"Как Сбербанк Онлайн сливает данные пользователей"

ага

зря радовалась, не самое лучшее ей там предлагается

Я как человек далекий от информационных технологий, люто плюсую.

Вот раньше как просто было.

Летом - бегуну, зимой - лыжнику, пизды дать в парке, ноклу и 100 рублей отжать и за пивком.

Схема простая.
Натягиваем меж сосен веревочку.
Клиент спотыкается. И тут гоп-стоп.
Собираешь филки и сваливаешь.

А теперь все по безналу работают, и айфоны всякие с кодировкой и следилками.

Наш гоп-стоп голосует за налик.

Да стопудова!

Сбер разве наш банк, как и центробанк?


Отправлено с мобильного клиента YAPik+

А у нашей организации в Сбере зарплатный проект. И дохера у кого так, особенно у бюджетников. Ну и лично я особых проблем со Сбером не имел. Есть ещё счета в Альфе, там многое удобно и намного проще, но в Сбере реально дешевле.

А по теме - я уже несколько лет пользуюсь Огнелисом с адблоком и носкриптом, а если лезу в банк, то вообще запускаю его под линуксом.

Беги! эту программу упоминать низя!

нуу не знаю,ничего доказывать не буду,пользуюсь им очень давно и онлайном сразу как появился,пока ни разу проблем не было...три раза тьфу через плечо..

Как человек близкий к теме, не слишком малограмотный, скажу:

1. Подменить метрику можно. Сразу несколькими способами. Даже без зараженного компьютера, и без hosts. Уязвимыми являются домашний роутер, сама абонентская линия, трафик абонента у провайдера, трафик у магистрала, перед самим Сбером и так далее. Да и зараженный компьютер - это скорее правило, чем исключение. Если даже у вас не криптуются файлы, но стоит ломанная винда... хм. Даже https, по которому они работают - не гарантия. Как отразится в браузере подмена сертификата у скрипта, не являющегося целевой страницей? Покажет что-то юзеру или нет? И как он отреагирует, не жмакнет ли "добавить" или что-то подобное?

2. Еще одна серьезная уязвимость в том, что компании, владеющие метриками, которые по сути своей являются JS-скриптами, выполняющимися на стороне пользователя, в любой момент могут подменить скрипт с метрикой на похожий, но... с "расширенным функционалом". Например, с перехватом нажатий, да и подменой контента даже. Причем, с помощью умной CDN могут это сделать не глобально, что может быть проще обнаружено, а целенаправленно, для выборочных пользователей. В конце-концов, они сейчас о нас знают более чем дофига, чтобы использовать и персонализированные атаки. Ни следов, ни внешних проявлений, проникновение и охват - 100%. Я бы делал именно так.

3. Сбербанку, чтобы исключить подобный вид атак, нужно тупо прекратить вызывать чужие скрипты со страниц своего сайта. Статистика это, конечно, зашибись, но уязвимость и зависимость от буржуинской системы - совсем не клево. Вот нафига давать гуглу знать, сколько у Сбера клиентов, полную привязку к геотаргетингу, частоту использования и еще кучу всего? Гугл, сцуко, умный, умеет пользоваться крохами, высасывая из них гору информации и делая существенные выводы.

Это сообщение отредактировал taper - 29.05.2017 - 21:23

видео конечно покруче Дружко, но на сайте Центробанка про сша ничего не написано...

пользуюсь AdGuard (покупал по случаю лицуху пожизненную по акции какой-то и удачно так. ну да не суть) и глюков на СБОЛ нет никаких. браузер вивальди.

оО хакер счетчики уже путает со сливом
вводишь названия банка в гугле и если не находишь там своего банка значит у него счетчики не стоят, я бы такому не доверял

Это сообщение отредактировал XIMERA123 - 29.05.2017 - 21:31

симку тоже сбербанк контролирует?

тс ты пиздабол

Не рекламы ради, а также не знаю, работает ли так как хотелось бы, но исользую вот это. Да и рекламы у меня в бро нет...

Вот че пишет у меня при посещении Япа (развернуто). Не реклама...

Попробую предложить выход такой. Платить с телефона с приложения Сбербанк. Хотя не знаю, что скажут профессионалы?

Вот на это и рассчет. Большинству внушили, что их данные всюду можно получить лешко и беззаботно в разных ведомствах и в сети активно удаляются истории, где даже надлежащие ведомства лажают с данными нужного им клиента, нету у них их и все тут.

Верьте, верьте, что вы все равно прозрачный...

Заходя на сбер-онлайн кашмарский перехватывает управление, и пропускает все через себя, показывая голую страничку без мониторов, счетчиков, итд, примерно как предидущий пост с дохтуром-паутиной!

эти счетчики - это настолько мелочь по сравнению с остальными фишечками, которые пользователи по своему знанию или незнанию включают в своих браузерах...
и "перебивать" адреса сайтов со счетчиками - это не так выгодно, как подменять сами сайты сбербанков, вконтактов, соц. сетей, почтовиков...
другими словами, если вы пользуетесь большими суммами в онлайне - следите за безопасностью!
в любом банке.

Я тоже перешел на Альфу (не реклама)
Дороже на 200р (но за то геморря меньше)

Мне кажется или это скриптовый фишшинг? Дык тут пох сберу - скажет, что это вина лишь пользователя, который проебал вспышку антивиря.

А я вот все жду, когда хацкеры уронят корневые DNS. Это будет эпично)

Блин, шапку из фольги себе купи, не надо сцать, ничего у тебя не украдут. Для достоверности хоть другие бы проверил. Держи под подушкой деньги, разоблачатель фигов... Простите, но достали эти "желтые страницы"

Ебанутый эникейщик-детектив. Всякие формы оплаты, переводов и т.п. подгружаются во фреймах, доступ к которым сторонним скриптам запрещён, они могут только общую инфу получить. Это система безопасности на уровне браузеров по международным спецификациям.

А вот всякие свистелки-перделки, которые к браузерам подключают (расширения/плагины т.е.) вполне могут чё-нибудь спереть.

Это сообщение отредактировал hostchel - 29.05.2017 - 21:51

самое пакостное, что по умолчанию касперский переводит сбол в защищенный браузер , где все антирекламные , антишпионские дополнения не запускаются

Люди привязывают телефон к карте, карту к гуглю, фейсбуку, мейлу, оплачивают ей покупки на али и порнхабах, подключают автоплатежи и разве только пин на бумажке в кошельке не носят - а потом сторонний скрипт на сбере виноват в утечке... Хосподя.

Дело в том, что безопасности в нашем мире нет. Это миф. Ну введут расчеты на основе блокчейнов. И что? Долго простоит гарантом безопасности блокчейн? Ровно столько, сколько он будет мешать пиздить деньги. Я не защищаю сбер - та еще контора. Просто эти скрипты - такая мелочь, по сравнению хотя бы со сливом баз номеров опсосов...