курс цб на 21.10:
57.5118
67.8927

Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн

31 мая 2017 15:31 Количество просмотров584 просмотра

Пользователь интернета Олег Калабухин  обнаружил уязвимости в сервисе Сбербанка «Сбербанка Онлайн». Об этом он написал в своем блоге.

Автор блога выяснил, что в веб-версию «Сбербанк-Онлайн» вшиты коды счетчиков нескольких поисковых систем, в том числе Google-analytics, Rutarget, Doubleclick и Яндекс.Метрика, которые имеют доступ к личной информации клиента, видимой на сайте. Таким образом логины и пароли пользователей легко перехватить в момент ввода. Эта возможность, считает Олег Калабухин, позволяет управлять чужими банковскими счетами.

«Суть происходящего – в следующем: 1) скрипты могут быть использованы для сбора любой информации о платежах, картах, паролях и других вводимых и отображаемых данных; 2) скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь; 3) скрипты могут быть использованы для подмены вводимой информации», – пишет Калабухин.

В Сбербанке порталу PlUSworld.ru рассказали, что в публикации описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков, которая к тому же неверно отражена в заголовке.

«Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутствии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко. В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов», — пояснили в пресс-службе Сбербанка.

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!

 




В рубриках:
Безопасность
Форум экспертов
Блокчейн – реальность или утопия? Мнение профессионалов
На международном форуме Sibos 2017, проходящем 16-19 октября в канадском Торонто, радужный оптимизм одних участников мероприятия – сторонников блокчейна, столкнулся с расчетливым прагматизмом других в ходе сессии, посвященной использованию блокчейна в сфере наличных платежей и расчетов по операциям с ценными бумагами.
18 октября 2017 15:00
Платежи в системе Swift: станет ли PCI DSS руководством по их защите? 
Заместитель руководителя глобальных транзакционных и платежных услуг Филипп Лепутр и директор по информационной безопасности Тьерри Оливье, фирма SocGen, дали оценку программы безопасности клиентов Swift (Customer Security Programme, CSP) и проанализировали возможные сценарии ее дальнейшего развития  с целью повышения сетевой безопасности потоков межбанковских платежей.
13 октября 2017 13:28
Виктор Достов об «антикарточной» директиве, удаленной идентификации и технологии блокчейн
Председатель Совета Ассоциации участников рынка электронных денег и денежных переводов Виктор Достов делится мнением о том, куда движется рынок розничных финансовых услуг, и каковы новейшие тенденции регулирования в этой сфере, как развиваются институты удаленной идентификации клиентов и какое место занимают во всех этих трансформациях блокчейн и криптовалюты.
10 октября 2017 12:42
Лента новостей
Безопасность
Банки и МФО API-стратегию имеют 43% банков в мире
20 октября 2017 12:40
Количество просмотров 158 просмотров
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1175 просмотров
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 236 просмотров
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 870 просмотров
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 520 просмотров
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1102 просмотра