Как недоработка в Сбербанк Онлайн позволяет раскрывать персональные данные клиентов

[ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (4) [1] 2 3 ... Последняя »  К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
cracklover
27.04.2016 - 23:05
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
170
3 марта 2016 года я обнаружил недоработку в работе сервиса Сбербанк Онлайн, которая с легкостью позволяет раскрывать персональные данные весьма значительного количества граждан России. Я сразу же обратился в Сбербанк и по телефону, и через форму обратной связи, и подробно описал все технические детали потенциальной уязвимости. Спустя 3 недели бюрократического "пинг-понга", мне официально ответили, что не считают описанную мной ситуацию уязвимостью раскрытия персональных данных и не намерены ничего исправлять в работе сервиса Сбербанк Онлайн.

Так как у меня есть официальный ответ Сбербанка, и я выполнил все требования закона в таких случаях, но при этом я продолжаю считать что Сбербанк своим бездействием нарушает целый ряд статей Федерального закона "О персональных данных", я подал жалобу в Роскомнадзор (она уже принята к рассмотрению), а также хочу использовать свое право на публичное обнародование обнаруженной мной недоработки в сервисе Сбербанк Онлайн, чтобы каждый знал чего ему опасаться в работе этого сервиса.

Как недоработка в Сбербанк Онлайн позволяет раскрывать персональные данные клиентов
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
cracklover
27.04.2016 - 23:10
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
Итак, извините за затянувшееся предисловие и теперь о сути проблемы.
Каждый кто пользовался любым онлайн-банкингом, знает, что огромное количество платежей в подобных системах выполняется путем выбора из различных шаблонных получателей платежей необходимого, указания лицевого счета (например, Вашего, как плательщика), а затем, при необходимости, дополнения необходимых реквизитов, ну и, следом, указания необходимой суммы и завершения платежа через подтверждение кодом из SMS или одноразовым паролем. Именно так все и происходит в том числе у Сбербанка с их сервисом Сбербанк Онлайн. И вот тут начинается интересное:

1) лицевые счета, например, энерго-, тепло- и газоснабжающих организаций весьма часто состоят всего из нескольких не уникально генерируемых цифр, причем сотрудники организаций очень часто сообщают такой номер лицевого счета прямо по любому телефонному звонку абсолютно посторонним людям, никаким образом не идентифицировавшим себя как их реальные плательщики. Достаточно только назвать адрес любой квартиры (дома) в Вашем регионе и будет тут же сообщен номер лицевого счета любого собственника квартиры (дома)! Даже если такие сведения получить не всегда просто, как минимум свой лицевой счет в разных организациях узнать элементарно (мы же платим по таким своим счетам?!)

2) из-за полной не уникальности алгоритма генерации номеров лицевых счетов в базах данных при приращении или убавлении всего 1-2 последних цифр в номере лицевого счета абонента при простой попытке начать формирование платежа, любой пользователь Сбербанк Онлайн, зная лишь один валидный номер лицевого счета (например, свой!) и немного меняя цифры может практически моментально получить конфиденциальные данные о других абонентах - плательщиках в самые различные организации, такие как фонд капитального ремонта, тепло-, газо- и электроснабжающие организации и т.д., и причём в таких данных всегда содержатся:


а) полные Ф.И.О тысяч абонентов-плательщиков.
б) полный адрес этих абонентов.
в) сумма текущих платежей, задолженности, пени и иная финансовая информация с точностью до копейки.

В частности, для демонстрации реальности эксплуатации уязвимости, зная лишь один валидный номер лицевого счета в одном многоквартирном доме (свой!), я за несколько минут получил все вышеописанные данные по собственникам всех этих квартир, лицевые счета которых отличались всего на одну цифру. То есть я почти мгновенно узнал и кто где живет, и как кого зовут, и кто и сколько должен за свет, газ, электричество и т.д. и т.п. Точно таким же образом можно получить данные и на множество других плательщиков в самые различные организации, а точнее практически на кого угодно.
При этом можно играючи написать парсер, который будет генерировать номера отличающиеся всего на одну цифру и выдергивать данные из базы Сбербанк Онлайн. Насколько я понял, там нет даже элементарной защиты от "брутафорса" по данным лицевых счетов в виде блокировки после , например, 3-5-го запроса.
Кроме того, если, например, взять многоквартирный дом, можете быть уверены, что в подавляющем большинстве случаев Ваш сосед справа или слева по лестничной клетке будет иметь лицевой счет всего на 1-2 цифры отличающийся от Вашего.
Возможно я и параноик, или изобрел некий велосипед, но представляется что все описанное мной - недопустимо при работе онлайн-банкинга такого финансового монстра как Сбербанк. Кто-то посмеется и скажет, ну можно так узнать чужие ФИО, адреса и долги, но что тут такого опасного? Я же думаю, что опасность есть!
На ЯПе мы все не раз тут читали, какие изощренные мошеннические трюки придумывают приверженцы религии "лох не мамонт - не вымрет". Так вот придумать схемы с "лжеколлекторами", шантажем за обнародование задолженностей и т.п. - вполне реально! Кроме того, приведу уже реальный конкретный опасный пример! Совсем недавно, и многие этого даже не знают, многих граждан России загнали в своеобразное рабство к региональным операторам по платежам в фонд капитального ремонта многоквартирных домов решениями глав региональной исполнительной власти. Многие вообще не знают что они кому-то уже задолжали, как насильно сделанные плательщиками этих фондов! Так вот по жилищному кодексу, если на Ваш лицевой счет, принудительно открытый в таком фонде поступит хоть одна копейка, Вы автоматически считаетесь заключившим договор с таким фондом! Не верите? Почитайте Жилищный кодекс! И потом попробуйте докажите, что сосед, решивший Вам таким образом отомстить, не специально путем перебора по номерам лицевых счетов "нащупал" Ваши данные и "услужливо" заплатил за Вас 1 рубль, сделав Вас рабом регионального оператора.
В общем, мошеннические схемы вполне реальны!
Еще раз приношу извинения за много букв, но предупрежден - вооружен!
Если форумчанам будет интересно, после ответа Роскомнадзора я его здесь опубликую.

P.S. Возможно кто-то скажет, а что же делать банкам в таких ситуациях?
Да ведь все элементарно! Кто им мешал все сделать как при платежах с карты на карту? Писать Не Иванов Иван Иванович, а Иван Иванович И.? Или сделать некий бан-лист при попытке перебрать больше 3 счетов за 5 минут? Да куча вариантов защиты! А ничего этого не сделано до сих пор.
Берегите себя и свои персональные данные!
 
[^]
Ивиан
27.04.2016 - 23:13
100
Статус: Offline


Хохмач

Регистрация: 25.07.14
Сообщений: 696
ТС парится из-за того, что кто-то узнает его адрес, а я спокойно получил посылку из Китая, пришедшую сестре на другую фамилию, назвав тупо адрес и собственно фамилию в пункте выдачи. Нигде не расписывался, паспорт не предъявлял, Москва.
Бардак не в сортирах, бардак в головах.
А так как руководство Сбера с говном в голове, как и все сотрудники, то им похуй где бардак.
Сбер этот - самая уебанская контора, с которой я сталкивался в этой жизни.

Ты бы еще вспомнил, что по закону только сотрудник МВД может проверять подлинность твоего паспорта, а это делают во всех банках, в открытую положив на закон и на тебя и на меня, ТС.

Те же платежки за хату приходят с именем фамилией и этим сраным кодом снаружи конверта. Собирай не хочу и ебать мозги со звонками не нужно.
Должников на входе в подъезд вывешивают на досочке имя фамилию и задолженность с полным адресом.

Это сообщение отредактировал Ивиан - 27.04.2016 - 23:17
 
[^]
mean122
27.04.2016 - 23:14
9
Статус: Offline


Юморист

Регистрация: 11.01.11
Сообщений: 489
Может не верно понял, но в чем действительная угроза то? Жилищники и так вписывают людей куда попало даже не уведомляя их. Плюс в нынешнем мире, где данные утекают везде и всюду ухо востро держать нужно всегда.
 
[^]
Stim213
27.04.2016 - 23:21
13
Статус: Offline


Шутник

Регистрация: 14.04.12
Сообщений: 34
Какая-то ерунда.

ТС выбирает шаблон в интернет-сбербанке, вводит измененный номер лицевого счета и видит там фио человека. Потом звонит в коммунальные службы и по этому номеру узнает задолженность человека.

ну хз. я даже не знаю, чем это может помочь злоумышленнику. Узнать фио и писать в одноклассниках гневные письма от лица жэка?
 
[^]
barnaba
27.04.2016 - 23:23
39
Статус: Offline


Barnaba Chikkini

Регистрация: 18.05.11
Сообщений: 4189
Цитата
Сбер этот - самая уебанская контора, с которой я сталкивался в этой жизни.


Попробуй столкнуться с Ростелекомом. dont.gif
 
[^]
cracklover
27.04.2016 - 23:27
8
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
Цитата (Stim213 @ 27.04.2016 - 23:21)
Какая-то ерунда.

ТС выбирает шаблон в интернет-сбербанке, вводит измененный номер лицевого счета и видит там фио человека. Потом звонит в коммунальные службы и по этому номеру узнает задолженность человека.

ну хз. я даже не знаю, чем это может помочь злоумышленнику. Узнать фио и писать в одноклассниках гневные письма от лица жэка?

Вы немного не поняли.
Вижу не только ФИО, но и сразу адрес, сумму платежей, сумму задолженностей и сумму пени. Никуда звонить не надо.

Это сообщение отредактировал cracklover - 27.04.2016 - 23:27
 
[^]
зудука
27.04.2016 - 23:35
2
Статус: Offline


Ярила

Регистрация: 7.06.11
Сообщений: 12014
Цитата (cracklover @ 27.04.2016 - 23:27)
Цитата (Stim213 @ 27.04.2016 - 23:21)
Какая-то ерунда.

ТС выбирает шаблон в интернет-сбербанке, вводит измененный номер лицевого счета и видит там фио человека. Потом звонит в коммунальные службы и по этому номеру узнает задолженность человека.

ну хз. я даже не знаю, чем это может помочь злоумышленнику. Узнать фио и писать в одноклассниках гневные письма от лица жэка?

Вы немного не поняли.
Вижу не только ФИО, но и сразу адрес, сумму платежей, сумму задолженностей и сумму пени. Никуда звонить не надо.

Так ты для этого должен зайти в личный кабинет сберонлайн, то есть сделать это не анонимно.
Я вот по пробовал пошарится сейчас из под своего личного кабинета. Что то не получилось у меня в чужие счета залазить из своих шаблонов, только изменив номер лицевого счета. А вводить все заново со всеми инн, бик, оконх и прочими нулями многими - лень если честно.
 
[^]
cracklover
27.04.2016 - 23:41
5
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
Цитата (зудука @ 27.04.2016 - 23:35)

Так ты для этого должен зайти в личный кабинет сберонлайн, то есть сделать это не анонимно.
Я вот по пробовал пошарится сейчас из под своего личного кабинета. Что то не получилось у меня в чужие счета залазить из своих шаблонов, только изменив номер лицевого счета. А вводить все заново со всеми инн, бик, оконх и прочими нулями многими - лень если честно.

К сожалению, и Вы немного не поняли сути проблемы.
Заходим просто в переводы и платежи, выбираем, например платежи по ЖКХ и т.п., подставляем любой реальный номер счета и дальше, меняя по одной цифре с конца, и более не вводя абсолютно никаких реквизитов, получаем все данные о которых я писал. Также, и это подтвердит, любой начинающий программист, совсем не сложно сделать парсер (утилиту для получения данных из массива по заданным параметрам и вхождениям), который будет делать все это на полном автомате, и при формальной вредоносности такого парсера, раз в Сбербанке не считают такую работы с данными уязвимостью - юридически это будет законно.
Ну а то что надо заходить в Сбербанк Онлайн под реальной учеткой, ну так если бы это было не так, щас бы не было вообще этой моей темы smile.gif

Это сообщение отредактировал cracklover - 27.04.2016 - 23:44
 
[^]
зудука
27.04.2016 - 23:46
3
Статус: Offline


Ярила

Регистрация: 7.06.11
Сообщений: 12014
Цитата (cracklover @ 27.04.2016 - 23:41)

К сожалению. и Вы немного не поняли сути проблемы.
Заходим просто в переводы и платежи, выбираем, например платежи по ЖКХ и т.п., подставляем любой реальный номер счета и дальше, меняя по одной цифре с конца, и более не вводя абсолютно никаких реквизитов, получаем все данные о которых я писал. Также, и это подтвердит, любой начинающий программист, совсем не сложно сделать парсер (утилиту для получения данных из массива по заданным параметрам и вхождениям), который будет делать все это на полном автомате, и при формальной вредоносности такого парсера, раз в Сбербанке не считают такую раюоты с данными уязвимостью - юридически это будет законно.
Ну а то что надо заходить в Сбербанк Онлайн под реальной учеткой, ну так если бы это было не так, щас бы не было вообще этой моей темы smile.gif

Да понял я.
Добавил единичку к номеру счета, попал в расчетку к соседу, в квартиру с номером на единичку больше. Что я там найду?
Не знаю как у тебя, а в расчетках ЖКХ моего города даже фамилии не везде, а так где есть фамилия, то не полное имя-отчество, а только инициалы. Сумму платежа надо ставить самому, ни о какой сумме задолженности, пенни и прочем даже речи нет. Сейчас скрин брошу.
 
[^]
amper93
27.04.2016 - 23:51
1
Статус: Offline


Ярила

Регистрация: 26.11.13
Сообщений: 2162
ну так скинь личные данные, ну или что ты там можешь разузнать из ихней проблемы, управляющего банка местного отделения с его задолжностями,причем ему же на почту,авось тогда заинтересуются......ага у Набиулиной полазь hz.gif
 
[^]
cracklover
27.04.2016 - 23:53
0
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
зудука
Да я и без скринов Вам охотно верю. В Вашем случае нет сведений о задолженности. пени и прочему по простой причине - их реально нет у соседа. Он тупо платит вовремя! smile.gif А в моем случае, я своими глазами видел кучу задолженностей, предупредил всех соседей, так мне еще и спасибо сказали. Уверяю, что те кто благодарил, они даже не знали что вообще должны хоть копейку по платежам в фонд капитального ремонта. Почти у всех соседей были задолженности по несколько тысяч. Курьез, но это "обратная сторона медали". Тут ситуация сыграла добрую службу по сути.
 
[^]
зудука
27.04.2016 - 23:53
13
Статус: Offline


Ярила

Регистрация: 7.06.11
Сообщений: 12014
В бумажной платежке, которую можно с соседского ящика вытащить инфы больше будет. Там есть и задолженность и пення. В счете за интернет и ТВ может быть даже перечень каналов, на которые подписан. И даже показания счетчиков за предыдущие месяцы в счетах энергетиков. Но это не личные данные ни фига.

Это сообщение отредактировал зудука - 28.04.2016 - 00:17

Как недоработка в Сбербанк Онлайн позволяет раскрывать персональные данные клиентов
 
[^]
cracklover
27.04.2016 - 23:55
2
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
amper93
Ну у меня нет задачи отгрести от власть имущих. Я всего лишь хочу чтобы в Сбербанке наконец зачесались и приняли меры.

Добавлено в 23:57
зудука

я и не обещал, что абсолютно за каждым лицевым счетом будут стоят данные о которых я рассказал, но по тем счетам что для подтверждения проверки недоработки сервиса Сбербанк Онлайн прошелся я, присутствовали именно те данные, о которых я указал. Вы же понимаете, что решившись создать такую тему, я как минимум четко понимаю что я пишу и что указываю?
 
[^]
зудука
27.04.2016 - 23:59
1
Статус: Offline


Ярила

Регистрация: 7.06.11
Сообщений: 12014
Цитата (cracklover @ 27.04.2016 - 23:53)
зудука
Да я и без скринов Вам охотно верю. В Вашем случае нет сведений о задолженности. пени и прочему по простой причине - их реально нет у соседа. Он тупо платит вовремя! smile.gif А в моем случае, я своими глазами видел кучу задолженностей, предупредил всех соседей, так мне еще и спасибо сказали. Уверяю, что те кто благодарил, они даже не знали что вообще должны хоть копейку по платежам в фонд капитального ремонта. Почти у всех соседей были задолженности по несколько тысяч. Курьез, но это "обратная сторона медали". Тут ситуация сыграла добрую службу по сути.

В моем случае это не выводится в онлайн-квитанцию.
Эти квитанции, кстати, у всех получателей свои.
В тех, что плачу я, я пока не нашел ни каких зацепок под 152-фз "О персональных данных"‎.
Больше данных можно полчить тупо пройдя по почтовым ящикам и повыдергивая бумажные платежки.

И еще раз заострю. Шариться по чужим счетам можно только зайдя в свой личный кабинет. А это уже не анонимно и легко прослеживается, я думаю.

Добавлено в 00:01
Но то, что ты где то нашел дыру и не даешь спать под шапкой некоторым официальным лицам - респект.
 
[^]
cracklover
28.04.2016 - 00:04
1
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
зудука
в моем регионе проживания описанная мной ситуация как минимум затрагивает несколько десятков тысяч собственников многоквартирных домов + несколько десятков тысяч (возможно сотен тысяч) плательщиков за газ. я абсолютно уверен, что есть еще получатели платежа и не только в моем регионе, по клиентам которым точно также можно раскрыть данные. даже если бы ситуация затрагивала всего 5-10 клиентов Сбербанка, это уже была бы проблема. здесь же речь минимум о десятках тысяч клиентов.
 
[^]
skrapy
28.04.2016 - 00:08
0
Статус: Offline


Ярила

Регистрация: 3.02.10
Сообщений: 9893
Наверное чтобы понять написанное нужно оплатить что-то через Сбербак онлайн? Я ничего не понял короч.
 
[^]
RegionZemlya
28.04.2016 - 00:14
1
Статус: Offline


Ярила

Регистрация: 11.06.15
Сообщений: 7926
Цитата (зудука @ 28.04.2016 - 02:53)
В бумажной платежке, которую можно с соседского ящика вытащить инфы больше будет. Там есть и задолженность и пення. В счете за интернет может быть даже перечень каналов, на которые подписан. И даже показания счетчиков за предыдущие месяцы в счетах энергетиков. Но это не личные данные ни фига.

Да, да, у меня на всякий случай коллекция фото соседских квитанций, тупо надёрганных их соседских ящиков, сфотографированных и положенных взад.

Однажды пригодилась когда вода с потолка потекла до соседа дозвонится.
 
[^]
cracklover
28.04.2016 - 00:19
1
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
skrapy

если совсем коротко и просто, то, например, проживая в многоквартирном доме, можно банально, даже не поднимая задницу с того на чем приходится сидеть или лежать, быстро узнать кто реальные собственники всех квартир в доме и кто и сколько задолжал в разные конторы. легально, быстро, и благодаря Сберу.

Добавлено в 00:21
RegionZemlya
а теперь представьте, что для получения подобного пришлось бы всего лишь несколько раз стукнуть по клавишам на компьютере, ноутбуке?
 
[^]
зудука
28.04.2016 - 00:21
2
Статус: Offline


Ярила

Регистрация: 7.06.11
Сообщений: 12014
cracklover
Так что ты считаешь "личными данными" ?
ФИО ? Номер телефона? Адрес с привязкой к ФИО собственника?
А являются ли эти данными "личными" применительно к 152-ФЗ?
Кто б из посвященных ответил бы.

У меня периодически списки задолжников на дверь подъезда клеят. А в некоторых платежках (энергетики например) перечисляют номера квартир и кто сколько задолжал.
 
[^]
cracklover
28.04.2016 - 00:30
0
Статус: Offline


Приколист

Регистрация: 30.07.12
Сообщений: 226
зудука

в этом законе всего 25 статей. даже не надо быть юристом, чтобы понять, что ФИО, адрес и сумма задолженностей, пени, могут разглашаться операторами обработки персональных данных третьим лицам лишь с согласия лиц, чьи это данные. ну или по санкции соответствуюших органов. если же такое разглашение происходит в силу технической недоработки автоматизированной системы обработки данных и этой недоработкой может воспользоваться любой злоумышленник - это никак не может являться нормальной, допускаемой законом ситуацией.
 
[^]
xomanator
28.04.2016 - 00:31
0
Статус: Offline


Приколист

Регистрация: 2.01.13
Сообщений: 236
а меня сбер вымораживает своим мобильным онлайн клиентом. это мое дело юзать или нет root. я прекрасно осознаю все риски но фиг . если рутовано тело то фиг а не клиент
 
[^]
НечтоИзСети
28.04.2016 - 02:45
2
Статус: Offline


Ярила

Регистрация: 29.11.14
Сообщений: 1961
Как же хорошо, что у меня нет ни счетов, ни карт, ни "личного кабинета" в СберБанке!
cheer.gif
 
[^]
SaraBarabu
28.04.2016 - 02:53
0
Статус: Offline


похуй, пляшем!

Регистрация: 6.11.13
Сообщений: 6964
Цитата (НечтоИзСети @ 28.04.2016 - 02:45)
Как же хорошо, что у меня нет ни счетов, ни карт, ни "личного кабинета" в СберБанке!
cheer.gif

Хотя бы коммуналка есть? А то действительно Нечто... sm_biggrin.gif

По теме: автор действительно не хило заморочился! А по альфа банку не морочился никто? А то мало ли.... tongue.gif
 
[^]
Skoorp
28.04.2016 - 02:53
1
Статус: Offline


Балагур

Регистрация: 12.07.15
Сообщений: 841
Цитата

Цитата
Сбер этот - самая уебанская контора, с которой я сталкивался в этой жизни.


Попробуй столкнуться с Ростелекомом.

Это еще цветочки а вот в ГБУ "РИТУАЛ" вообще опа...
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 44823
0 Пользователей:
Страницы: (4) [1] 2 3 ... Последняя » [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх