Хабрахабр

«Сбербанк Управление Активами» вносит в анкету новых клиентов посторонний e-mail

image

Если кратко — в анкетные данные нового клиента вносится данные «левого почтового аккаунта» при отсуствии собственного электронного ящика у клиента. Хочу поделиться с общественностью весьма подозрительными наблюдениями о работе с персональными данными вкладчика в АО «Сбербанк Управление Активами». Насколько это серьезно, на данный момент сложно сказать, но, очевидно, что в принципах ИБ лучше перебдеть, чем не добдеть.

Ниже следует более подробное описание обнаруженного явления.
Одна знакомая женщина обратилась ко мне за советом, как ей распорядится своими пенсионными накоплениями, чтобы их хотябы не сьедала инфляция. Организация была мной надлежащим образом уведомлена о ситуации, но ее представители считают, что проблемы не существует. Надо сказать, последнее подозрение не безосновательно, так как открывает возможность удаленного доступа к счетам (и целому вектору социально-инженерных атак), а если у человека есть только сберкнижки, то управлять счетами в Сбере можно путем только физической явки (по официальной информации). Женщина эта старой закалки, пользуется только сберегательными книжками Сбербанка, подключать онлайн-банк и получать пластиковую карту категорически отказывается из-за недостадочного понимания новых технологий и боязни потери контроля над средствами.

участия, поэтому перененос ее сбережений в другую организацию был отвергнут сразу. Женщина из нашей истории, хоть и переживает из-за инфляции, нотак же не доверяет другим банкам и прочим финансовым организациям, особенно без гос. На том и порешили. После недолгих размышлений мною был предложен вариант инвестировать 40% ее сбережений в ПИФ Фонд облигаций «Илья Муромец», как наиболее стабильный ивестиционный инструмент, из предлагаемых Сбером, в котором меньше всего спрятано хитрых ловушек и запутанных условий. Это присказка. Деньги выносить из организации не нужно, стабильность инструмента внушает определенное доверие, управление прозрачное, снова можно обойтись без онлайна.

В отделении банка в городе в процессе заполнения анкеты и договора у женщины спросили ее данные, в том числе и адрес электронной почты. А теперь сказка. В итоге, на подписании мы обнаружили следующий документ: Она сообщила, что почта отсуствует, так как все равно с ней не умеет обращаться.

Важная часть выделена красным цветом.

Нас пытались заверить, что это ничего не знаит. На мой вопрос, «а что там делает посторонний почтовый адрес?» сотрудниками отдела мне был дан ответ — «не переживайте — это просто заглушка такая, для всех, у кого нет адреса». Более того, существующий почтовый адрес реального аккаунта, который не контролируется структурой Сбербанка на постороннем почтовом сервисе! Но что это за заглушка такая, которая представляет собой валидный почтовый адрес net@mail.ru? Вбит у всех клиентов, без наличия своего собственного адреса, если экстраполировать слова персонала. Что еще стоит учесть, что данный адрес вбит в типовое поле рыбы анкеты клиента банка, а значит, можно сделать вывод, что он хранится в том же виде и в базе данных банка.

Не стал исключением и аккаунт net@mail.ru: У всех почтовых ящиков на серверах mail.ru обычно автоматически создается страничка в социальной сети Мой Мир.

При условии, онлайн кабинет не активирован, я не смог придумать вектора атаки, который может задействовать нюанс с чужим адресом. Отлично, значит мы имеем ситуацию, что в информации о вкладчике\инвесторе в системах Сбербанка, пусть и в виде заглушки, присутствует посторонний адрес лица, не связанного с реальным владельцем счета. Но интуиция просто не позволяет мне пройти мимо такой очевидной халатности в обращении с учетными данными.

Что если владелец аккаунта решит воспользоватся сложившимися обстоятельствами? Сейчас это эксплуатировать нельзя, но вдруг в будущем случится еще что-то, и станет можно? Что если его аккаунт просто взломают?

Задаем вопросы технической поддержке Сбербанка

Заметьте договор в офисе одной организации составляется сотрудниками в интересах третьей организации. С основного сайта Сбербанка, в чьем офисе, заключался договор, нас футболят к АО «Сбербанк Управление Активами». Находим контакты, пищем письмо и получаем ответы, которые противоречат имеющимся у нас на руках документам: Окей.


А документ на руках говорит, что в анкету типовым образом внесли данные постороннего человека! Представители техподдержки «Сбербанк Управление Активами» считают что нас «неверно информировали».

Тут на глаза кстати попадается контекстная реклама «Сбербанк Управление Активами», поэтому идем к ним с вопросами в социальную сеть, где получаем следующий кусочек пазла:

Но ведь анкету заполняла не женщина-клиент банка, а компетентный сотрудник банка. Теперь сотрудники считают, что это «пример заполнения» анкеты. И ему было указано на потенциальную проблему, на что сотрудник уверил, что это в порядке вещей и проблемой не является.

Иными словами, входят группу риска. Суммируя и анализируя собранную информацию, я прихожу к выводу, что посторонние данные могли попасть в анкеты сотен, если не тысяч клиентов Сбербанка, причем это как раз те люди, которые недостадочно подкованы в области юридических, финансовых или информационных наук, но обладают значимыми денежными накоплениями.

Ведь проблема куда глобальнее. Хабр, конечно, не жалобная книга, но я и не хочу здесь разобраться с отдельно взятым сотрудником банка. Да, она пока не несет реальной опасности, но порой именно такие огрехи становятся в последствии бомбой замедленного действия. Смысл этого поста в том, чтобы предупредить людей о потенциальной угрозе их материальному благополучию. Ведь в документах, касающихся денег и финансовых инструментов не должно быть ни байта посторонней информации!

Кстати, на месте Сбера еще и компенсацию «пострадавшим» неплохо бы какую-то сделать, ну bug-баунти лишним не будет. Надеюсь, что написанное сподвигнет других вкладчиков еще раз проверить свои финансовые документы, а руководство структур Сбербанка — пересмотреть скрипты и инструкции операторов в отделениях.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть