курс цб на 21.02:
56.5201
69.8928
курс криптовалют:
11242.3 $
882.61 $

Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн

31 мая 2017 15:31 Количество просмотров743 просмотра

Пользователь интернета Олег Калабухин  обнаружил уязвимости в сервисе Сбербанка «Сбербанка Онлайн». Об этом он написал в своем блоге.

Автор блога выяснил, что в веб-версию «Сбербанк-Онлайн» вшиты коды счетчиков нескольких поисковых систем, в том числе Google-analytics, Rutarget, Doubleclick и Яндекс.Метрика, которые имеют доступ к личной информации клиента, видимой на сайте. Таким образом логины и пароли пользователей легко перехватить в момент ввода. Эта возможность, считает Олег Калабухин, позволяет управлять чужими банковскими счетами.

«Суть происходящего – в следующем: 1) скрипты могут быть использованы для сбора любой информации о платежах, картах, паролях и других вводимых и отображаемых данных; 2) скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь; 3) скрипты могут быть использованы для подмены вводимой информации», – пишет Калабухин.

В Сбербанке порталу PlUSworld.ru рассказали, что в публикации описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков, которая к тому же неверно отражена в заголовке.

«Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутствии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко. В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов», — пояснили в пресс-службе Сбербанка.

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!

 




В рубриках:
Безопасность
Форум экспертов
Российские независимые операторы банкоматных сетей? Рынок ждет
Появление в России первых независимых сетей ATM, совместно используемых банками – дело обозримого будущего?
19 февраля 2018 16:02
Безопасность депозитарных ячеек – требуются новые технологии?
К такому мнению приходит директор по развитию компании «Прософт-Биометрикс» Александр Горшков, анализируя ситуацию, сложившуюся за последние несколько лет.
14 февраля 2018 13:30
Независимые операторы банкоматных сетей опережают банки на крупнейших рынках
Рост банкоматных сетей независимых операторов и числа соглашений об их совместном использовании происходит на фоне усилий банков, направленных на повышение доходности и консолидации своей ATM-инфраструктуры.
12 февраля 2018 10:01
Смотреть все статьи рубрики >>
Лента новостей
Безопасность