По просьбе моего хорошего знакомого, который не имеет аккаунта на Хабре, хочу поделиться с пользователями сообщества преинтереснейшим примером соблюдения в РФ закона о ПДн.
Далее со слов автора…
Наверно многие уже слышали какой мощнейший резонанс приобрела тематика обязательных федеральных платежей (взносов) в фонд капитального ремонта многоквартирных жилых домов в России? Спорность обоснованности и законности таких платежей была даже изучена Конституционным судом РФ, который не далее как вчера вынес Постановление по данному вопрос, признав данные платежи законными.
Раз так, мы, законопослушные россияне, впомнив многие непечатные выражения великого и могучего русского языка, начали раскрывать кошельки и в спешном порядке платить эти взносы, причем еще и с учетом огромных, образовавшихся у населения задолженностей.
И вот именно тут и случилась ситуация с выявленной уязвимостью в системе Сбербанк Онлайн, как раз при осуществлении оплаты таких платежей в одном из субъектов Российской Федерации.
Так как в Сбербанк до сих пор не закрыл уязвимость, предлагаю пока почитать переписку со Сбербанком по данной проблеме. В данной переписке преднамеренно удалены некоторые сведения, позволившие бы злоумышленникам немедленно начать эксплуатировать уязвимость.
Кому интересно — милости просим под кат, а дальнейшие выводы каждый сделает для себя самостоятельно.
03.04.16 — первое обращение
—
Здравствуйте!
Вчера я обнаружил серьезную уязвимость в работе интернет-сервиса Сбербанк Онлайн при осуществлении обязательных платежей в фонд капитального ремонта многоквартирных домов региональному оператору — xxxxx. В Вашей базе данных получателей платежей они значатся как — «xxx».
Данная организация обслуживается в Сбербанке и на её счет в Вашем банке ежедневно поступают платежи (речь о миллионных суммах за год) в виде обязательных (установленных ст. 169 Жилищного кодекса РФ) взносов в республиканский фонд капитального ремонта от минимум нескольких тысяч собственников многоквартирных домов в xxxx.
К сожалению, технические специалисты данной некоммерческой организации, являющейся оператором обработки персональных данных, грубейше нарушают Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) по следующим моментам:
1) лицевые счета абонентов-участников данной организации состоят всего из шести не уникально генеририеумых цифр, причем сотрудники организации сообщают такой номер лицевого счета прямо по любому телефонному звонку абсолютно посторонним людям, не каким образом не идентифицировавшим себя как их реальные собственники. Достаточно только назвать адрес любой квартиры и будет тут же сообщен номер лицевого счета любого собственника квартиры!
2) из-за полной неуникальности алгоритма генерации номеров лицевых счетов в базе данных при приращении или убавлении всего 1-2 последних цифр в номере лицевого счета абонента при простой попытке начать формирование платежа, любой пользователь Сбербанк Онлайн, зная лишь один валидный номер лицевого счета (например, свой!) может практически моментально получить исключительно конфиденциальные данные о тысячах других абонентов — плательщиков обязательных взносов в фонд капитального ремонта и причём в таких данных содержатся:
В частности, для демонстрации реальности эксплуатации уязвимости, зная лишь один валидный номер лицевого счета в одном 22-х квартирном доме я за несколько минут получил все вышеописанные данные по собственникам всех этих 22-квартир, лицевые счета которых отличались всего на одну цифру. Точно таким же образом можно получить данные и на множество других плательщиков, а точнее на всех!
Сегодня, 3 апреля 2016 года, около 9 утра по московскому времени, я незамедлительно обратился с официальным телефонным звонком в Службу поддержки пользователей системы Сбербанк Онлайн с просьбой о предоставлении для меня возможности связи с сотрудниками службы безопасности Сбербанка, для того чтобы как можно быстрее сообщить о технических деталях исключительно легкой эксплуатации вышеозвученной уязвимости раскрытия персональных данных абсолютно любыми злоумышленниками и мошенниками, но специалисты службы поддержки Сбербанка фактически проигнорировали исключительную важность проблемы и предложили мне просто письменно обратиться в ближайшее отделение Сбербанка.
Так как Сбербанк в данной ситуации также является оператором обработки персональных данных и именно при использовании системы Сбербанк Онлайн и происходит (может происходить) несанкционированное раскрытие строго конфиденциальных данных, несомненным фактом можно считать то, что Сбербанк в данной ситуации, в случае длящегося бездействия в разрешении данной проблемы, будет нести солидарную ответственность с xxxx за нарушение как минимум целого ряда статей Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).
Надеюсь, что после моего обращения, Ваши специалисты, наконец, поймут серьезность и опасность сложившейся ситуации и немедленно примут все меры к решению сложившейся ситуации.
Со своей стороны готов к любому сотрудничеству с Вашими специалистами, позволившему бы как можно быстрее решить данную проблему.
Всего наилучшего,
клиент Сбербанка
xxxxxxx
03.04.16 — стандартный ответ Сбербанка
--------
Уважаемый xxxx! Благодарю Вас за обращение. Ваше обращение зарегистрировано за номером xxx. Сроки рассмотрения обращения от 5 до 30 календарных дней. Банк сделает все возможное, чтобы решить вопрос в кратчайшие сроки. После решения данного вопроса ответ поступит по телефону. С уважением, xxx.
Специалист ПАО Сбербанк. Круглосуточные телефоны Контактного центра: 900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550; E-mail: help@sberbank.ru Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru
12.04.16 — повторное обращение
— Здравствуйте!
С момента присвоения моему обращению официального статуса прошло 10 дней, но компания Сбербанк продолжает совершать длящиеся нарушения Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015). На текущий момент персональные данные, в объеме указанном в мной в первоначальном обращении, продолжают быть публично доступными любым злоумышленникам. Полагаю, что компания Сбербанк должна немедленно ограничить подобный доступ к персональным данным и уже потом, целенаправленно изучать возможности закрытия уязвимости в Сбербанк Онлайн.
Прошу специалистов Сбербанка максимально ускорить решение вопроса, так как назревает ситуация обоснованности принятия решения о передачи сведений о проблеме в Роскомнадзор.
Всего наилучшего!
12.04.16 — снова стандартный ответ
-----------
Уважаемый xxxx! Благодарю Вас за обращение. Ваше обращение xxx еще находится в работе. Сроки рассмотрения обращения от 5 до 30 календарных дней. Банк сделает все возможное, чтобы решить вопрос в кратчайшие сроки. После решения данного вопроса ответ поступит по телефону. Приносим извинения за временные неудобства. С уважением, xxx.
Специалист ПАО Сбербанк. Круглосуточные телефоны Контактного центра: 900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550; E-mail: help@sberbank.ru Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru
12.04.16 — третье обращение
— Добрый вечер!
Судя по всему, к сожалению, соответствующие специалисты Сбербанка категорически не хотят (не могут) понять очевидности алгоритма действий:
1) сначала немедленно блокируется возможность несанкционированного доступа к персональным данным клиентов Сбербанка.
2) затем специалисты спокойно и целенаправленно изучают все возможные методы и средства решения проблемы и исключения возможности несанкционированного получения доступа к персональным данным в будущем.
В данной же ситуации, специалисты Сбербанка бездействуют по пункту 1, тем самым продолжая совершать грубейшие нарушения законодательства РФ.
Проблема не стоит и выеденного яйца с учетом того, что, например, в при платежах с одной карты Сбербанка на другую, мы, клиенты видишь лишь свои имя и отчество (или имя и отчество получателя платежа), совершенно четко и информативно идентифицируя и себя, и плательщика для избежания ошибок в платеже. И при этом никакая персональная информация не раскрывается!
Кто мешает Вашим специалистам реализовать точно такую же систему идентификации и в описанных мной платежах в фонд капитального ремонта?!
Просто поразительная неспособность специалистов крупнейшего и авторитетнейшего банка в нашей стране решать элементарные проблемы.
13.04.16 — наконец-то какая-то «человеческая» реакция
--------
Уважаемый xxx!
Ваш вопрос передан в претензионную службу Банка. На данный момент Ваше обращение находится в работе. Банк сделает все возможное, чтобы Ваше обращение было рассмотрено в кратчайшие сроки. Ответ по обращению будет предоставлен по телефону.
С уважением, xxx
Специалист ПАО Сбербанк.
Круглосуточные телефоны Контактного центра:
900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550;
E-mail: help@sberbank.ru
Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru
Далее со слов автора…
Наверно многие уже слышали какой мощнейший резонанс приобрела тематика обязательных федеральных платежей (взносов) в фонд капитального ремонта многоквартирных жилых домов в России? Спорность обоснованности и законности таких платежей была даже изучена Конституционным судом РФ, который не далее как вчера вынес Постановление по данному вопрос, признав данные платежи законными.
Раз так, мы, законопослушные россияне, впомнив многие непечатные выражения великого и могучего русского языка, начали раскрывать кошельки и в спешном порядке платить эти взносы, причем еще и с учетом огромных, образовавшихся у населения задолженностей.
И вот именно тут и случилась ситуация с выявленной уязвимостью в системе Сбербанк Онлайн, как раз при осуществлении оплаты таких платежей в одном из субъектов Российской Федерации.
Так как в Сбербанк до сих пор не закрыл уязвимость, предлагаю пока почитать переписку со Сбербанком по данной проблеме. В данной переписке преднамеренно удалены некоторые сведения, позволившие бы злоумышленникам немедленно начать эксплуатировать уязвимость.
Кому интересно — милости просим под кат, а дальнейшие выводы каждый сделает для себя самостоятельно.
03.04.16 — первое обращение
—
Здравствуйте!
Вчера я обнаружил серьезную уязвимость в работе интернет-сервиса Сбербанк Онлайн при осуществлении обязательных платежей в фонд капитального ремонта многоквартирных домов региональному оператору — xxxxx. В Вашей базе данных получателей платежей они значатся как — «xxx».
Данная организация обслуживается в Сбербанке и на её счет в Вашем банке ежедневно поступают платежи (речь о миллионных суммах за год) в виде обязательных (установленных ст. 169 Жилищного кодекса РФ) взносов в республиканский фонд капитального ремонта от минимум нескольких тысяч собственников многоквартирных домов в xxxx.
К сожалению, технические специалисты данной некоммерческой организации, являющейся оператором обработки персональных данных, грубейше нарушают Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) по следующим моментам:
1) лицевые счета абонентов-участников данной организации состоят всего из шести не уникально генеририеумых цифр, причем сотрудники организации сообщают такой номер лицевого счета прямо по любому телефонному звонку абсолютно посторонним людям, не каким образом не идентифицировавшим себя как их реальные собственники. Достаточно только назвать адрес любой квартиры и будет тут же сообщен номер лицевого счета любого собственника квартиры!
2) из-за полной неуникальности алгоритма генерации номеров лицевых счетов в базе данных при приращении или убавлении всего 1-2 последних цифр в номере лицевого счета абонента при простой попытке начать формирование платежа, любой пользователь Сбербанк Онлайн, зная лишь один валидный номер лицевого счета (например, свой!) может практически моментально получить исключительно конфиденциальные данные о тысячах других абонентов — плательщиков обязательных взносов в фонд капитального ремонта и причём в таких данных содержатся:
- полные Ф.И.О тысяч абонентов-плательщиков взносов Некоммерческой организации «xxx»
- полный адрес этих абонентов
- сумма задолженности по взносам в капитальных фонд данных абонентов с точностью до копейки
В частности, для демонстрации реальности эксплуатации уязвимости, зная лишь один валидный номер лицевого счета в одном 22-х квартирном доме я за несколько минут получил все вышеописанные данные по собственникам всех этих 22-квартир, лицевые счета которых отличались всего на одну цифру. Точно таким же образом можно получить данные и на множество других плательщиков, а точнее на всех!
Сегодня, 3 апреля 2016 года, около 9 утра по московскому времени, я незамедлительно обратился с официальным телефонным звонком в Службу поддержки пользователей системы Сбербанк Онлайн с просьбой о предоставлении для меня возможности связи с сотрудниками службы безопасности Сбербанка, для того чтобы как можно быстрее сообщить о технических деталях исключительно легкой эксплуатации вышеозвученной уязвимости раскрытия персональных данных абсолютно любыми злоумышленниками и мошенниками, но специалисты службы поддержки Сбербанка фактически проигнорировали исключительную важность проблемы и предложили мне просто письменно обратиться в ближайшее отделение Сбербанка.
Так как Сбербанк в данной ситуации также является оператором обработки персональных данных и именно при использовании системы Сбербанк Онлайн и происходит (может происходить) несанкционированное раскрытие строго конфиденциальных данных, несомненным фактом можно считать то, что Сбербанк в данной ситуации, в случае длящегося бездействия в разрешении данной проблемы, будет нести солидарную ответственность с xxxx за нарушение как минимум целого ряда статей Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).
Надеюсь, что после моего обращения, Ваши специалисты, наконец, поймут серьезность и опасность сложившейся ситуации и немедленно примут все меры к решению сложившейся ситуации.
Со своей стороны готов к любому сотрудничеству с Вашими специалистами, позволившему бы как можно быстрее решить данную проблему.
Всего наилучшего,
клиент Сбербанка
xxxxxxx
03.04.16 — стандартный ответ Сбербанка
--------
Уважаемый xxxx! Благодарю Вас за обращение. Ваше обращение зарегистрировано за номером xxx. Сроки рассмотрения обращения от 5 до 30 календарных дней. Банк сделает все возможное, чтобы решить вопрос в кратчайшие сроки. После решения данного вопроса ответ поступит по телефону. С уважением, xxx.
Специалист ПАО Сбербанк. Круглосуточные телефоны Контактного центра: 900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550; E-mail: help@sberbank.ru Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru
12.04.16 — повторное обращение
— Здравствуйте!
С момента присвоения моему обращению официального статуса прошло 10 дней, но компания Сбербанк продолжает совершать длящиеся нарушения Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015). На текущий момент персональные данные, в объеме указанном в мной в первоначальном обращении, продолжают быть публично доступными любым злоумышленникам. Полагаю, что компания Сбербанк должна немедленно ограничить подобный доступ к персональным данным и уже потом, целенаправленно изучать возможности закрытия уязвимости в Сбербанк Онлайн.
Прошу специалистов Сбербанка максимально ускорить решение вопроса, так как назревает ситуация обоснованности принятия решения о передачи сведений о проблеме в Роскомнадзор.
Всего наилучшего!
12.04.16 — снова стандартный ответ
-----------
Уважаемый xxxx! Благодарю Вас за обращение. Ваше обращение xxx еще находится в работе. Сроки рассмотрения обращения от 5 до 30 календарных дней. Банк сделает все возможное, чтобы решить вопрос в кратчайшие сроки. После решения данного вопроса ответ поступит по телефону. Приносим извинения за временные неудобства. С уважением, xxx.
Специалист ПАО Сбербанк. Круглосуточные телефоны Контактного центра: 900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550; E-mail: help@sberbank.ru Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru
12.04.16 — третье обращение
— Добрый вечер!
Судя по всему, к сожалению, соответствующие специалисты Сбербанка категорически не хотят (не могут) понять очевидности алгоритма действий:
1) сначала немедленно блокируется возможность несанкционированного доступа к персональным данным клиентов Сбербанка.
2) затем специалисты спокойно и целенаправленно изучают все возможные методы и средства решения проблемы и исключения возможности несанкционированного получения доступа к персональным данным в будущем.
В данной же ситуации, специалисты Сбербанка бездействуют по пункту 1, тем самым продолжая совершать грубейшие нарушения законодательства РФ.
Проблема не стоит и выеденного яйца с учетом того, что, например, в при платежах с одной карты Сбербанка на другую, мы, клиенты видишь лишь свои имя и отчество (или имя и отчество получателя платежа), совершенно четко и информативно идентифицируя и себя, и плательщика для избежания ошибок в платеже. И при этом никакая персональная информация не раскрывается!
Кто мешает Вашим специалистам реализовать точно такую же систему идентификации и в описанных мной платежах в фонд капитального ремонта?!
Просто поразительная неспособность специалистов крупнейшего и авторитетнейшего банка в нашей стране решать элементарные проблемы.
13.04.16 — наконец-то какая-то «человеческая» реакция
--------
Уважаемый xxx!
Ваш вопрос передан в претензионную службу Банка. На данный момент Ваше обращение находится в работе. Банк сделает все возможное, чтобы Ваше обращение было рассмотрено в кратчайшие сроки. Ответ по обращению будет предоставлен по телефону.
С уважением, xxx
Специалист ПАО Сбербанк.
Круглосуточные телефоны Контактного центра:
900 (с мобильных телефонов), 8 (800) 555-5550, 8 (495)500-5550;
E-mail: help@sberbank.ru
Подробная информация по правилам набора телефонов Контактного центра на www.sberbank.ru