Je souhaite partager avec le public des observations très suspectes concernant l'utilisation des données personnelles d'un contributeur à Sberbank Asset Management JSC. En bref, les données du «compte de messagerie gauche» sont saisies dans les données personnelles du nouveau client lorsqu'il n'y a pas de boîte e-mail personnelle avec le client. Comme c'est grave, pour le moment, c'est difficile à dire, mais, évidemment, dans les principes de l'
EI , il vaut mieux dépasser que ne pas finir.
L'organisation a été dûment informée de la situation par moi, mais ses représentants estiment que le problème n'existe pas. Ce qui suit est une description plus détaillée du phénomène détecté.
Une de mes amies s'est tournée vers moi pour obtenir des conseils sur la manière de gérer son épargne-pension afin que l'inflation ne les ronge pas. Cette femme démodée n'utilise que des livrets d'épargne Sberbank, refuse catégoriquement de se connecter à une banque en ligne et de recevoir une carte en plastique en raison d'une mauvaise compréhension des nouvelles technologies et de la peur de perdre le contrôle des fonds. Je dois dire que le dernier soupçon n'est pas infondé, car il ouvre la possibilité d'un accès à distance aux comptes (et à tout un vecteur d'attaques d'ingénierie sociale), et si une personne n'a que des carnets, vous ne pouvez gérer les comptes dans Sberbank que par apparence physique (selon les informations officielles).
Une femme de notre histoire, bien que préoccupée par l'inflation, ne fait pas non plus confiance aux autres banques et autres organisations financières, en particulier sans les fonds publics. par conséquent, le transfert de son épargne à une autre organisation a été immédiatement rejeté. Après réflexion, j'ai proposé l'option d'investir 40% de son épargne dans le fonds commun de placement Ilya Muromets Bond Fund, comme l'outil d'investissement le plus stable, proposé par Sber, dans lequel les pièges délicats et les conditions confuses sont les moins cachés. Ils ont décidé de cela. Il n'est pas nécessaire de retirer de l'argent de l'organisation, la stabilité de l'instrument inspire une certaine confiance, la gestion est transparente, là encore vous pouvez vous passer de online. C'est un dicton.
Et maintenant un conte de fées. À l'agence bancaire de la ville, en train de remplir le questionnaire et le contrat, la femme a été invitée à fournir ses coordonnées, notamment son adresse e-mail. Elle a dit que le bureau de poste n'était pas disponible, car elle ne savait toujours pas comment le gérer. En conséquence, lors de la signature, nous avons trouvé le document suivant:
La partie importante est surlignée en rouge.À ma question, "que fait une adresse postale extérieure?" Le personnel du département m'a donné une réponse - "Ne vous inquiétez pas - ce n'est qu'un talon pour
tous ceux qui n'ont pas d'adresse." Ils ont essayé de nous assurer que cela ne voulait rien dire. Mais de quel type de talon s'agit-il, qui est une adresse e-mail valide
net@mail.ru ? De plus, l'adresse postale
existante d'un compte réel qui n'est
pas contrôlée par la structure de Sberbank sur un service de messagerie
externe ! Quoi d'autre vaut la peine de considérer que cette adresse est introduite dans le champ de poissons typique du profil client de la banque, ce qui signifie qu'il peut être conclu qu'elle est stockée sous la même forme dans la base de données de la banque. Conduit par
tous les clients, sans avoir leur propre adresse, si vous extrapolez les paroles du personnel.
Toutes les boîtes aux lettres sur les serveurs mail.ru créent généralement automatiquement une page sur le réseau social My World. Le compte
net@mail.ru ne fait pas
exception :
Eh bien, cela signifie que nous avons une situation où, dans les informations sur le déposant / investisseur dans les systèmes de Sberbank, bien que sous la forme d'un talon, il y a une adresse étrangère d'une personne qui n'est pas liée au véritable propriétaire du compte. À condition que le compte en ligne ne soit pas activé, je ne pourrais pas trouver un vecteur d'attaque qui pourrait impliquer une nuance avec l'adresse de quelqu'un d'autre. Mais l'intuition ne me permet tout simplement pas de surmonter une négligence aussi évidente dans le traitement des informations d'identification.
Maintenant, il est impossible de l'exploiter, mais que se passe-t-il si quelque chose d'autre se produit à l'avenir et que cela devient possible? Et si le titulaire du compte décide de profiter des circonstances? Et si son compte était simplement piraté?
Nous posons des questions au support technique de Sberbank
Depuis le site principal de Sberbank, dans le bureau duquel le contrat a été conclu, nous sommes renvoyés à Sberbank Asset Management JSC. Notez que le contrat dans le bureau d'
une organisation est rédigé par des employés dans l'intérêt de la
troisième organisation. Ok Nous trouvons des contacts, écrivons une lettre et obtenons des réponses qui contredisent les documents que nous avons en main:
Les représentants du support technique de Sberbank Asset Management estiment que nous avons été "mal informés". Et le document en main dit que les données d'un étranger ont été typées dans le questionnaire d'une manière typique!
Ici, en passant, la publicité contextuelle «Sberbank Asset Management» attire mon attention, nous allons donc à eux avec des questions dans un réseau social, où nous obtenons la pièce suivante du puzzle:
Désormais, les employés considèrent qu'il s'agit d'un «exemple de remplissage» d'un questionnaire. Mais le questionnaire n'a pas été rempli par une cliente de la banque, mais par un employé de banque compétent. Et il a été signalé à un problème potentiel, pour lequel l'employé a assuré que c'était dans l'ordre des choses et que ce n'était pas un problème.
En résumant et en analysant les informations collectées, j'arrive à la conclusion que des données superflues pourraient tomber dans le profil de centaines, voire de milliers de clients de Sberbank, et ce sont précisément ces personnes qui sont mal informées dans le domaine des sciences juridiques, financières ou de l'information, mais qui ont des économies monétaires importantes . En d'autres termes, ils sont en danger.
Habr, bien sûr, n'est pas un livre triste, mais je ne veux pas traiter avec un employé de banque individuel ici. Après tout, le problème est beaucoup plus mondial. Le sens de ce message est d'avertir les gens de la menace potentielle pour leur bien-être matériel. Oui, il ne comporte toujours pas de réel danger, mais parfois ce sont de tels défauts qui deviennent une bombe à retardement à l'avenir. En effet, dans les documents relatifs à la monnaie et aux instruments financiers, il ne doit pas y avoir un octet d'informations superflues!
J'espère que ce qui est écrit encouragera les autres investisseurs à vérifier à nouveau leurs documents financiers, et la direction des structures de la Sberbank à revoir les scripts et les instructions des opérateurs des agences. Soit dit en passant, sur la place de Sber, il serait également agréable de dédommager les «victimes», eh bien, un bug-bounty ne serait pas superflu.
L' utilisateur
UPD Joyz a parlé d'une
situation presque
similaire avec Alfa Bank.
UPD 2 Après 31 heures après le dernier message sur le réseau social, Sberbank a néanmoins procédé de manière inattendue à des actions:
