Quero compartilhar com o público observações muito suspeitas sobre o trabalho com os dados pessoais de um colaborador do Sberbank Asset Management JSC. Em suma, os dados da "conta de e-mail esquerda" são inseridos nos dados pessoais do novo cliente quando não há caixa de e-mail pessoal com o cliente. Quão sério é isso, no momento é difícil dizer, mas, obviamente, nos princípios de
SI é melhor ultrapassar do que não terminar.
A organização foi devidamente informada da situação por mim, mas seus representantes acreditam que o problema não existe. A seguir, é apresentada uma descrição mais detalhada do fenômeno detectado.
Uma amiga minha procurou-me conselhos sobre como administraria suas economias de pensão para que a inflação não as comesse. Essa mulher antiquada usa apenas os livros de poupança do Sberbank, se recusa categoricamente a conectar um banco on-line e a receber um cartão de plástico devido a um entendimento inadequado das novas tecnologias e ao medo de perder o controle sobre os fundos. Devo dizer que a última suspeita não é infundada, pois abre a possibilidade de acesso remoto a contas (e todo um vetor de ataques de engenharia social), e se uma pessoa tiver apenas cadernetas, você poderá gerenciar contas no Sberbank apenas pela aparência física (de acordo com informações oficiais).
Uma mulher de nossa história, embora preocupada com a inflação, também não confia em outros bancos e outras organizações financeiras, especialmente sem fundos estatais. participação, portanto, a transferência de suas economias para outra organização foi rejeitada imediatamente. Depois de pensar um pouco, propus a opção de investir 40% de suas economias no fundo mútuo Ilya Muromets Bond Fund, como a ferramenta de investimento mais estável oferecida pela Sber, na qual as armadilhas mais difíceis e as condições confusas são menos escondidas. Eles decidiram isso. Não é necessário retirar dinheiro da organização, a estabilidade do instrumento inspira uma certa confiança, a gestão é transparente, mais uma vez você pode ficar sem online. Isto é um ditado.
E agora um conto de fadas. Na agência bancária da cidade, no processo de preenchimento do questionário e do contrato, foram solicitados detalhes à mulher, incluindo o endereço de e-mail. Ela disse que os correios não estão disponíveis, pois ainda não sabe como lidar com isso. Como resultado, na assinatura, encontramos o seguinte documento:
A parte importante é destacada em vermelho.À minha pergunta, "o que faz um endereço postal externo lá?" A equipe do departamento me respondeu: "Não se preocupe, isso é apenas um esboço para
todos que não têm um endereço". Eles tentaram nos garantir que isso não significa nada. Mas que tipo de stub é esse, que é um endereço de email válido
net@mail.ru ? Além disso, o endereço de correspondência
existente de uma conta real que
não é
controlada pela estrutura do Sberbank em um serviço de correio
externo ! O que mais vale a pena considerar que esse endereço é direcionado para o típico campo de peixes do perfil do cliente do banco, o que significa que pode-se concluir que ele está armazenado da mesma forma no banco de dados do banco. Dirigido por
todos os clientes, sem ter seu próprio endereço, se você extrapolar as palavras da equipe.
Todas as caixas de correio nos servidores mail.ru geralmente criam automaticamente uma página na rede social My World. A conta
net@mail.ru não foi
exceção :
Bem, isso significa que temos uma situação em que nas informações sobre o depositante / investidor nos sistemas do Sberbank, embora na forma de um esboço, há um endereço estranho de uma pessoa que não está conectada com o verdadeiro proprietário da conta. Desde que a conta on-line não esteja ativada, não pude criar um vetor de ataque que envolvesse uma nuance do endereço de outra pessoa. Mas a intuição simplesmente não me permite superar uma negligência tão óbvia ao lidar com credenciais.
Agora é impossível explorá-lo, mas e se algo mais acontecer no futuro e se tornar possível? E se o proprietário da conta decidir tirar proveito das circunstâncias? E se a conta dele for simplesmente invadida?
Fazemos perguntas de suporte técnico do Sberbank
Do site principal do Sberbank, em cujo escritório o contrato foi concluído, estamos sendo expulsos do Sberbank Asset Management JSC. Observe que o contrato no escritório de
uma organização é elaborado por funcionários no interesse da
terceira organização. Ok Encontramos contatos, escrevemos uma carta e obtemos respostas que contradizem os documentos que temos em mãos:
Os representantes de suporte técnico da Sberbank Asset Management acreditam que fomos "informados incorretamente". E o documento em questão diz que os dados de alguém de fora foram digitados no questionário de maneira típica!
Aqui, a propósito, o anúncio contextual “Sberbank Asset Management” me chama a atenção, então vamos a eles com perguntas em uma rede social, onde obtemos a seguinte peça do quebra-cabeça:
Agora, os funcionários consideram este um "exemplo de preenchimento" de um questionário. Mas o questionário foi preenchido não por uma cliente do banco, mas por uma funcionária competente do banco. E ele foi apontado para um problema em potencial, para o qual o funcionário garantiu que isso está na ordem das coisas e não é um problema.
Resumindo e analisando as informações coletadas, chego à conclusão de que dados estranhos podem cair no perfil de centenas, senão milhares, de clientes do Sberbank, e essas são precisamente aquelas pessoas pouco esclarecidas no campo das ciências jurídicas, financeiras ou da informação, mas que possuem economias monetárias significativas . Em outras palavras, eles estão em risco.
Habr, é claro, não é um livro triste, mas não quero lidar com um funcionário de um banco aqui. Afinal, o problema é muito mais global. O significado deste post é alertar as pessoas sobre a ameaça potencial ao seu bem-estar material. Sim, ele ainda não apresenta perigo real, mas às vezes são essas falhas que se tornam uma bomba-relógio no futuro. De fato, em documentos relacionados a dinheiro e instrumentos financeiros, não deve haver um byte de informações estranhas!
Espero que o que está escrito incentive outros investidores a verificar seus documentos financeiros mais uma vez, e a administração das estruturas do Sberbank para revisar os scripts e instruções dos operadores das agências. A propósito, no local de Sber, também seria bom compensar as “vítimas”, bem, uma recompensa por insetos não seria supérflua.
O usuário da
UPD Joyz falou sobre uma
situação quase
semelhante com o Alfa Bank.
UPD 2 Após 31 horas após a última mensagem na rede social, o Sberbank inesperadamente prosseguiu com as ações:
