты, чего-то там скачиваете, а у нас партнёрство с аналитическими компаниями и пр. В общем, бред полный.
Они стали выкручиваться, вот типа, вы подписываете соглашения, когда входите на сайты, чего-то там скачиваете, а у нас партнёрство с аналитическими компаниями и пр. В общем, бред полный.
Теги
Информация
Что ещё почитать
Микроволновые оплаты несдержанных чувств
17.11.2023
72
Дюна: Часть вторая
14.03.2024
352
