Ich möchte der Öffentlichkeit sehr verdächtige Beobachtungen über die Arbeit mit den persönlichen Daten eines Mitarbeiters von Sberbank Asset Management JSC mitteilen. Kurz gesagt, die Daten des „Linkspostkontos“ werden in die persönlichen Daten des neuen Kunden eingegeben, wenn beim Kunden kein persönliches E-Mail-Postfach vorhanden ist. Wie ernst dies ist, ist im Moment schwer zu sagen, aber in
IS- Prinzipien ist es offensichtlich besser zu überholen als nicht zu beenden.
Die Organisation wurde von mir ordnungsgemäß über die Situation informiert, aber ihre Vertreter glauben, dass das Problem nicht besteht. Das Folgende ist eine detailliertere Beschreibung des erkannten Phänomens.
Eine Freundin von mir wandte sich an mich, um Ratschläge zu erhalten, wie sie ihre Rentenersparnisse verwalten würde, damit die Inflation sie nicht auffrisst. Diese altmodische Frau verwendet nur Sberbank-Sparbücher, weigert sich kategorisch, eine Online-Bank anzuschließen und eine Plastikkarte zu erhalten, da sie die neuen Technologien nicht ausreichend versteht und befürchtet, die Kontrolle über die Gelder zu verlieren. Ich muss sagen, dass der letzte Verdacht nicht unbegründet ist, da er die Möglichkeit des Fernzugriffs auf Konten (und eine ganze Reihe von Social-Engineering-Angriffen) eröffnet. Wenn eine Person nur Sparbücher hat, können Sie Konten in der Sberbank nur nach physischem Erscheinungsbild verwalten (nach offiziellen Angaben).
Eine Frau aus unserer Geschichte ist zwar besorgt über die Inflation, vertraut aber auch anderen Banken und anderen Finanzorganisationen nicht, insbesondere ohne staatliche Mittel. Teilnahme wurde daher die Übertragung ihrer Ersparnisse auf eine andere Organisation sofort abgelehnt. Nach einigem Überlegen schlug ich vor, 40% seiner Ersparnisse in den Investmentfonds Ilya Muromets Bond Fund zu investieren, als das stabilste Anlageinstrument von Sber, in dem die kniffligen Fallen und verwirrenden Bedingungen am wenigsten verborgen sind. Sie haben sich dafür entschieden. Es ist nicht notwendig, Geld aus der Organisation herauszunehmen, die Stabilität des Instruments schafft ein gewisses Vertrauen, das Management ist transparent, auch hier können Sie auf Online verzichten. Das ist ein Sprichwort.
Und jetzt ein Märchen. In der Bankfiliale der Stadt wurde die Frau beim Ausfüllen des Fragebogens und des Vertrags nach ihren Daten einschließlich der E-Mail-Adresse gefragt. Sie sagte, dass die Post nicht verfügbar sei, da sie immer noch nicht weiß, wie sie damit umgehen soll. Als Ergebnis fanden wir bei der Unterzeichnung das folgende Dokument:
Der wichtige Teil ist rot hervorgehoben.Auf meine Frage: "Was macht eine externe Postanschrift dort?" Die Mitarbeiter der Abteilung gaben mir eine Antwort: "Keine Sorge - dies ist nur ein Stich für
alle , die keine Adresse haben." Sie versuchten uns zu versichern, dass dies nichts bedeutet. Aber was für ein Stub ist das, was ist eine gültige E-Mail-Adresse
net@mail.ru ? Darüber hinaus die
vorhandene Postanschrift eines realen Kontos, das
nicht von der Struktur der Sberbank auf einem
externen Postdienst
kontrolliert wird ! Was noch zu beachten ist, ist, dass diese Adresse in das typische Fischfeld des Kundenprofils der Bank eingegeben wird, was bedeutet, dass daraus geschlossen werden kann, dass sie in derselben Form in der Datenbank der Bank gespeichert ist. Angetrieben von
allen Kunden, ohne ihre eigene Adresse zu haben, wenn Sie die Worte des Personals extrapolieren.
Alle Postfächer auf mail.ru-Servern erstellen normalerweise automatisch eine Seite im sozialen Netzwerk von My World. Das Konto
net@mail.ru war keine
Ausnahme :
Nun, das heißt, wir haben eine Situation, in der in den Informationen über den Einleger / Investor in den Systemen der Sberbank, wenn auch in Form eines Stubs, eine fremde Adresse einer Person angegeben ist, die nicht mit dem tatsächlichen Eigentümer des Kontos verbunden ist. Vorausgesetzt, das Online-Konto ist nicht aktiviert, konnte ich keinen Angriffsvektor finden, der eine Nuance mit der Adresse eines anderen beinhalten könnte. Aber die Intuition erlaubt mir einfach nicht, eine so offensichtliche Nachlässigkeit im Umgang mit Anmeldeinformationen zu überwinden.
Jetzt ist es unmöglich, es auszunutzen, aber was ist, wenn in Zukunft etwas anderes passiert und es möglich wird? Was ist, wenn der Kontoinhaber beschließt, die Umstände auszunutzen? Was ist, wenn sein Konto einfach gehackt wird?
Wir stellen Fragen an den technischen Support der Sberbank
Vom Hauptstandort der Sberbank, in deren Büro der Vertrag abgeschlossen wurde, werden wir zu Sberbank Asset Management JSC geworfen. Beachten Sie, dass der Vertrag im Büro
einer Organisation von Mitarbeitern im Interesse der
dritten Organisation erstellt wird. Okay Wir finden Kontakte, schreiben einen Brief und erhalten Antworten, die den vorliegenden Dokumenten widersprechen:
Vertreter des technischen Supports von Sberbank Asset Management sind der Ansicht, dass wir "falsch informiert" wurden. Und das vorliegende Dokument besagt, dass die Daten eines Außenstehenden auf typische Weise in den Fragebogen eingegeben wurden!
Hier fällt mir übrigens die kontextbezogene Werbung „Sberbank Asset Management“ auf, deshalb gehen wir mit Fragen in einem sozialen Netzwerk zu ihnen, wo wir das folgende Puzzleteil erhalten:
Jetzt betrachten Mitarbeiter dies als „Beispiel für das Ausfüllen eines Fragebogens“. Der Fragebogen wurde jedoch nicht von einer Kundin der Bank, sondern von einer kompetenten Bankangestellten ausgefüllt. Und er wurde auf ein potenzielles Problem hingewiesen, bei dem der Mitarbeiter versicherte, dass dies in der Reihenfolge der Dinge liege und kein Problem sei.
Wenn ich die gesammelten Informationen zusammenfasse und analysiere, komme ich zu dem Schluss, dass fremde Daten in die Profile von Hunderten, wenn nicht Tausenden von Sberbank-Kunden fallen könnten, und dies sind genau diejenigen Personen, die auf dem Gebiet der Rechts-, Finanz- oder Informationswissenschaften wenig versiert sind, aber erhebliche finanzielle Einsparungen erzielen . Mit anderen Worten, sie sind gefährdet.
Habr ist natürlich kein trauriges Buch, aber ich möchte mich hier nicht mit einem einzelnen Bankangestellten befassen. Immerhin ist das Problem viel globaler. Die Bedeutung dieses Beitrags ist es, Menschen vor der möglichen Bedrohung ihres materiellen Wohlbefindens zu warnen. Ja, es birgt immer noch keine wirkliche Gefahr, aber manchmal sind es solche Mängel, die in Zukunft zu einer Zeitbombe werden. In Dokumenten, die sich auf Geld und Finanzinstrumente beziehen, sollte es in der Tat kein Byte fremder Informationen geben!
Ich hoffe, dass das, was geschrieben steht, andere Investoren dazu ermutigen wird, ihre Finanzdokumente erneut zu überprüfen, und das Management der Sberbank-Strukturen, Skripte und Anweisungen der Betreiber in den Filialen zu überprüfen. Übrigens wäre es an der Stelle von Sber auch schön, den „Opfern“ eine Entschädigung zukommen zu lassen. Nun, ein Bug-Bounty wäre nicht überflüssig.
UPD- Benutzer
Joyz sprach mit der Alfa Bank über eine fast
ähnliche Situation .
UPD 2 Nach 31 Stunden nach der letzten Nachricht im sozialen Netzwerk ging die Sberbank dennoch unerwartet zu folgenden Aktionen über:
