курс цб на 21.07:
63.4888
73.9327
курс криптовалют:
7320 $
449.48 $

Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн

31 мая 2017 15:31 Количество просмотров926 просмотров

Пользователь интернета Олег Калабухин  обнаружил уязвимости в сервисе Сбербанка "Сбербанка Онлайн". Об этом он написал в своем блоге.

Автор блога выяснил, что в веб-версию «Сбербанк-Онлайн» вшиты коды счетчиков нескольких поисковых систем, в том числе Google-analytics, Rutarget, Doubleclick и Яндекс.Метрика, которые имеют доступ к личной информации клиента, видимой на сайте. Таким образом логины и пароли пользователей легко перехватить в момент ввода. Эта возможность, считает Олег Калабухин, позволяет управлять чужими банковскими счетами.

«Суть происходящего – в следующем: 1) скрипты могут быть использованы для сбора любой информации о платежах, картах, паролях и других вводимых и отображаемых данных; 2) скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь; 3) скрипты могут быть использованы для подмены вводимой информации», – пишет Калабухин.

В Сбербанке порталу PlUSworld.ru рассказали, что в публикации описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков, которая к тому же неверно отражена в заголовке.

«Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутствии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко. В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов», — пояснили в пресс-службе Сбербанка.

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!

 




В рубриках:
Безопасность
Форум экспертов
Зеркальный ПИН-код спасет от грабителей? Старый фейк вновь распространяют в сети
В последнее время через чаты WhatsApp активно «расшаривают» уже весьма старый фейк о том, что если вас пытаются ограбить и требуют снять деньги в банкомате в присутствии преступников, не стоит сопротивляться – просто… наберите ПИН-код в обратной последовательности.
16 июля 2018 14:00
Крупные залоговые займы от МФО: перспективы роста ограничены
В апреле нынешнего года Центробанк обратил свой взор на один из аспектов деятельности МФО, а именно — право выдавать крупные займы под залог, в частности, недвижимости. Проект новых правил формирования резервов под эту деятельность еще обсуждается, но почти наверняка будет принят. Насколько значимы нововведения? И каковы текущая оценка и перспективы развития  данного сегмента деятельности микрофинансовых организаций? Комментирует - Данил Шерстобитов, исполнительный директор сервиса "Робот Займер". 
10 июля 2018 13:49
Будущее сегодня. Horasis Global Meeting глазами российского участника 
Георгий Фомичев, футуролог, основатель Endurance robots, делится своими впечатлениями в качестве участника и спикера Horasis Global Meeting, мероприятия, которое прошло с 5 по 8 мая 2018 в г. Кашкайше (Португалия).
9 июля 2018 13:46
Смотреть все статьи рубрики >>
Смотреть все статьи рубрики >>
Смотреть все статьи рубрики >>
Лента новостей
Безопасность