Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
Автор блога выяснил, что в веб-версию "Сбербанк-Онлайн" вшиты коды счетчиков нескольких поисковых систем, в том числе Google-analytics, Rutarget, Doubleclick и Яндекс.Метрика, которые имеют доступ к личной информации клиента, видимой на сайте. Таким образом логины и пароли пользователей легко перехватить в момент ввода. Эта возможность, считает Олег Калабухин, позволяет управлять чужими банковскими счетами.
"Суть происходящего – в следующем: 1) скрипты могут быть использованы для сбора любой информации о платежах, картах, паролях и других вводимых и отображаемых данных; 2) скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь; 3) скрипты могут быть использованы для подмены вводимой информации", – пишет О. Калабухин.
В Сбербанке порталу PlUSworld.ru рассказали, что в публикации описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков, которая к тому же неверно отражена в заголовке.
«Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутствии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко. В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов», - пояснили в пресс-службе Сбербанка.
По материалам PLUSworld.ru
Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!