курс цб на 11.12:
59.2811
69.6434

Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн

31 мая 2017 15:31 Количество просмотров628 просмотров

Пользователь интернета Олег Калабухин  обнаружил уязвимости в сервисе Сбербанка «Сбербанка Онлайн». Об этом он написал в своем блоге.

Автор блога выяснил, что в веб-версию «Сбербанк-Онлайн» вшиты коды счетчиков нескольких поисковых систем, в том числе Google-analytics, Rutarget, Doubleclick и Яндекс.Метрика, которые имеют доступ к личной информации клиента, видимой на сайте. Таким образом логины и пароли пользователей легко перехватить в момент ввода. Эта возможность, считает Олег Калабухин, позволяет управлять чужими банковскими счетами.

«Суть происходящего – в следующем: 1) скрипты могут быть использованы для сбора любой информации о платежах, картах, паролях и других вводимых и отображаемых данных; 2) скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь; 3) скрипты могут быть использованы для подмены вводимой информации», – пишет Калабухин.

В Сбербанке порталу PlUSworld.ru рассказали, что в публикации описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков, которая к тому же неверно отражена в заголовке.

«Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутствии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко. В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов», — пояснили в пресс-службе Сбербанка.

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!

 




В рубриках:
Безопасность
Форум экспертов
Альфа-Банк: Мы готовы активно помогать финтехам, которые несут ценность для клиента
О том, как оценивают белорусские финтех-проекты, какие препятствия для развития финтеха в нашей стране существуют сегодня и как их можно устранить, рассказывает ТОП-менеджер белорусского Альфа-Банка, член правления, руководитель по информационными технологиям Андрей Косач.
11 декабря 2017 14:25
USABILITYLAB поделилась результатами оценки доступности интернет-банков для физлиц 2017
Российские банки все больше внимания уделяют вопросу удобства онлайн-сервисов. Однако доступность интернет-банков для людей с инвалидностью остается на низком уровне. О проблемах доступности и о способах их решения рассказали коммерческий директор USABILITYLAB Дмитрий Силаев и ведущий юзабилити-специалист Татьяна Миронова.
11 декабря 2017 14:08
Единая Биометрическая Система: что ждать от запуска ЕБС? 
Единую биометрическую систему в России обещают запустить в середине 2018 года. Директор по развитию Biosmart Александр Горшков рассказал, что ждать от внедрения ЕБС и к чему готовиться. 
5 декабря 2017 15:14
Лента новостей
Безопасность
Регуляторы ЦБ приобрел 99,9% акций ФК «Открытие»
11 декабря 2017 15:30
Количество просмотров 320 просмотров
Банки и МФО Онлайн-заемщики МФО предпочитают Apple
11 декабря 2017 11:39
Количество просмотров 160 просмотров
Наличные ЦБ выпустил памятные монеты к ЧМ-2018
5 декабря 2017 18:16
Количество просмотров 298 просмотров