Адрес для входа в РФ: exler.bar
Сбербанк-онлайн
На Geektimes рассказывают всякие страсти про сбербанк-онлайн - "Как Сбербанк Онлайн сливает данные пользователей".
Цитата.
Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).
...
Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.
Суть происходящего в следующем:
1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.
Скажите, кто пользуется "Сбербанк-онлайн" (я не пользуюсь, у меня карты Сбера нет) - там вот реально такая кошмарная дыра в безопасности? Они реально используют всякие посторонные скрипты - гугл.аналитики, яндекс.метрики и рутаргеты?
Автор статьи Олег Кулабухов от Сбера по этому поводу получил совершенно потрясающий ответ, цитирую:
Прям даже не верится, что там все может быть НАСТОЛЬКО запущено.
Они стали выкручиваться, вот типа, вы подписываете соглашения, когда входите на сайты, чего-то там скачиваете, а у нас партнёрство с аналитическими компаниями и пр. В общем, бред полный.
Короче, дыру подтверждаю.
Короче, дыру подтверждаю.
А можете указать поконкретнее или вы сказали наугад, типа пальцем в.... дыру?
Наверное, если бы там были ТАКИЕ дыры, как нас пугают, этими дырами давно бы уже воспользовались грамотные люди. Однако тихо вроде в Датском королевстве.
С другой стороны я не прогер ни разу, так что мое мнение нах никому не интересно 😄
Несколько дней назад писали - и пруфы дали, когда я засомневался, что такой маразм возможен - перевод денег со своей карты на чужую смской с телефона.
Та что дыр там дофигища.
собственно денег на картах не держу вообще, надо - со счета переслал сколько надо, заплатил и в сторону.
"Это было давно и неправда". (с)
Яндекс метрика
mc.yandex.ru/watch/16949086
и гугл аналитика с идентификатором
_gaq.push(['_setAccount', 'UA-34621209-1']);
либо уних дыры в защите, либо крысы в конторе, а может и все вместе.
А скрипт "внезапно" логгирует ваши нажатия кнопок. И, поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды гуголь забыл продлить один из своих доменов и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил "случайно" дублирующий сертификат то ли гугла, то ли чего-то подобного... Если вы не понимаете, что на защищённой странице не должно быть ничего из третьих источников, которые вы не контролируете, значит вы попросту некомпетентны.
v1adimir: Наличее на странице сторонних сторонних скриптов (от надежных разработчиков) является нормой. Ваши заявления про уязвимость не имеют под собой абсолютно никаких оснований. Никакой уязвимости в такой схеме нет.
Это сегодня скрипт от "надёжных" разработчиков и гуглу не интересны ваши данные. А завтра станут интересны и они поменяют скрипты на другие. Или опять забудут продлить домен и вы получите на конфиденциальной страничкескрипты от ненадёжных китайских разработчиков. Причём, даже не будете об этом знать. Никакой уязвимости? А, ну-ну!
Anacreont:
По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
Да, они используют левые скрипты от гугло и яндо аналитики. Да, они поставили на приватную страницу кейлогеры. То, что это кейлоггеры от гугла и яндекса именно и означает, что данные, помимо, сбербанка, утекают, как минимум, в яндекс и гуголь и сбербанк ни как не контролирует эту утечку.
забрутфорсить роутер... подменить скрипт в трафике... прописать сертификаты в ифреймах... 😖))
АЛЕКСЕЕЕЕЙ БОРИСОВИИИИЧ, можно в рублику "ликбез" перевод вот этого потока красноречия от программистов в комментариях, пажааальста? - смогу тогда форсить перед другими в других комментариях на других сайтах ,вворачивая такие же словечки ИТшные -)))
З.Ы. Приложение, к примеру, не работает на рутованных телефонах и пересылает в личный кабинет, т.е. на сервер сбера, всю твою адресную книгу и еще неизвестно что еще...
PING sbrf.ru (194.54.14.129) 56(84) bytes of data.
^C
--- sbrf.ru ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
А можешь популярно объяснить, почему пинг не ходит и как это показывает крутость/ламерство спецов сбера?
sbrf.ru мне доступен.
1) Потому, что 50% спора идет о мнении/оценочном суждении, примерно о таком: "Выявленная автором статьи особенность работы сбербанка: серьезная уязвимость, незначительная проблема или вообще норма?". Доказать или опровергнуть мнение невозможно. Можно лишь пояснить причины/аргументы для наблюдающих за беседой. В любой самой "технической" области есть большой простор для оценочного суждения (космонавтика, математика, физика).
2) Потому, что вторые 50% спора идет о фактическом суждении, примерно о таком: "Без вмешательства в работу клиентской машины можно подменить внешние HTTPS скрипты, не вызвав блокировку со стороны браузера". В фактической стороне этого вопроса беседующие а) не разбираются досконально и/или б) не готовы терпеливо и вежливо объяснить оппоненту свое понимание.
3) Потому, что беседа идет не структурировано. Например, в ответ на опровержение или подтверждение фактических суждений, другие участники не всегда говорят: "Большое спасибо, я теперь понял, как https защищает от такой подмены скриптов, вы были правы. А теперь давайте обсудим, достаточно ли хорошо браузер предупреждает пользователя об угрозах в этом случае, ок?". А просто переключаются на другую тему как будто это контр-аргумент к изначальной дискуссии, что-то типа: "Но смотрите, какое левое предупреждение дает браузер! Пользователь же это проигнорирует!".
4) Потому. что в процессе беседы люди переходят на личности, обвиняют друг друга в отсутствии технического образования и непонимании простых вещей. В такой ситуации многим неловко признать правоту другой стороны даже в конкретном незначительном вопросе, и приходится "идти до конца".
Как-то так. 😄 Более подробно о почти всех поворотах сегодняшней дискуссии можно прочитать вот в этой отличной статье. Сегодня попалась в ленте ФБ, очень рекомендую:
https://theoryandpractice.ru/posts/16062-v-internete-kto-to-prav-11-pravil-spora-s-adeptami-lzhenauki
Если же о том, что кто-то может на вашей странице подменить содержимое скрипта, то этот кто-то сможет и добавить скрипт туда где его никогда не было.
Но я вспомнил какую интереснейшую штуку, и в этом блоге ее подтвердить может не один человек.
Помните, в один прекрасный момент гугл накосячил со своими скриптами, в результате позволив включать левый код в свои, подписанные сертификатом, баннеры и счетчики?
О какой еще безопасности можно говорить? Тут уже даже не теоретический взлом, а вполне имевший место быть косяк гугла, дискредитирующий на то время любой сайт с гугловскими приблудами.
Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки.
Может хоть так поймете, что дырка не в самом протоколе, а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
Ну так сделайте свой Луна-банк с блэк-джеком и шриптами, и играйтесь на здоровье.
они это и подтвердили%) в, упомянутой выше статье geektimes.ru/post/289661/ , ибо никто не спорит что у Google и Яндекс приличная репутация, что вероятность серьезного взлома там не сильно выше ( а с моим отношением сберу думаю что ниже) чем у сбера, только вот общая вероятность успешной атаки увеличивается примерно в три раза.
Про то что они анализируют передаваемые данные, интересный предполагаемый факт, все что они могут ( почти уверен что этого не сделано) это проверять неизменность кода скрипта, который в данный момент ( и именно им, что учитывая геораспределенность сервисов не является полной гарантией) отдается в ответ на запрос.
seturentss: Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки
а это как раз сценарий вида "верю чужому коду", правда в аналитеку вроде параметров, на которые может воздействовать пользователь браузера, передается сильно меньше, но .
Palm: В Сбербанк онлайн уязвимостей нет geektimes.ru/post/289661/
маркетинговый бред.
seturentss: Извините, джентльмены, не было возможности поиграться с подменой. Появится - обязательно попробую.
мысль для вектора атаки, если кому не лень: имея доступ к транзиту можно играться перекрытием запросов на отозванные сертификаты, если я правильно помню это приведет к тому что, через некоторое время бразер будет не признавать безопасным ни один сайт, таким образом можно выработать у пользователя привычку не реагировать на предупреждения.