Saya ingin berbagi dengan publik pengamatan yang sangat mencurigakan tentang bekerja dengan data pribadi seorang kontributor untuk Sberbank Asset Management JSC. Singkatnya, data dari "akun surat kiri" dimasukkan ke dalam data pribadi klien baru ketika tidak ada kotak email pribadi dengan klien. Seberapa serius hal ini, pada saat ini sulit untuk dikatakan, tetapi, jelas, dalam prinsip-prinsip
SI , lebih baik untuk menyalip daripada tidak menyelesaikannya.
Organisasi sepatutnya diberitahu tentang situasi oleh saya, tetapi perwakilannya percaya bahwa masalahnya tidak ada. Berikut ini adalah deskripsi yang lebih rinci tentang fenomena yang terdeteksi.
Seorang teman wanita saya menoleh kepada saya untuk meminta nasihat tentang bagaimana dia mengelola tabungan pensiunnya sehingga inflasi tidak memakannya. Wanita kuno ini hanya menggunakan buku tabungan Sberbank, pasti menolak untuk menghubungkan bank online dan menerima kartu plastik karena pemahaman yang tidak memadai tentang teknologi baru dan takut kehilangan kendali atas dana. Saya harus mengatakan bahwa kecurigaan terakhir bukan tidak berdasar, karena membuka kemungkinan akses jarak jauh ke akun (dan seluruh vektor serangan rekayasa sosial), dan jika seseorang hanya memiliki buku tabungan, maka Anda dapat mengelola akun di Sberbank hanya dengan penampilan fisik (menurut informasi resmi).
Seorang wanita dari sejarah kita, meskipun khawatir tentang inflasi, juga tidak percaya pada bank lain dan organisasi keuangan lainnya, terutama tanpa dana negara. karena itu, karena itu, transfer tabungannya ke organisasi lain langsung ditolak. Setelah beberapa pemikiran, saya mengusulkan opsi untuk menginvestasikan 40% dari tabungannya di reksa dana Ilya Muromets Bond Fund, sebagai alat investasi paling stabil, yang ditawarkan oleh Sber, di mana perangkap rumit dan kondisi membingungkan paling tidak disembunyikan. Mereka memutuskan itu. Tidak perlu mengambil uang dari organisasi, stabilitas instrumen menginspirasi kepercayaan tertentu, manajemen transparan, sekali lagi Anda dapat melakukannya tanpa online. Ini sebuah ungkapan.
Dan sekarang dongeng. Di cabang bank di kota, dalam proses mengisi kuesioner dan kontrak, wanita itu ditanyai rinciannya, termasuk alamat email. Dia mengatakan bahwa kantor pos tidak tersedia, karena dia masih tidak tahu bagaimana menanganinya. Akibatnya, pada saat penandatanganan kami menemukan dokumen berikut:
Bagian penting disorot dalam warna merah.Untuk pertanyaan saya, "apa yang dilakukan alamat pos luar di sana?" Staf departemen memberi saya jawaban - "Jangan khawatir - ini hanya sebuah rintisan untuk
semua orang yang tidak memiliki alamat." Mereka berusaha meyakinkan kami bahwa ini tidak berarti apa-apa. Tapi jenis rintisan apa ini, yang merupakan alamat email yang valid
net@mail.ru ? Selain itu, alamat surat menyurat yang
ada dari akun nyata yang
tidak dikendalikan oleh struktur Sberbank pada layanan surat
eksternal ! Apa lagi yang layak dipertimbangkan karena alamat ini didorong ke dalam bidang ikan khas profil pelanggan bank, yang berarti dapat disimpulkan bahwa alamat itu disimpan dalam bentuk yang sama dalam basis data bank. Didorong oleh
semua pelanggan, tanpa memiliki alamat mereka sendiri, jika Anda memperkirakan kata-kata staf.
Semua kotak surat di server mail.ru biasanya secara otomatis membuat halaman di jejaring sosial My World. Akun
net@mail.ru tidak
terkecuali :
Nah, itu berarti kita memiliki situasi di mana dalam informasi tentang deposan / investor dalam sistem Sberbank, meskipun dalam bentuk rintisan, ada alamat orang yang tidak terhubung dengan pemilik akun yang sebenarnya. Asalkan akun online tidak diaktifkan, saya tidak dapat membuat vektor serangan yang dapat melibatkan nuansa dengan alamat orang lain. Tetapi intuisi tidak memungkinkan saya untuk melewati kelalaian dalam menangani kredensial.
Sekarang tidak mungkin untuk mengeksploitasinya, tetapi bagaimana jika sesuatu yang lain terjadi di masa depan, dan itu menjadi mungkin? Bagaimana jika pemilik akun memutuskan untuk mengambil keuntungan dari keadaan tersebut? Bagaimana jika akunnya hanya diretas?
Kami mengajukan pertanyaan tentang dukungan teknis dari Sberbank
Dari situs utama Sberbank, di mana kantor kontraknya berakhir, kami ditendang ke JSC Sberbank Asset Management. Perhatikan bahwa kontrak di kantor
satu organisasi dibuat oleh karyawan untuk kepentingan organisasi
ketiga . Baiklah Kami menemukan kontak, menulis surat, dan mendapatkan jawaban yang bertentangan dengan dokumen yang kami miliki:
Perwakilan dukungan teknis dari Sberbank Asset Management percaya bahwa kami "salah informasi." Dan dokumen yang ada di tangan mengatakan bahwa data orang luar diketik dalam kuesioner dengan cara yang khas!
Di sini, omong-omong, iklan kontekstual "Sberbank Asset Management" menarik perhatian saya, jadi kami mendatangi mereka dengan pertanyaan di jejaring sosial, di mana kami mendapatkan potongan puzzle berikut:
Sekarang karyawan menganggap ini sebagai "contoh mengisi" kuesioner. Tetapi kuesioner diisi bukan oleh klien wanita bank, tetapi oleh karyawan bank yang kompeten. Dan dia menunjukkan masalah potensial, dimana karyawan meyakinkan bahwa ini adalah dalam urutan hal dan bukan masalah.
Merangkum dan menganalisis informasi yang dikumpulkan, saya sampai pada kesimpulan bahwa data asing dapat jatuh ke dalam profil ratusan, jika tidak ribuan, pelanggan Sberbank, dan ini adalah orang-orang yang kurang paham di bidang hukum, keuangan atau ilmu informasi, tetapi yang memiliki penghematan moneter yang signifikan . Dengan kata lain, mereka berisiko.
Habr, tentu saja, bukan buku yang menyedihkan, tetapi saya tidak ingin berurusan dengan seorang karyawan bank di sini. Bagaimanapun, masalahnya jauh lebih global. Arti dari posting ini adalah untuk memperingatkan orang-orang tentang potensi ancaman terhadap kesejahteraan materi mereka. Ya, itu masih tidak membawa bahaya nyata, tetapi kadang-kadang kekurangan seperti itu yang menjadi bom waktu di masa depan. Memang, dalam dokumen yang berkaitan dengan uang dan instrumen keuangan tidak boleh ada satu byte informasi tambahan!
Saya berharap apa yang tertulis akan mendorong investor lain untuk memeriksa dokumen keuangan mereka sekali lagi, dan manajemen struktur Sberbank untuk meninjau skrip dan instruksi operator di cabang. Ngomong-ngomong, di tempat Sber, akan menyenangkan juga memberikan kompensasi kepada "korban", yah, hadiah bug tidak akan berlebihan.
Pengguna
UPD Joyz berbicara tentang
situasi yang hampir
serupa dengan Alfa Bank.
UPD 2 Setelah 31 jam setelah pesan terakhir di jejaring sosial, Sberbank secara tak terduga tetap melakukan tindakan:
