تقدم Sberbank Asset Management بريدًا إلكترونيًا غريبًا إلى ملف تعريف العملاء الجدد

أريد أن أطلع الجمهور على الملاحظات المشبوهة للغاية حول العمل مع البيانات الشخصية لمساهم في Sberbank Asset Management JSC. باختصار ، يتم إدخال بيانات "حساب البريد الأيسر" في البيانات الشخصية للعميل الجديد عندما لا يكون هناك صندوق بريد إلكتروني شخصي مع العميل. مدى خطورة هذا ، من الصعب في الوقت الحاضر القول ، ولكن ، من الواضح ، في مبادئ داعش ، من الأفضل تجاوزها بدلاً من عدم الانتهاء.

وقد أبلغت المنظمة على النحو الواجب بالوضع ، لكن ممثليها يعتقدون أن المشكلة غير موجودة. فيما يلي وصف أكثر تفصيلاً للظاهرة المكتشفة.

لجأت إلي صديقة لي للحصول على المشورة بشأن كيفية إدارة مدخراتها التقاعدية حتى لا يأكلها التضخم. تستخدم هذه المرأة القديمة كتب التوفير Sberbank فقط ، وترفض بشكل قاطع ربط أحد البنوك عبر الإنترنت والحصول على بطاقة بلاستيكية بسبب الفهم غير الكافي للتكنولوجيات الجديدة والخوف من فقدان السيطرة على الأموال. يجب أن أقول أن الشك الأخير ليس له أساس من الصحة ، لأنه يفتح إمكانية الوصول عن بُعد إلى الحسابات (ومتجهًا كاملاً لهجمات الهندسة الاجتماعية) ، وإذا كان لدى الشخص سجلات سفر فقط ، فيمكنك إدارة الحسابات في Sberbank فقط عن طريق المظهر المادي (وفقًا للمعلومات الرسمية).

امرأة من تاريخنا ، على الرغم من القلق من التضخم ، إلا أنها لا تثق في البنوك الأخرى والمؤسسات المالية الأخرى ، خاصة بدون أموال الدولة. المشاركة ، لذلك ، تم رفض تحويل مدخراتها إلى منظمة أخرى على الفور. بعد بعض التفكير ، اقترحت خيار استثمار 40 ٪ من مدخراتها في صندوق الاستثمار المشترك Ilya Muromets Bond Fund ، كأداة استثمار أكثر استقرارًا ، مقدمة من Sber ، حيث تكون الفخاخ الصعبة والظروف المربكة أقل إخفاء. قرروا على ذلك. ليس من الضروري أخذ أموال من المنظمة ، فإن استقرار الأداة يلهم ثقة معينة ، والإدارة شفافة ، ومرة ​​أخرى يمكنك الاستغناء عنها عبر الإنترنت. هذا قول.

والآن خرافة. في فرع البنك في المدينة ، في عملية ملء الاستبيان والعقد ، سئلت المرأة تفاصيلها ، بما في ذلك عنوان البريد الإلكتروني. قالت إن مكتب البريد غير متاح ، لأنها لا تزال لا تعرف كيفية التعامل معه. ونتيجة لذلك ، وجدنا عند التوقيع الوثيقة التالية:



يتم تمييز الجزء المهم باللون الأحمر.

على سؤالي ، "ماذا يفعل العنوان البريدي الخارجي هناك؟" أعطاني موظفو القسم إجابة - "لا تقلق - هذا مجرد كعب لكل شخص ليس لديه عنوان." حاولوا أن يؤكدوا لنا أن هذا لا يعني شيئًا. ولكن ما هو نوع كعب الروتين هذا ، وهو عنوان بريد إلكتروني صالح net@mail.ru ؟ علاوة على ذلك ، فإن العنوان البريدي الحالي لحساب حقيقي لا يتم التحكم فيه بواسطة هيكل Sberbank على خدمة بريد خارجية ! ما هو جدير بالاعتبار أيضًا أن هذا العنوان مدفوع إلى حقل الأسماك النموذجي للملف الشخصي لعملاء البنك ، مما يعني أنه يمكن الاستنتاج أنه يتم تخزينه بنفس الشكل في قاعدة بيانات البنك. مدفوعة من قبل جميع العملاء ، دون أن يكون لديهم عنوان خاص بهم ، إذا قمت باستقراء كلمات الموظفين.

عادةً ما تقوم جميع صناديق البريد الموجودة على خوادم mail.ru تلقائيًا بإنشاء صفحة على شبكة My World الاجتماعية. لم يكن حساب net@mail.ru استثناءً :



حسنًا ، هذا يعني أن لدينا حالة حيث في المعلومات حول المودع / المستثمر في أنظمة Sberbank ، وإن كان في شكل كعب ، يوجد عنوان غريب لشخص غير مرتبط بالمالك الحقيقي للحساب. شريطة عدم تنشيط الحساب عبر الإنترنت ، لم أتمكن من التوصل إلى ناقل هجوم يمكن أن ينطوي على فارق بسيط مع عنوان شخص آخر. لكن الحدس ببساطة لا يسمح لي بتجاوز هذا الإهمال الواضح في التعامل مع أوراق الاعتماد.

الآن من المستحيل استغلالها ، ولكن ماذا لو حدث شيء آخر في المستقبل ، وأصبح ممكنًا؟ ماذا لو قرر مالك الحساب الاستفادة من الظروف؟ ماذا لو تم اختراق حسابه ببساطة؟

نسأل أسئلة الدعم الفني من Sberbank

من الموقع الرئيسي ل Sberbank ، الذي تم إبرام العقد في مكتبه ، يتم طردنا إلى Sberbank Asset Management JSC. لاحظ أن العقد في مكتب منظمة واحدة يتم إعداده من قبل الموظفين لصالح المنظمة الثالثة . حسنًا نجد جهات اتصال ونكتب رسالة ونحصل على إجابات تناقض المستندات الموجودة لدينا:




يعتقد ممثلو الدعم الفني في Sberbank Asset Management أننا "تم إبلاغنا بشكل غير صحيح". وتقول الوثيقة المتوفرة أن بيانات شخص خارجي تم كتابتها في الاستبيان بطريقة نموذجية!

هنا ، بالمناسبة ، الإعلان السياقي "Sberbank Asset Management" يلفت انتباهي ، لذلك نذهب إليهم بأسئلة في شبكة اجتماعية ، حيث نحصل على الجزء التالي من اللغز:



يعتبر الموظفون الآن أن هذا "مثال على ملء" استبيان. لكن الاستبيان لم يملأ من قبل عميلة البنك ، ولكن من قبل موظفة بنك مختصة. وأشار إلى مشكلة محتملة ، أكد لها الموظف أن هذا في ترتيب الأمور وليس مشكلة.

تلخيصًا وتحليلًا للمعلومات التي تم جمعها ، توصلت إلى استنتاج مفاده أن البيانات الدخيلة يمكن أن تقع في الملفات الشخصية لمئات ، إن لم يكن الآلاف ، من عملاء Sberbank ، وهم بالتحديد هؤلاء الأشخاص الذين لا يتمتعون بالذكاء السيئ في مجال العلوم القانونية أو المالية أو علوم المعلومات ، ولكن لديهم مدخرات مالية كبيرة . وبعبارة أخرى ، هم في خطر.

هبر ، بالطبع ، ليس كتابًا حزينًا ، لكني لا أريد التعامل مع موظف بنك فردي هنا. بعد كل شيء ، المشكلة أكثر عالمية. معنى هذا المنشور هو تحذير الناس من التهديد المحتمل لرفاههم المادي. نعم ، لا يزال لا يحمل خطرًا حقيقيًا ، ولكن في بعض الأحيان تصبح مثل هذه العيوب قنبلة موقوتة في المستقبل. في الواقع ، في الوثائق المتعلقة بالمال والأدوات المالية يجب ألا يكون هناك بايت من المعلومات الغريبة!

آمل أن ما هو مكتوب سيشجع المستثمرين الآخرين على التحقق من وثائقهم المالية مرة أخرى ، وإدارة هياكل Sberbank لمراجعة النصوص وتعليمات المشغلين في الفروع. بالمناسبة ، في مكان سبير ، سيكون من الجيد أيضًا تقديم بعض التعويضات لـ "الضحايا" ، حسنًا ، لن يكون فضل الخلل غير ضروري.

تحدث مستخدم Joyd من UPD عن موقف مماثل تقريبًا مع Alfa Bank.
UPD 2 بعد 31 ساعة من آخر رسالة على الشبكة الاجتماعية ، انتقل Sberbank بشكل غير متوقع إلى الإجراءات: