Quiero compartir con el público observaciones muy sospechosas sobre trabajar con los datos personales de un contribuyente a Sberbank Asset Management JSC. En resumen, los datos de la "cuenta de correo izquierda" se ingresan en los datos personales del nuevo cliente cuando no hay un buzón de correo electrónico personal con el cliente. Qué tan serio es esto, en este momento es difícil de decir, pero, obviamente, en los principios de
IS es mejor adelantar que no terminar.
La organización fue informada debidamente de la situación por mí, pero sus representantes creen que el problema no existe. La siguiente es una descripción más detallada del fenómeno detectado.
Una amiga mía me pidió consejo sobre cómo manejaría sus ahorros de pensión para que la inflación no los consumiera. Esta mujer pasada de moda usa solo libros de ahorros de Sberbank, se niega categóricamente a conectar un banco en línea y recibir una tarjeta de plástico debido a una comprensión inadecuada de las nuevas tecnologías y el miedo a perder el control sobre los fondos. Debo decir que la última sospecha no es infundada, ya que abre la posibilidad de acceso remoto a las cuentas (y todo un vector de ataques de ingeniería social), y si una persona solo tiene libretas, entonces puede administrar cuentas en Sberbank solo por apariencia física (según información oficial).
Una mujer de nuestra historia, aunque preocupada por la inflación, tampoco confía en otros bancos y otras organizaciones financieras, especialmente sin fondos estatales. participación, por lo tanto, la transferencia de sus ahorros a otra organización fue rechazada de inmediato. Después de pensarlo un poco, propuse la opción de invertir el 40% de sus ahorros en el fondo mutuo Ilya Muromets Bond Fund, como la herramienta de inversión más estable, ofrecida por Sber, en la que las trampas difíciles y las condiciones confusas están menos escondidas. Se decidieron por eso. No es necesario sacar dinero de la organización, la estabilidad del instrumento inspira cierta confianza, la gestión es transparente, una vez más, puede prescindir en línea. Este es un dicho.
Y ahora un cuento de hadas. En la sucursal bancaria de la ciudad, en el proceso de completar el cuestionario y el contrato, se le preguntó a la mujer sus detalles, incluida la dirección de correo electrónico. Ella dijo que la oficina de correos no está disponible, ya que todavía no sabe cómo manejarla. Como resultado, en la firma encontramos el siguiente documento:
La parte importante se resalta en rojo.A mi pregunta, "¿qué hace allí una dirección postal externa?" El personal del departamento me dio una respuesta: "No se preocupe, esto es solo un trozo para
todos los que no tienen una dirección". Intentaron asegurarnos que esto no significa nada. Pero, ¿qué tipo de trozo es este, que es una dirección de correo electrónico válida
net@mail.ru ? Además, la dirección de correo
existente de una cuenta real que
no está
controlada por la estructura de Sberbank en un servicio de correo
externo . ¿Qué más vale la pena teniendo en cuenta que esta dirección se introduce en el típico campo de peces del perfil del cliente del banco, lo que significa que se puede concluir que se almacena de la misma forma en la base de datos del banco? Impulsado por
todos los clientes, sin tener su propia dirección, si extrapola las palabras del personal.
Todos los buzones en los servidores de mail.ru generalmente crean automáticamente una página en la red social My World. La cuenta
net@mail.ru no fue la
excepción :
Bueno, eso significa que tenemos una situación en la que en la información sobre el depositante / inversor en los sistemas de Sberbank, aunque en forma de talón, hay una dirección extraña de una persona que no está conectada con el verdadero propietario de la cuenta. Siempre que la cuenta en línea no esté activada, no podría encontrar un vector de ataque que pudiera implicar un matiz con la dirección de otra persona. Pero la intuición simplemente no me permite superar una negligencia tan obvia en el manejo de las credenciales.
Ahora es imposible explotarlo, pero ¿qué pasa si sucede algo más en el futuro y se hace posible? ¿Qué sucede si el propietario de la cuenta decide aprovechar las circunstancias? ¿Qué pasa si su cuenta es simplemente hackeada?
Hacemos preguntas de soporte técnico de Sberbank
Desde el sitio principal de Sberbank, en cuya oficina se celebró el contrato, estamos siendo expulsados a Sberbank Asset Management JSC. Tenga en cuenta que el contrato en la oficina de
una organización es redactado por los empleados en interés de la
tercera organización. Esta bien Encontramos contactos, escribimos una carta y obtenemos respuestas que contradicen los documentos que tenemos a mano:
Los representantes de soporte técnico de Sberbank Asset Management creen que fuimos "informados incorrectamente". ¡Y el documento en la mano dice que los datos de un extraño se ingresaron en el cuestionario de la manera típica!
Aquí, por cierto, el anuncio contextual "Sberbank Asset Management" me llama la atención, así que vamos a ellos con preguntas en una red social, donde obtenemos la siguiente pieza del rompecabezas:
Ahora los empleados consideran que esto es un "ejemplo de completar" un cuestionario. Pero el cuestionario no fue completado por una cliente femenina del banco, sino por un empleado competente del banco. Y se le señaló un problema potencial, al que el empleado aseguró que esto está en el orden de las cosas y no es un problema.
Resumiendo y analizando la información recopilada, llego a la conclusión de que los datos extraños podrían caer en los perfiles de cientos, si no miles, de clientes de Sberbank, y estas son precisamente aquellas personas que tienen poca experiencia en el campo de las ciencias jurídicas, financieras o de la información, pero que tienen ahorros monetarios significativos . En otras palabras, están en riesgo.
Habr, por supuesto, no es un libro triste, pero no quiero tratar con un empleado bancario individual aquí. Después de todo, el problema es mucho más global. El significado de esta publicación es advertir a las personas sobre la amenaza potencial para su bienestar material. Sí, todavía no conlleva un peligro real, pero a veces son defectos que se convierten en una bomba de tiempo en el futuro. De hecho, en los documentos relacionados con dinero e instrumentos financieros no debe haber un byte de información extraña.
Espero que lo que esté escrito anime a otros inversores a revisar sus documentos financieros una vez más, y a la administración de las estructuras de Sberbank para revisar los guiones e instrucciones de los operadores en las sucursales. Por cierto, en el lugar de Sber, también sería bueno hacer alguna compensación a las "víctimas", bueno, una recompensa por errores no sería superflua.
El usuario de
UPD Joyz habló sobre una
situación casi
similar con Alfa Bank.
UPD 2 Después de 31 horas después del último mensaje en la red social, Sberbank, sin embargo, inesperadamente procedió a acciones:
