Алеша
Пользователь
- Сообщения
- 3
- Лайки
- 10
Хочу поделиться с общественностью весьма подозрительными наблюдениями о работе с персональными данными вкладчика в АО «Сбербанк Управление Активами». Если кратко — в анкетные данные нового клиента вносится данные «левого почтового аккаунта» при отсутствии собственного электронного ящика у клиента. Насколько это серьезно, на данный момент сложно сказать, но, очевидно, что в принципах ИБ лучше перебдеть, чем не добдеть.
Ниже следует более подробное описание обнаруженного явления.
Одна знакомая женщина обратилась ко мне за советом, как ей распорядится своими пенсионными накоплениями, чтобы их хотя бы не съедала инфляция. Женщина эта старой закалки, пользуется только сберегательными книжками Сбербанка, подключать онлайн-банк и получать пластиковую карту категорически отказывается из-за недостаточного понимания новых технологий и боязни потери контроля над средствами. Надо сказать, последнее подозрение не безосновательно, так как открывает возможность удаленного доступа к счетам (и целому вектору социально-инженерных атак), а если у человека есть только сберкнижки, то управлять счетами в Сбере можно путем только физической явки (по официальной информации).
Женщина из нашей истории, хоть и переживает из-за инфляции, но так же не доверяет другим банкам и прочим финансовым организациям, особенно без гос. участия, поэтому перенос ее сбережений в другую организацию был отвергнут сразу. После недолгих размышлений мною был предложен вариант инвестировать 40% ее сбережений в ПИФ Фонд облигаций «Илья Муромец», как наиболее стабильный инвестиционный инструмент, из предлагаемых Сбером, в котором меньше всего спрятано хитрых ловушек и запутанных условий. На том и порешили. Деньги выносить из организации не нужно, стабильность инструмента внушает определенное доверие, управление прозрачное, снова можно обойтись без онлайна. Это присказка.
А теперь сказка. В отделении банка в городе в процессе заполнения анкеты и договора у женщины спросили ее данные, в том числе и адрес электронной почты. Она сообщила, что почта отсутствует, так как все равно с ней не умеет обращаться. В итоге, на подписании мы обнаружили следующий документ:
Важная часть выделена красным цветом.
На мой вопрос, «а что там делает посторонний почтовый адрес?» сотрудниками отдела мне был дан ответ — «не переживайте — это просто заглушка такая, для всех, у кого нет адреса». Нас пытались заверить, что это ничего не значит. Но что это за заглушка такая, которая представляет собой валидный почтовый адрес net@mail.ru? Более того, существующий почтовый адрес реального аккаунта, который не контролируется структурой Сбербанка на постороннем почтовом сервисе! Что еще стоит учесть, что данный адрес вбит в типовое поле рыбы анкеты клиента банка, а значит, можно сделать вывод, что он хранится в том же виде и в базе данных банка. Вбит у всех клиентов, без наличия своего собственного адреса, если экстраполировать слова персонала.
У всех почтовых ящиков на серверах mail.ru обычно автоматически создается страничка в социальной сети Мой Мир. Не стал исключением и аккаунт net@mail.ru:
Отлично, значит мы имеем ситуацию, что в информации о вкладчике\инвесторе в системах Сбербанка, пусть и в виде заглушки, присутствует посторонний адрес лица, не связанного с реальным владельцем счета. При условии, онлайн кабинет не активирован, я не смог придумать вектора атаки, который может задействовать нюанс с чужим адресом. Но интуиция просто не позволяет мне пройти мимо такой очевидной халатности в обращении с учетными данными.
Сейчас это эксплуатировать нельзя, но вдруг в будущем случится еще что-то, и станет можно? Что если владелец аккаунта решит воспользоватся сложившимися обстоятельствами? Что если его аккаунт просто взломают?
Задаем вопросы технической поддержке Сбербанка
С основного сайта Сбербанка, в чьем офисе, заключался договор, нас футболят к АО «Сбербанк Управление Активами». Заметьте договор в офисе одной организации составляется сотрудниками в интересах третьей организации. Окей. Находим контакты, пишем письмо и получаем ответы, которые противоречат имеющимся у нас на руках документам:
Представители техподдержки «Сбербанк Управление Активами» считают что нас «неверно информировали». А документ на руках говорит, что в анкету типовым образом внесли данные постороннего человека!
Тут на глаза кстати попадается контекстная реклама «Сбербанк Управление Активами», поэтому идем к ним с вопросами в социальную сеть, где получаем следующий кусочек пазла:
Теперь сотрудники считают, что это «пример заполнения» анкеты. Но ведь анкету заполняла не женщина-клиент банка, а компетентный сотрудник банка. И ему было указано на потенциальную проблему, на что сотрудник уверил, что это в порядке вещей и проблемой не является.
Суммируя и анализируя собранную информацию, я прихожу к выводу, что посторонние данные могли попасть в анкеты сотен, если не тысяч клиентов Сбербанка, причем это как раз те люди, которые недостаточно подкованы в области юридических, финансовых или информационных наук, но обладают значимыми денежными накоплениями. Иными словами, входят в группу риска.
Надеюсь, что написанное сподвигнет других вкладчиков еще раз проверить свои финансовые документы, а руководство структур Сбербанка — пересмотреть скрипты и инструкции операторов в отделениях. Кстати, на месте Сбера еще и компенсацию «пострадавшим» неплохо бы какую-то сделать, ну bug-баунти лишним не будет.
UPD 2 Спустя 31 час после последнеего сообщения в соц.сети Сбербанк неожиданно все-таки перешел к действиям:
Ниже следует более подробное описание обнаруженного явления.
Одна знакомая женщина обратилась ко мне за советом, как ей распорядится своими пенсионными накоплениями, чтобы их хотя бы не съедала инфляция. Женщина эта старой закалки, пользуется только сберегательными книжками Сбербанка, подключать онлайн-банк и получать пластиковую карту категорически отказывается из-за недостаточного понимания новых технологий и боязни потери контроля над средствами. Надо сказать, последнее подозрение не безосновательно, так как открывает возможность удаленного доступа к счетам (и целому вектору социально-инженерных атак), а если у человека есть только сберкнижки, то управлять счетами в Сбере можно путем только физической явки (по официальной информации).
Женщина из нашей истории, хоть и переживает из-за инфляции, но так же не доверяет другим банкам и прочим финансовым организациям, особенно без гос. участия, поэтому перенос ее сбережений в другую организацию был отвергнут сразу. После недолгих размышлений мною был предложен вариант инвестировать 40% ее сбережений в ПИФ Фонд облигаций «Илья Муромец», как наиболее стабильный инвестиционный инструмент, из предлагаемых Сбером, в котором меньше всего спрятано хитрых ловушек и запутанных условий. На том и порешили. Деньги выносить из организации не нужно, стабильность инструмента внушает определенное доверие, управление прозрачное, снова можно обойтись без онлайна. Это присказка.
А теперь сказка. В отделении банка в городе в процессе заполнения анкеты и договора у женщины спросили ее данные, в том числе и адрес электронной почты. Она сообщила, что почта отсутствует, так как все равно с ней не умеет обращаться. В итоге, на подписании мы обнаружили следующий документ:
Важная часть выделена красным цветом.
На мой вопрос, «а что там делает посторонний почтовый адрес?» сотрудниками отдела мне был дан ответ — «не переживайте — это просто заглушка такая, для всех, у кого нет адреса». Нас пытались заверить, что это ничего не значит. Но что это за заглушка такая, которая представляет собой валидный почтовый адрес net@mail.ru? Более того, существующий почтовый адрес реального аккаунта, который не контролируется структурой Сбербанка на постороннем почтовом сервисе! Что еще стоит учесть, что данный адрес вбит в типовое поле рыбы анкеты клиента банка, а значит, можно сделать вывод, что он хранится в том же виде и в базе данных банка. Вбит у всех клиентов, без наличия своего собственного адреса, если экстраполировать слова персонала.
У всех почтовых ящиков на серверах mail.ru обычно автоматически создается страничка в социальной сети Мой Мир. Не стал исключением и аккаунт net@mail.ru:
Отлично, значит мы имеем ситуацию, что в информации о вкладчике\инвесторе в системах Сбербанка, пусть и в виде заглушки, присутствует посторонний адрес лица, не связанного с реальным владельцем счета. При условии, онлайн кабинет не активирован, я не смог придумать вектора атаки, который может задействовать нюанс с чужим адресом. Но интуиция просто не позволяет мне пройти мимо такой очевидной халатности в обращении с учетными данными.
Сейчас это эксплуатировать нельзя, но вдруг в будущем случится еще что-то, и станет можно? Что если владелец аккаунта решит воспользоватся сложившимися обстоятельствами? Что если его аккаунт просто взломают?
Задаем вопросы технической поддержке Сбербанка
С основного сайта Сбербанка, в чьем офисе, заключался договор, нас футболят к АО «Сбербанк Управление Активами». Заметьте договор в офисе одной организации составляется сотрудниками в интересах третьей организации. Окей. Находим контакты, пишем письмо и получаем ответы, которые противоречат имеющимся у нас на руках документам:
Представители техподдержки «Сбербанк Управление Активами» считают что нас «неверно информировали». А документ на руках говорит, что в анкету типовым образом внесли данные постороннего человека!
Тут на глаза кстати попадается контекстная реклама «Сбербанк Управление Активами», поэтому идем к ним с вопросами в социальную сеть, где получаем следующий кусочек пазла:
Теперь сотрудники считают, что это «пример заполнения» анкеты. Но ведь анкету заполняла не женщина-клиент банка, а компетентный сотрудник банка. И ему было указано на потенциальную проблему, на что сотрудник уверил, что это в порядке вещей и проблемой не является.
Суммируя и анализируя собранную информацию, я прихожу к выводу, что посторонние данные могли попасть в анкеты сотен, если не тысяч клиентов Сбербанка, причем это как раз те люди, которые недостаточно подкованы в области юридических, финансовых или информационных наук, но обладают значимыми денежными накоплениями. Иными словами, входят в группу риска.
Надеюсь, что написанное сподвигнет других вкладчиков еще раз проверить свои финансовые документы, а руководство структур Сбербанка — пересмотреть скрипты и инструкции операторов в отделениях. Кстати, на месте Сбера еще и компенсацию «пострадавшим» неплохо бы какую-то сделать, ну bug-баунти лишним не будет.
UPD 2 Спустя 31 час после последнеего сообщения в соц.сети Сбербанк неожиданно все-таки перешел к действиям:
Последнее редактирование: