我想与公众分享有关使用Sberbank Asset Management JSC贡献者的个人数据的非常可疑的观察。 简而言之,当没有客户端的个人电子邮件箱时,“左邮件帐户”的数据将被输入到新客户端的个人数据中。 目前还很难说这有多严重,但是,显然,在
IS原则中,超越比完成更容易。
我已适当通知该组织有关情况,但其代表认为该问题不存在。 以下是对检测到的现象的更详细描述。
我的一个女性朋友向我咨询了她如何管理自己的养老金储蓄,以免通货膨胀使他们吃光。 这位老式女士仅使用Sberbank储蓄簿,由于对新技术的了解不足,并担心失去对资金的控制,因此断然拒绝与在线银行联系并获得塑料卡。 我必须说,最后的怀疑不是没有根据的,因为它打开了远程访问帐户的可能性(以及整个社会工程学攻击的载体),并且如果一个人只有存折,那么您只能通过物理外观来管理Sberbank中的帐户(根据官方信息)。
我们历史上的一位妇女尽管担心通货膨胀,但也不信任其他银行和其他金融组织,尤其是没有国家资金的情况。 因此,将她的积蓄转移到另一个组织的参与被立即拒绝。 经过深思熟虑,我提出了将其储蓄的40%投资于共同基金Ilya Muromets债券基金的选择,这是Sber提供的最稳定的投资工具,其中棘手的陷阱和令人困惑的条件被隐藏了最少。 他们决定了这一点。 不必从组织中取出资金,仪器的稳定性会激发一定的信心,管理是透明的,同样,您也可以不用在线进行操作。 这是一句话。
现在是童话。 在该市的银行分行,在填写调查表和合同的过程中,要求该女士提供详细信息,包括电子邮件地址。 她说邮局不可用,因为她仍然不知道如何处理。 结果,在签名时我们找到了以下文档:
重要部分以红色突出显示。对于我的问题,“外面的邮寄地址在那里做什么?” 部门工作人员给了我一个答案-“不用担心-这只是
每个没有地址的
人的存根。” 他们试图向我们保证这并不意味着任何事情。 但是,这是哪种存根,即有效的电子邮件地址
net@mail.ru ? 此外,真实帐户的
现有邮寄地址
不受 外部邮件服务上Sberbank
的结构
控制 ! 还值得考虑的是,此地址已进入银行客户资料的典型鱼域中,这意味着可以得出结论,该地址以相同的形式存储在银行的数据库中。 如果您推断员工的话,则由
所有客户驱动,而没有他们自己的地址。
通常,mail.ru服务器上的所有邮箱都会在“我的世界”社交网络上自动创建一个页面。
net@mail.ru帐户也不
例外 :
好吧,这意味着我们有一种情况,即在Sberbank系统中有关存户/投资者的信息中,尽管以存根的形式存在,但有一个与该账户的真实所有者没有联系的人的无关地址。 如果未激活在线帐户,则我无法提出一种攻击媒介,其中可能涉及到与他人地址的细微差别。 但是直觉根本不允许我克服处理凭证方面的明显疏忽。
现在不可能利用它,但是如果将来发生其他事情并且有可能怎么办? 如果帐户所有者决定利用这种情况怎么办? 如果他的帐户被黑了怎么办?
我们询问Sberbank的技术支持问题
从Sberbank的主站点(合同签订地点),我们被踢到了Sberbank Asset Management JSC。 请注意,
一个组织在办公室的合同是由雇员为
第三组织的利益起草的。 好吧 我们找到联系人,写一封信,并获得与我们现有文件相反的答案:
Sberbank Asset Management的技术支持代表认为我们“被错误告知”。 而且手头上的文件说,局外人的数据是以典型的方式输入到问卷中的!
顺便说一下,在这里,上下文广告“ Sberbank Asset Management”引起了我的注意,因此我们在社交网络中向他们提问,在那里我们得到了以下难题:
现在,员工将其视为填写调查表的“示例”。 但是,问卷并非由银行的女性客户填写,而是由合格的银行员工填写。 他还指出了一个潜在的问题,员工向他保证这是按顺序进行的,而不是问题。
总结和分析所收集的信息,我得出的结论是,无关的数据可能会落入数百个(甚至数千个)Sberbank客户的档案中,而这些人正是在法律,金融或信息科学领域精通技术但却能节省大量金钱的人。 换句话说,它们处于危险之中。
哈勃(Habr)当然不是一本悲哀的书,但我不想在这里与银行职员打交道。 毕竟,问题是全球性的。 这篇文章的意思是警告人们有关其物质福祉的潜在威胁。 是的,它仍然没有带来真正的危险,但有时这种缺陷会在将来成为定时炸弹。 确实,在有关货币和金融工具的文件中,不应有多余的信息!
我希望所写的内容能够鼓励其他投资者再次检查其财务文件,并鼓励Sberbank机构的管理层审查分支机构的操作员的脚本和说明。 顺便说一句,在Sber的地方,对“受害者”做出一些赔偿也很好,嗯,赏金并不是多余的。
UPD用户
Joyz谈到了与Alfa Bank差不多的
情况 。
UPD 2在社交网络上的最后一条消息发出31小时后,Sberbank意外地采取了以下措施:
