Позавчера на GeekTimes вышла статья, в которой на видео демонстрируется якобы существующая уязвимость веб-версии Сбербанк Онлайн. Мы расскажем, почему ваши данные находятся в безопасности и что на самом деле показано на этом видео.

Уверены, что читателям GeekTimes не нужно рассказывать, что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями. Мы используем их в Сбербанк Онлайн для сбора статистики о переходах клиентов между страницами, чтобы оптимизировать и повысить качество наших онлайн-сервисов. Анонимность собираемой информации гарантируется политиками безопасности и конфиденциальности компаний Яндекс и Google. Подробнее о них: пользовательское соглашение Яндекс.Метрики, пользовательское соглашение Google Analytics. Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.

Для защиты обслуживания Сбербанк Онлайн использует набор современных инструментов, включая TLS, двухфакторную авторизацию, риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов. Наиболее чувствительная клиентская информация (такая как фамилии, номера карт и счетов и т.д.) вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками». Чтобы дополнительно убедиться в безопасности нашего сервиса, мы при каждом обновлении проводим обширное penetration-тестирование, которое включает все известные виды атак.

Примем на веру утверждение автора, что вводимая на странице Сбербанк Онлайн информация передается на удаленный компьютер. Это возможно только в случае модификации страницы Сбербанк Онлайн.

На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных. В случае подмены контента на промежуточном сервере браузер классифицирует изменения как MITM-атаку и не дает загрузить содержимое на страницу. Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.

Что же доказывает видео olegon-ru? Только то, что вы можете запрограммировать свой компьютер на передачу данных вовне. Но это никак не влияет на безопасность обслуживания других клиентов.
Поделиться с друзьями
-->

Комментарии (136)


  1. ukrazzz
    31.05.2017 13:53
    +6

    image


  1. inkvizitor68sl
    31.05.2017 13:56
    +9

    Бвахахахаа. Кхм.
    Вы бы заголовок хоть поменяли. Уязвимости там находили, и найдут ещё, к гадалке не ходи. Вот что данные через внешние счетчики не льёте — это может быть.


    1. UJIb9I4AnJIbIrUH
      31.05.2017 14:22
      -1

      Вспомнилось интерьвью одного чиновника перед ОИ в Сочи, а в то время всех живо интересовали права секс-меньшинств в РФ (потом про них все разом позабыли и принядись обсуждать другую тему). Журналист спросил чиновника
      как он собирается решать проблему нарушения прав геев во время Олимпиады, на что тот просто заявил, что в Краснодарском крае геев нет и потому проблем с ними тоже нет.


  1. Delics
    31.05.2017 14:00
    +9

    В разоблачающей статье упор делался на возможность подмены скрипта.

    Но, объективно, если некто может подменить на вашем компьютере скрипт, то он может подменить не только скрипт Гугл.Аналитикс и Яндекс.Метрики, но и любой другой.

    Так что претензии были не совсем обоснованы.


    1. Black_Shadow
      01.06.2017 13:38
      +3

      Дело не в том, что на компьютере пользователя может быть подменён скрипт яндекса или гугла, а в том, что это могут сделать в яндексе и гугле. То есть, Сбер доверяет безопасность своего сервиса сторонним компаниям, в этом проблема.


  1. aivs
    31.05.2017 14:01
    +7

    Группа быстрого реагирования Сбербанка в деле!


  1. Akon32
    31.05.2017 14:01
    +4

    Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.

    Реализована ли проверка стороннего js-кода (со всяких метрик) каждый раз, когда грузится страничка Сбербанк Онлайн?


    На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных.

    Естественно, HTTPS — хорошая штука, и её не зря придумали.


    Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.

    Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?). И это как раз влияет на безопасность, в определённых случаях.


    1. dartraiden
      31.05.2017 14:33
      +4

      Админ с работы может и полноценную MITM-атаку замутить с перехватом всего трафика.

      А если у кого-то есть локальный доступ к вашему незапароленному и незаблокированному ПК, то вы этот ПК уже не контролируете. И даже отсутствие админских прав у владельца такой учётки не спасёт.


    1. Fearmen
      31.05.2017 14:41
      +5

      Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?)


      Эмм, но каким боком тут будут безопасники сбера, если вы не следите за вашей машиной?


      1. Akon32
        31.05.2017 17:15
        -2

        Утверждается, что система абсолютно безопасна ("уязвимостей нет"), хотя в ней есть такая вот дыра.


        Надеюсь, что контрольные суммы сторонних скриптов всё-таки проверяются должным образом, или есть эквивалентная проверка, как и говорится в ответе ниже.


    1. SCST
      31.05.2017 15:03

      Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.


      1. AllexIn
        31.05.2017 15:11
        +4

        А почему вы просто не перетащите нужные скрипты на свои сервера, чтобы эту дыру полностью закрытЬ?


        1. ivan386
          31.05.2017 16:13
          +1

          Или можно использовать проверку хеша скрипта там где это возможно.


          1. Akon32
            31.05.2017 17:27
            +1

            Не похоже (на данный момент), что хэш проверяется таким способом.


        1. trilodi
          01.06.2017 16:25

          А почему бы вообще не реализовать свой велосипед для аналитики переходов? Ведь у Сбера имеется «грандиозная» лаборатория по разработки программных продуктов?! Тогда все вопросы по счетчикам отпадут сами собой


  1. Ugrum
    31.05.2017 14:02
    +12

    Какой категоричный заголовок. Где учат такой железобетонной уверенности?


  1. CrazyRoot
    31.05.2017 14:17
    +7

    Нафига там вообще нужны сторонние скрипты?


    1. Here_and_Now
      31.05.2017 18:32

      Ремаркетинг для AdWords.

      Да и не факт что они пилили свою систему статистики. Google Analytics за 5 минут устанавливается и все маркетологи его знают.


      1. dom1n1k
        01.06.2017 18:19
        +3

        То есть они пускают сторонних мракетологов в мегаприватные данные клиентов. Окееей.


  1. AllexIn
    31.05.2017 14:18
    +23

    Знаете… Я вообще не веб программист.
    Моя специализация — C++ и OpenGL…
    Но даже я понял о чем говорил автор предыдущей статьи.
    Он говорил о том, что сайт сбербанк-онлайн подгружает сторонние скрипты. Сторонние — это значит не находящиеся в ведении владельцев сайта.
    То что вы там никуда ничего не отсылаете, совершенно не гарантирует, что это не отсылает левый скрипт, который вы загрузили из левого источника.

    Товарищи веб-эксперты, поправьте пожалуйста меня… А то странное ощущение, что в Сбербанке идиоты сидят, которые даже не поняли в чем уязвимость. Но это просто не может быть правдой. Так что идиот здесь все таки я. Но не могу понять где…


    1. Lyazar
      31.05.2017 14:42
      +2

      А если thawte перевыпустит сертификат для сбера-онлайн, то сможет трафик перехватывать! irony


      1. AllexIn
        31.05.2017 15:07
        +5

        Я с вами в целом согласен.
        Когда мне стали в личку присылать первую статью с вопросом дергаться или нет — я всегда отвечал что повода дергаться пока нет.

        Но речь же не о том, насколько это опасно сейчас.
        Речь о том, что это в целом дыра дырища.
        А сейчас вдвойне смущает, что судя по всему господин эксперт не понимает вообще о чем речь.


    1. briskly
      31.05.2017 14:50
      +3

      Я не понимаю, почему все так хотят обосрать компанию даже если в этой области не разбираются.
      Это не персонально к вам, а к 90% комментариям в обоих постах.

      Google аналитика подключена во многих банках, и не только России (City bank US, итд.)

      Кроме google, yandex и rutarget(это дочерняя компания Сбербанка), на сайт ничего стороннего не подключено.
      Атака которая скомпрометирует google/yandex аналитику возможна только от Google/Yandex. И если допустить ее вероятность. То Сбербанк уж точно не будет первоочередной целью


      1. nafikovr
        31.05.2017 14:55
        -1

        вопрос в другом. если я захожу на сбербанк онлайн значит я осознанно доверяю свои данные сберу. значит ли это что я доверяю свои данные другим организациям?


        1. briskly
          31.05.2017 15:28
          +3

          Согласно пользовательскому соглашение Google аналитики. Вы доверяете свои данные только Сбербанку.
          По факту это действительно так. Google собирает только обезличенную информацию.
          Гипотетически Google может провести на вас атаку. Как в общем то и любая крупная корпорация. Железо в Сбере, все равно производит не он сам. Это все те же IBM,Cisco, etc.
          Эти сервисы подключены не просто так. Как правило они используются UX специалистами, чтобы потом понимать, что удобно получилось в интерфейсе а что стоит переделать. И конечные изменения позитивно складываются на вас же.


          1. nafikovr
            31.05.2017 15:43

            у меня другое направления мышления. 1 — я считаю что злоумышленники могут с определенной вероятностью получить доступ к ресурсам сбера. 2 — я расчитываю на этот риск и осознанно на него иду заходя в сбербанк онлайн и считаю что в данном случае ответственность несет сбер. 3 — я считаю что злоумышленники могут получить доступ к серверам гугла или яндекса. 4 — кто будет нести ответственность в данном случае?
            я отлично понимаю что взломают скорее сбер, чем тот же гугл и ситуация чисто теоретическая, но в случае подобной утечки все косяки легко спишутся на «дырявый компьютер клиента», особенно при том что некий специалист заявляет что дыр у них 100% нет.


            1. briskly
              31.05.2017 15:50
              +1

              Полностью защищенных систем не существует. Это всегда вопрос стоимости взлома. Взлом это не всегда в лоб, могут быть инсайды, соц. инженерия.
              В том случае если взломают яндекс, скорее всего будет как то так:
              У Сбера сработает антифрод. Который в банке действительно есть. И вывести деньги смогут у первой сотни человек(Из за двухфакторки, скорее даже меньше). Сбербанк онлайн выключится.(Как и весь интернет в России, взломали Яндекс!) Тем кого обокрали Сбер вернет деньги согласно законодательству сразу. И направит иск в Яндекс


              1. dernuss
                31.05.2017 15:53

                Я не имею ни какого желания попасть в первую сотню. А вы?


                1. briskly
                  31.05.2017 16:37

                  а у меня основной банк не Сбербанк


              1. vyrkmod
                31.05.2017 15:56

                У html тэгов script есть очень полезный атрибут integrity, даже если яндекс взломают, работать подсунутое взломщиками не будет. Угадайте, заморачивается ли сбер такой мелочью?


                1. briskly
                  31.05.2017 16:36
                  +4

                  вы про рекомендацию от wc3 вышедшую меньше года назад, которая не понятно на каких браузерах работает, которая защитит в очень отдельных случаях? И не понятно, константная ли хеш сумма у скрипта от яндекса.
                  Можно не меняя хеш сумму скрипта придумать разные вектора, если там идет подгрузка каких то данных из других сервисов яндекса(мы подразумеваем что Яндекс под контролем злоумышленника уже), то толку от integrity 0.


                  1. a553
                    31.05.2017 16:43

                    Можно не меняя хеш сумму скрипта придумать разные вектора
                    Да ну?


                    1. nafikovr
                      31.05.2017 17:10
                      +1

                      скрипт который подгружает различные сценарии, почему бы и нет?


                  1. vyrkmod
                    31.05.2017 17:33
                    +1

                    Меньше года назад? Мне тут caniuse пишет что браузеры начали его поддерживать с 09.2015 (хром и опера) и 12.2015 (лис). https://github.com/w3c/webappsec-subresource-integrity — вообще с 14 года начинается.


              1. redskif
                31.05.2017 15:59

                А иск в Яндекс то с какого перепугу? Или у Сбера с ними коммерческий договор на метрику?


              1. jauseg
                31.05.2017 16:28
                +2

                Тем кого обокрали Сбер вернет деньги согласно законодательству сразу.

                Ага, проходили. Саппорт по телефону: ждите, в течение 30 рабочих дней, все должно придти. После 30 дней, мы ничего знаем, идите в свое отделение (где карточку получали), подавайте заявку на розыск средств, а чек уже выгорел…


              1. nafikovr
                31.05.2017 17:09

                в вашей истории не хватает одного нюанса, до того как деньги начнут снимать может быть скомпрометировано достаточно много данных. так что антифрод тут вряд ли поможет. я отлично понимаю что риск низок. выше об этом уже написал. просто нехорошее отношение.


              1. dumistoklus
                31.05.2017 18:16
                +2

                Сбер никогда денег не вернет. Все действия, которые были инициированы с клиентским логином и паролем считаются действиями клиента, и не важно именно он их делал или нет. О чем прямо говорится в договоре


          1. dumistoklus
            31.05.2017 18:14

            Эти сервисы могут собирать данные, вводимые в формы. И вот обезличинность уже становится такой личной, когда третьи лица имеют доступ к вашим деньгам (условный). Даже когда эти третьи лица не знают, что деньги ваши


        1. mrsantak
          01.06.2017 23:02
          +2

          Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере, вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта, вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.
          А еще вы доверяете всем сотрудникам компании, которой принадлежит данный сайт и всем их подрядчикам. Но, гугл аналитике вы при этом не доверяете.


          1. Welran
            02.06.2017 05:24
            -1

            Не доверяют не гугл аналитике, а тем кто может ей представится, подменить. И если от ОС или сотрудников банка вы не можете избавится, то в гугл аналитике жизненной необходимости нет.


          1. nafikovr
            02.06.2017 07:27
            +1

            Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере,

            это мой компьютер, за него отвечаю я
            вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта,

            ssl считается доверенным по-умолчанию, и он же практически исключает необходимость в доверии к провайдеру.
            вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.

            все что стоит и лежит на этих серверах относится к организации которой я уже доверил деньги.
            гугл аналитике вы при этом не доверяете.

            я даже понятия не имею что кто то ее мне подгрузил


          1. kogemrka
            02.06.2017 08:57

            Но, гугл аналитике вы при этом не доверяете.


            Логично.
            А давайте я поставлю вам на компьютер свой кейлоггер, который будет сливать мне всё, набираемое вами на сайте сбербанк-онлайна? Или набираемое вами везде?

            Я дам вам исходные коды, вы сможете убедиться, что он не делает ничего кроме заявленного. Если нужно, прямо на вашей машине его и скомпилируем, чтобы не было сомнения, что он всего лишь сливает всё, что набирается на странице и подпишу с вами договор, в котором торжественно обязуюсь не использовать слитые данные.

            Ну а что, вы заходя на сбол уже доверяете своей операционной системе, центрам сертификации, браузеру, ..., и даже гугл аналитике, с доверия лично мне у вас не убудет — более того, в отличии от безликого гугла вы даже можете познакомиться со мной лично и у вас со мной будут защищённые законом договорные отношения.

            К тому же, мой келоггер будет даже надёжнее гугловской аналитики!
            Бинарник я изменить смогу только при согласовании с вами, в отличии от скриптов гугл-аналитики, которые могут подгрузиться другими в любой момент.

            К тому же, у гугла-то были случаи, когда его особо доверенные инженеры, имеющие полный доступ к письмам всех пользователей gmail'а эту самую переписку читали, а у меня и сотрудников в этом примере не будет (меньше возможных точек злоупотребления), и репутация получше (случаев подобных сливов нет).

            Согласны?)


            1. mrsantak
              02.06.2017 09:40
              +1

              Из всего списка что я привёл Гугл аналитика даже близко не является самым недоваренный источником, в отличие от вашего софта. Я не хочу сказать, что она вообще не влияет на безопасность. Но истерика поднятая этой статьей не соответствует степени проблемы.


              1. trilodi
                02.06.2017 09:46

                Я думаю «истерика» тут не по поводу самой гугл аналитики, а из-за халатности сотрудников установивших ее, и от вот таких глупых оправдательных постов. У сбербанка, как они заявляют есть отличная лаборатория разработки программных продуктов, неужели они не смогли сделать себе простейшую аналитику если она так необходима? Это можно было бы сделать на серверных скриптах или вообще анализом логов сервер, они ведь только переходы пользователей отслеживают, как они заявляют


              1. kogemrka
                02.06.2017 10:14
                +1

                Я вообще не понимаю, о какой истерике речь.
                Автор исходной статьи, конечно, слегка драматизировал ситуацию, но особой поддержки этой драмматизации со стороны сообщества я вообще не наблюдаю.

                Я не вижу ни постов, ни комментариев с призывами сбежать из сбербанка или с криками о том, что завтра все наши данные украдут.

                Скорее я вижу много комментаторов, которым, как и мне, такое техническое решение кажется непонятным и плохим. Нормальная тема для обсуждения.
                В принципе, я был бы рад, если бы сюда пришёл кто-нибудь и объяснил, почему вот так и нужно делать, но увы.


                1. nafikovr
                  03.06.2017 08:40

                  все правильно истерике нет места, так как все понимают что конкретно в данной цепочке на самом деле сам сбер скорее всего и будет самым легкодоступным звеном.
                  собственно истерики и нет, есть недоумевание и непонимание зачем так делать. у меня еще непонимание действий тех, кто рьяно защищает сбер в данной ситуации. и я тоже был бы раз объянению.
                  немного аналогии. мы используем гуглопочту завязанную на наш домен и дропбокс для служебных целей. во-первых, наработки в плане фильтрации спама и юзабилити. во-вторых это дешевле чем изобретать велосипед самим. думаю из тех же соображений и подключена сторонняя аналитика. но, в данной ситуации нет третьих лиц. в случае хранения данных третьих лиц мы бы не стали ее хранить на дропбоксе.


              1. nafikovr
                03.06.2017 08:41
                +1

                дело не в том кто самый недоверенный источник, а сам факт подключения софта из левой конторы, про которую пользователь не уведомлен.


      1. JC_IIB
        01.06.2017 17:07

        Google аналитика подключена во многих банках


        На страницах, подобных Сбербанк-онлайн, не должно быть никаких сторонних скриптов в принципе. Аналитику хотите — пишите сами. Я, честно говоря, удивлен, как такое решение согласовала внутренняя безопасность. Это дыра размером с Эверест.


        1. rombell
          08.06.2017 12:54
          +2

          Даже в нашей мелкой конторе, сети магазинов с онлайн-заказами, когда мы объяснили руководству про сторонние скрипты, оно схватилось за голову и нагнуло маркетологов (по заказу которых мы навставляли всякого). И мы почти все скрипты вырезали с каталожных страниц, и вообще все — со страниц профиля и т.п.
          Политика «вставим побольше трекеров» понятна с точки зрения анализа, но сама возможность, что поставщик трекера сохранит данные для себя на будущее (либо для ФСБ/ЦРУ/Моссада/...) лично для меня делает AdBlock, NoScript или аналоги обязательным первым действием на новом браузере.


  1. kernelconf
    31.05.2017 14:23
    +7

    1. У меня нет договорных отношений с Яндексом или Гуглом, почему мой браузер по указке Сбербанка инициирует подключение к этим ресурсам?
    2. Включение сторонних скриптов снижает безопасность ресурса до безопасности самого слабозащищённого. Почему Сбербанк такого низкого мнения о своей инфраструктуре?
    3. Как Сбербанк собирается гарантировать, что инициируемые моим браузером подключения ко внешним ресурсам являются подключениями именно к тем партнёрам, о которых он ведёт здесь речь?


    1. dartraiden
      31.05.2017 14:35
      -1

      При заходе на Geektimes он ведь точно так же это делает. И на кучу других ресурсов.
      При этом, если вы заходите незалогиненным, то у вас и договора с Geektimes никакого нет.

      Это реалии современного веба: вместо того, чтобы хранить ресурсы (хотя бы, те же скрипты) локально, сайты используют CDN.


      1. AllexIn
        31.05.2017 14:38
        +4

        На куче других ресурсов, которые имеют доступ к моим счетам и вкладам?


      1. osipov_dv
        31.05.2017 14:40
        +1

        При заходе на гиктаймс вы управляете своими деньгами?


      1. dom1n1k
        01.06.2017 18:23

        Мешать в кучу просто сайтики в интернете и банковский личный кабинет — это прэлэстно, просто прэлэстно!


    1. zte189
      31.05.2017 14:44

      У вас нет договорных отношений с магистральными провайдерами, почему ваш провайдер по указке программного обеспечения, установленного на ПК или смартфоне инициирует передачу трафика дальше в сеть? И почему вы пользуетесь полученным контентом?

      Бывают же такие параноики, а… А может, и жена ваша — и не жена вовсе, а злобный зеленый монстр, замаскировавшийся под человека? А ещё вам насыпали не 3, а 2 ложки сахара в чай! Кто гарантирует, что кубик сахара не был отравлен?!


      1. lieff
        31.05.2017 15:00

        Эм, если не касаться вопроса доверия владельцам счетчиков, то про магистральных провайдеров вы все же загнули. Ну заходите в онлайн банки по http и узнайте как можно доверять магистральным провайдерам. Для этого же https и придумали, а банки уже давно http не используют.


      1. Welran
        02.06.2017 05:41
        -1

        Ну возможно он не такой уж и злобный, к тому же это маловероятно (в истории таких случаев не зафиксировано). Двумя ложками сахара занимается роспотребнадзор, а отравленными кусками полиция. Виновных хотя бы постараются найти и наказать. А вот возместит ли Сбербанк украденные с помощью уязвимости деньги, очень сомнительно.


    1. vyrkmod
      31.05.2017 15:06
      +1

      Пункт 2 нормального человека: гугдим «subresource Integrity», разобрав нагугленное добавляем тэгу script на нашей странице атрибут integrity, если этот очень нужный скрипт «там» подменят — работать [в нормальном браузере] он не будет. Пункт 2 курильщика: не делаем ничего такого, всем рассказываем про «звёздочки».


  1. tmnhy
    31.05.2017 14:24
    +12

    вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками».
    — это сделало мой день. Эксперты такие эксперты…


    1. fryday
      31.05.2017 14:59
      +4

      PCI DSS вообще-то

      3.3 Mask PAN when displayed (the first
      six and last four digits are the maximum
      number of digits to be displayed), such
      that only personnel with a legitimate
      business need can see the full PAN.


      1. tmnhy
        31.05.2017 15:04
        +1

        Да, претензии не к «звездочкам», а к контексту и подаче. Из серии «кто на ком стоял».
        Неужели эксперту влом наделать скринов с «такая как фамилии, номера карт и счетов и т.д»? Подозрение, что эксперт не пользуется онлайн банком организации в которой работает.

        И если честно, я не представляю комфортной работы в банковском приложении, когда вместо своей фамлии и номеров счетов я вижу звездочки, как работать-то?
        И даже, больше, я не вижу практической ценности их скрывать.


        1. avkudrin
          31.05.2017 17:28
          +1

          То есть, вы не пользовались сбербанк онлайн, я правильно понимаю? Потому что, тем, кто пользовался, понятно, что за звездочки тут имеются в виду.


  1. avost
    31.05.2017 14:25
    +14

    Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.

    Вы не можете этого сделать, поскольку информация передаётся внешним скриптом третьей стороны с компьютера клиента непосредственно на сервера этой третьей стороны. Все элементы находятся вне вашего контроля.


    1. a553
      31.05.2017 15:04
      +6

      На самом деле могут, но не проверяют. Этим постом Сбербанк сделал ситуацию ещё хуже, доказав свою некомпетентность.


      1. AllexIn
        31.05.2017 15:14
        +2

        Они типа на свой стороне автоматическую проверку проводят периодически скачивая скрипты на свой сервер и проверяя что они не изменились. А если изменились, проверяют, что изменения не опасны.
        Впрочем, верится в эту байку с трудом.


        1. a553
          31.05.2017 15:33
          +2

          Даже если они делают периодические проверки (мне тоже в это не верится), они в любом случае бесполезны по очевидным причинам.


        1. Pakos
          01.06.2017 13:41

          if($IP in @ Sber_IPs) return 'valid_script_js'; else return 'hacker_script.js'; Навряд ли "аналитики СБ" будут тестировать не с рабочих IP.


  1. Gendalph
    31.05.2017 14:26
    +4

    Господа, а потрудитесь объяснить почему в моем личном кабинете PayPal нету никакой сторонней аналитики?


    1. Ugrum
      31.05.2017 14:29
      +7

      Потому, что PP не настолько продвинут и высокотехнологичен и вообще погряз и закоснел в нулевых. Вот когда подтянет свой уровень до СБ, появится и сторонняя аналитика в этом вашем личном кабинете.


      1. dartraiden
        31.05.2017 14:40
        +1

        Что меня удручает в палке — это вот эта закоснелось. 2017 год. 2-факторная авторизация? Да, вот можете аппаратный токен купить. Но только для определённых стран. Россия? Извините, нет, мы вам не можем включить 2-факторную авторизацию, даже если вы каким-то образом получите токен.

        Даже 2-факторная авторизация посредством кода, доставляемого через SMS, была бы лучше, чем совсем ничего (но хуже, чем приложение на смартфоне и аппаратный токен, естественно)


    1. old_bear
      31.05.2017 14:34
      +1

      Наверное, Палка не входит в число «крупнейших финансовых организаций» по версии СБ.


    1. Barafu
      31.05.2017 14:35
      +2

      Потому что Палке когда-то приходилось делать себе имя, и с тех пор у них остались вот такие вот пережитки прошлого. Сбербанку же на вас было насрать, есть насрать, и будет насрать. Они считают вас за идиота, что и рады показать такими вот закладками в своём софте и вот такими вот опровержительными статьями. Потому что знают, что никуда вы не денетесь с подводной лодки.


    1. Naglec
      31.05.2017 14:43

      ой все!


  1. norlin
    31.05.2017 14:31
    +9

    Эксперт службы Кибербезопасности Сбербанка
    … проверяем состав передаваемой информации

    Ув. эксперт SCST! А вы могли бы, как эксперт, подробно пояснить, каким образом вы контролируете информацию, передаваемую JS-скриптами третьих лиц, которые исполняются в браузере клиентов и имеют полный доступ к открытым страничкам личного кабинета клиентов?


    1. norlin
      31.05.2017 14:43
      +4

      Прочитал комментарий к той самой статье:


      … используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта…
      … на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов…
      … предоставляют скриптам информацию только об открытой странице (но не её содержании)...

      Как в анекдоте – простите, а вы точно эксперт? #позорище


    1. SCST
      31.05.2017 15:08
      -11

      Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.


      1. norlin
        31.05.2017 15:26
        +6

        Ну, то есть, вы прямо признаёте, что уязвимость есть и вы лишь при подключении и "периодически" проверяете, что ей ещё не пользуются.


        Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.

        Скрипты передают данные напрямую на сервера третьих лиц. Каким образом вы проверяете этот трафик?


        Ах, да, вы "периодически анализируете". #позорище


        1. SCST
          31.05.2017 15:33
          -12

          Подробностей, тем более публично, раскрывать не могу по понятным причинам.


          1. AllexIn
            31.05.2017 15:41
            +7

            Потому что не знаете?


            1. Veliant
              31.05.2017 16:14
              +1

              Потому что это отдано на откуп Group-IB (продукт SecureBank). Которым почему-то данные сливаются по http протоколу на ibbe.group-ib.ru. А вот их скрипт уже делает fingerprint вашего браузера, смотрит не висят ли всякие лишние callback'и на обработчиках мышки и клавиатур, не изменено ли DOM-дерево, все ли загруженные скрипты в вайт-листе и т.д. И от всего этого считается хэш который передается СБ.


          1. norlin
            31.05.2017 15:45
            +5

            Речь идёт о клиентском коде. Всё доступно любому желающему. Поэтому никаких "понятных причин" (помимо того, что вы нифига не знаете и просто профакапили дырку) я не вижу.


      1. Zidian
        01.06.2017 11:51

        А зачем вообще там скрипты аналитики? Тем более личный кабинет вообще у вас вынесен на отдельный поддомен со своими сертификатами. И чего ради?
        А если уж хочется анализировать — то отдавали бы свои скрипты или ограничились следящими пикселями, на худой конец.


  1. schulz
    31.05.2017 14:35
    +12

    Тот случай, когда вообще лучше ничего не отвечать, чем так.


    1. tmnhy
      31.05.2017 14:38

      Ага, развернутый комментарий в исходной теме и то адекватенее.


      1. Ugrum
        31.05.2017 14:45
        +7

        Ждём следующее опровержение.
        "@SCST не был уполномочен Сбербанком размещать здесь свою статью и вообще вы нас не так поняли."


  1. nicknathanovich
    31.05.2017 14:44
    +5

    А еще у вас пароль к регистру не привязан…


    1. Ryav
      31.05.2017 18:48
      -1

      Ээээ. Я думал, это шутка. У меня нет слов.


      1. MTyrz
        02.06.2017 01:35
        -1

        Нет, не шутка. Подтверждаю.


    1. Night_Snake
      01.06.2017 10:56
      -1

      Я вам больше скажу, там ещё и старый пароль (который выдаётся при активации и который настоятельно просят сменить) действует наравне со старым…


  1. Gumennnik
    31.05.2017 14:44
    +2

    Уважаемый SCST, не могли бы вы подробнее (возможно в самой статье) расписать технические механизмы (а не юридические), которые используются (прим. и наличие которых мы способны проверить), подтверждающие вашу уверенность?

    Вы упомянули про архитектуру, которая не передаёт на страницу пользователю никакой чувствительной информации, но всё же не хватает примеров.


    1. azaot
      31.05.2017 15:36
      +1

      Хорошая попытка Эллиот!


      1. Gumennnik
        31.05.2017 15:56
        +1

        Могли же запилить полноценную статью по обеспечению защиты информации при осуществлении онлайн платежей, не раскрывая при этом всех своих «фишек», что было бы весьма уместно и добавило бы плюсов в карму.


        1. azaot
          31.05.2017 19:18

          Такой материал, в любом случае, будет состоять в основном из размазывания теории по терминологии, и технических механизмов которые можно проверить, там априори быть не может, по очевидным причинам.


    1. Welran
      02.06.2017 05:49

      А юридические где нибудь описаны? Даже если бы не было столь явной дыры, все равно абсолютно 100% защита вряд ли была бы возможна. Насколько деньги защищены от кражи с помощью банкклиента? Если вы гарантированно получите свои средства назад, то даже небольшие дыры уже не будут большой проблемой (по крайней мере для клиентов).


  1. corr256
    31.05.2017 14:44
    -1

    проверяем состав передаваемой информации.

    Правда шоль?


  1. mrNordman
    31.05.2017 14:44

    При подключенном Вебвизоре, человек, у которого есть доступ к счетчику запросто получит логин и пароль от учетной записи.


  1. Ivan_83
    31.05.2017 14:47
    +11

    Товарищ эксперд, как вам ни стыдно!?

    1. А что, кроме лени и разгильдяйства, вам мешает собирать всю нужную статистику путём анализа логов вебсервера?

    2. Зачем гуглю, янденсу и ещё куче третьих лиц вообще знать что клиент копается у себя в мобильном банке?
    Это же палево, вы всех клиентов с их действиями сливаете прямо АНБ, дудль не распространяет свою конфиденциальность на запросы от АНБ и прочих тамошних структур.
    Дудль и все госы США вообще не считают всех не граждан США людьми, и прав у не граждан США вообще никаких нет, если что.
    Так что соглашениями дудля, яндекса и прочих можете подтереться.

    3. Не надо гнать, нихера вы не контролируете что браузер клиента передаёт дудлю, яндексу и прочим конторам чьё барахло вы у себя разместили.
    Не можете вы это контролировать и знать. В принципе.
    Простой финт когда дудль отдаёт вам одни скрипты а вип клиенту другие вы не в состоянии отследить.
    Это фейл.

    Другое дело, что все кто в теме уже давно поставили расширения в браузер которые не грузят без разрешения всякий мусор со сторонних сайтов, в этом плане автор изначального наброса никакой сенсации не сделал, он просто публично написал что вы там веб макаки которые не в теме и котором по барабану.

    Те кто глубоко в теме может вас потыкать ещё тем что у вас вся крипта иностранная и УЦ иностранные, но тут и с браузерами пока сложно, всякие уроды из мозиллы и гугля отказываются встраивать крипту отличную от крипты США, мол увеличивает поверхность атаки и пр бред.


  1. StasTs
    31.05.2017 14:47
    +1

    что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями.


    Давайте не заливать. На корпоративных сайтах — не вопрос: и GA и fb и еще несколько. Как только доходит до ebanking части, то никаких левых скриптов.
    Мне вот интересно, сберовский ebanking PCI сертификацию вообще проходил?


  1. comandante3000
    31.05.2017 14:48
    +1

    Кажется, это за вот эту тему https://nplus1.ru/news/2017/05/29/google



  1. nafikovr
    31.05.2017 14:49
    +1

    то что наличие доступа к компьютеру пользователя позволяет получить данные и без проблем со стороны СБРФ это и ежу понятно. но подгружать сторонние скрипты на таком ресурсе чревато. сразу вспоминается случай https://habrahabr.ru/post/231853/ когда владельцы стороннего ресурса случайно подставили владельцев кучи других сайтов. вроде ерунда, но тут же вспоминается другой случай https://www.opennet.ru/opennews/art.shtml?num=40671 а ведь могли и jquery.js подменить. если за безопасность данных на стороне СБРФ отвечает собственно СБРФ, то кто отвечает за то что на стороне третьих лиц? мне кажется, что СБРФ должен нести такую же ответственность ибо деньги я доверил им, и мне плевать на его соглашения с третьими лицами. в праве ли СБРФ доверять мои данные третьим лицам, без моего согласия?


  1. hssergey
    31.05.2017 14:50

    Уязвимость есть, но ее нельзя считать опасной, потому что для ее реализации надо подменить dns, чтобы вместо яндекса грузило скрипт с сервера злоумышленника, и еще и иметь на локальной машине сторонний корневой сертификат, чтобы не ругалось на зловредный скрипт (так как никто не даст валидный сертификат на домен яндекса). Например, администратор локальной сети предприятия в принципе может провернуть такую штуку со сбербанк онлайном на компьютере сотрудника. Но с тем же успехом он может сделать и другие грязные вещи (тут уже проблема из темы «кто будет сторожить сторожей»). А в случае обычного компьютера, подключенного к интернету, эксплуатация подобной уязвимости маловероятна.

    Хотя проблема все равно есть и она состоит в том, что появляются дополнительно точки потенциального воздействия зловреда Например, взлом сервера яндекс-метрики и подмена их скрипта и так далее.


    1. subvillion
      31.05.2017 15:49
      +3

      Подмена dns происходит прямо сейчас, на всей территории РФ, называется РОСкоМнадЗОр. У меня domru возвел dns MITM в абсолют.


      1. vyacheslavteplyakov
        31.05.2017 17:34
        +2

        Более того, танцы пляски с DNS это вообще мода последних лет, каждый провайдер, каждый производитель роутера, а роутеры вообще дырявые, считает своим долгом впарить свой ДНС. И это ещё не считая всяких видеосервисов работающих через подмену и прочих анонимайзеров и разблокировщиков.
        Вообще не понятно как можно ходить в этот ваш энторнет без плугинов типа Disconnect…


      1. mitasamodel
        31.05.2017 20:20

        аналогично. dnscrypt спасает, устанавливается просто.


  1. chapsam
    31.05.2017 14:52
    +3

    Не… Это даже не смешно((( по версии СберБанка мы идиоты. А мы не идиоты


  1. John_Nash
    31.05.2017 14:54
    -1

    Как нет уязвимостей?
    Взять хотя бы двухфакторную авторизацию
    Логин запоминается в браузере при включенном автозаполнении, не скрывается звездочками, и может быть прочитан посторонними. Далее, можно предпринять попытки ввода пароля, и логин уйдет в блок. Если есть доступ к телефону, то пароль вообще не нужен, можно запросить новый пароль на телефон.


    1. AllexIn
      31.05.2017 15:18

      Ну они честно боролись с запоминанием пароля в хроме.
      В коде даже есть следы борьбы:

      фэйковые поля логина и пароля. нужны чтоб особо умный google chrome не запоминал пароль


  1. Sunder_GL
    31.05.2017 15:22
    -2

    заминусуете карму аккаунту сбера и сможет он постить только 1 комментарий в неделю да и ещё получит значок «тролль»


  1. sphinks
    31.05.2017 15:33
    +1

    Я думаю, здесь тонкий троллинг)
    А если это действительно сотрудник сбера, то вероятность увидеть теперь этот ответ в официальном бложике сбера равна 0, возможно так сбер «обкатывает» разные варианты «отмазок» перед публикацией официальной версии)


  1. igormich88
    31.05.2017 15:37
    +7

    Возможно вопрос немного не по теме, но зачем нужен этот скрипт?
    https://stat.online.sberbank.ru/CSAFront-res/25.0/scripts/vaultonline-2-new-sbol-36f5190612.js
    На Пикабу обнаружили что он сканирует некоторые порты на локальной машине.


  1. kelevra
    31.05.2017 15:41

    я просто оставлю это здесь.


    1. AllexIn
      31.05.2017 15:43
      +3

      А что там не так? Они обратились за помощью к общественности. Мне кажется открытая современная компания и должна так делать.
      Собственно и косяк Сбера по обсуждаемым сейчас уязвимостям он не в том, что уязвимость допустили. Косяк в том, что на неё просто забили и человеку её обнаружившему даже не ответили…


    1. solariserj
      31.05.2017 16:04

      del


  1. EnigMan
    31.05.2017 16:12
    +1

    В Сбербанк онлайн уязвимостей нет

    Как это нет? Двухфакторная авторизация по SMS это разве не дыра в безопасности? Сколько уже писалось о возможности перехвата и подделки SMS. Да элементарно, я год назад менял СИМ карту зеленого оператора, так у меня даже паспорт не спросили?
    На мой вопрос, есть ли более безопасный способ двухфакторной авторизации, сотрудница банка ответила, что нет, но вы можете купить страховку! Страховку! Дополнительно заплатить банку, чтобы он гарантированно вернул мне мои деньги!!!


    1. ivan386
      31.05.2017 17:07

      Он вроде и без страховки обязан их вернуть.


      1. YMA
        31.05.2017 17:16

        Ага, щаз. Даже в случае подтверждения неправомерной замены симки получить обратно украденные деньги клиенты могут только по решению суда, и то банк с оператором будут сопротивляться до конца.

        В случае же попадания вируса на клиентское устройство банк вообще умывает руки и посылает… в полицию ловить автора вируса.


      1. EnigMan
        31.05.2017 17:59

        Должен, только попробуй забрать. Вся соль в том, что вместо более надежных способов защиты, предлагается платная услуга


  1. hokum13
    31.05.2017 16:30
    -1

    А меня например смутили вот такие фрагменты кода:

    s.src = (d.location.protocol == «https:»? «https:»: «http:») + "//mc.yandex.ru/metrika/watch.js";
    ga.src = ('https:' == document.location.protocol? 'https://ssl': 'http://www') + '.google-analytics.com/ga.js';

    Т.е. чисто технически (по безалаберности) location.protocol в какой-то момент времени может оказаться не «https:» и скрипты вообще перестанут проверяться, а дальше атака на любая MITM атака окажется 100% удачной. Нафига вообще оставлять возможность использования не https протокола?

    Ну и стандартное: почему скрипты не скопированы на Ваши сервера? Это же не сложно!


    1. Veliant
      31.05.2017 16:34

      Предположу, что сделано это с целью снижения нагрузки на сервера Y/GA т.к. шифрование требует ресурсов. И если клиент и так пользуется незащищенным каналом, то чего тратиться на защиту передачи обезличенной информации


      1. Aingis
        31.05.2017 16:39
        +1

        На самом деле это устаревший шаблон, по новым правилам везде должно быть https без исключений.


    1. a553
      31.05.2017 16:35

      Это просто стандартный шаблон. А если у вас протокол внезапно стал не-HTTPS, то вам уже ничего не поможет.


  1. solariserj
    31.05.2017 17:12

    А разве нет локальных инструментов для собрания статистики и внутреннего использования? Обязательно использовать общедоступные Гугл, Яндекс, и для кого эта статистика? для пользователей? Если да то зачем она пользователям?


    1. corr256
      31.05.2017 17:37

      Зачем что-то делать, если можно ничего не делать? Любой подкованный сотрудник службы безопасности сбера тебе скажет, что на работе надо не фигнёй страдать, а играть в танчики.


  1. dom1n1k
    31.05.2017 18:34

    Отмазки настолько слабые, что даже не смешно.


  1. AlexGluck
    31.05.2017 19:46
    -1

    Ну, как я считаю сделать https реверс прокси только к https яндекса\гугля для забора скрипта дело 5 минут. А в коде в любом случае в шаблоне лежит ссылочка на скрипт, поменять её на свой хост и только через https. Божечки-ёжечки, да любой админ-недоучка сделает это за 10 минут. Но лучше приготовить тазик лапши на хабре и пытаться нам её развешивать. Аплодирую стоя.



  1. Night_Snake
    01.06.2017 11:02
    +4

    Уважаемый эксперт SCST, а скажите, в СБОЛ уже отключили вход по старым паролям? А то вот ведь какая штука — при регистрации СБОЛ мне был выдан «временный» логин/пароль для первого входа.
    Каково же было моё удивление, когда я обнаружил, что эти самые «временные» «одноразовые» логин/пароль прекрасно работают до сих пор?


  1. token
    01.06.2017 11:07
    +2

    А мне вот этот кусок непонятен "… риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов", это вообще как? Как вы можете отслеживать вирусную активность на компьютерах клиентов?


  1. PkXwmpgN
    01.06.2017 11:10

    Очень показательный случай. Вот она цена того, когда вместо адекватной и вменяемой поддержки, человеку просто отписываются в FB


    Рамблер даже видос c музычкой запилил, lol


  1. kogemrka
    01.06.2017 11:57
    +9

    Что написал автор исходной статьи?
    Автор оригинальной статьи написал, что ваш банк загружает сторонние скрипты, не находящиеся под вашим контролем на страницу банкинга пользователя.

    Хорошо ли это для банка и правильно? Без дополнительных комментариев (которых нет, но об этом ниже) — вроде бы, не очень хорошо. Как минимум, это можно обсудить и это адекватный объект для критики.

    Но это не то что бы трагедия или прямо уязвимость, которую можно взять и эксплуатировать. Уж тем более, вряд ли кто-то от этого пострадал.

    Это неприятные мелочи. Мелочи, но неприятные.

    Автор подал свою статью с довольно провокационным заголовком ну и очень однозначным видео. Он тоже не молодец. Но основной посыл «сайт грузит сторонние скрипты яндекса, гугла, рутаргета, и т.д., я считаю, что это не хорошо» — хорошо вычленяется и однозначно понятен.

    Резюме:
    1. Автор перегнул палку с драматизмом. Не молодец. Но с автора и взятки гладки — он никому ничего не должен.
    2. Автор указал на (возможную) проблему и высказал желание получить комментарий. Судя по плюсам, сообщество тоже хотело бы что-то услышать.

    Что не так в вашем ответе?
    (речь идёт скорее даже не об этом посте, а о «развёрнутом комментарии» к оригиналу)

    Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов.


    Ок, указали на переливающуюся через край ненужную драматичность автора — указали верно, согласен.

    При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам.


    Может быть я неправильно понял это предложение, но выглядит как «А поди докажи, что кто-то через это какие-то личные данные сливал».

    Если так — совершенно бесмысленная риторика. Сообщество хочет услышать комментарий про возможную уязвимость. Есть ли. Нет ли. А если нет, то какие меры приняты, чтобы её не было.
    Был бы конкретный пример слива — был бы совсем другой разговор других масштабов и с уже настоящими репутационными потерями (и не только репутационными).

    Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов.


    Многое является «де-факто стандартом». Это не значит, что это следует использовать в банке.

    Дурацкий отвлечённый пример: В социальных сеточках, допустим, может быть приемлимо, чтобы отправленное сообщение пришло дважды. Для операций банка это неприемлемо.

    Не все допущения, позволительные социальной сеточки или магазину касаются банка — это очевидно.
    Аргументации же «почему и в банке так можно/стоит делать» здесь просто нет. Поэтому не стоило и писать об этой практике.

    Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная.


    Была речь про безопасность, стала про то, что порог вхождения низок и дешёвых разработчиков с такой компетенцией много.
    В огороде бузина, а в Киеве дядька.

    Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.


    Не видел, чтобы какая-нибудь компания заявляла бы обратное, что-то в духе: «А этот сервис мы специально подняли, чтобы злоумышленик мог найти в нём дырку и похакать нас и наших пользователей».
    С уязвимостями вообще всегда практически всегда так — намеренье создания сервиса — сделать клиенту/компании хорошо, а не открыть дырку злоумышленнику.

    Бесмысленное предложение не несущее никакой информации.

    Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли.


    Дык допущение же не в том, что кто-то изменил код страницы, а в том, что кто-то изменит код скрипта на одном из n ваших партнёров, скрипты которых вы подтягиваете.

    Безусловно, похакать Яндекс или гугл — задача неименоверно сложная. И внутри яндекса и гугла как правило с безопасностью всё хорошо.
    Но вы банк. От вас ждут, что ваши требования к безопасности должны быть строже, чем у поисковика или счётчика.
    Другое дело, если бы вы тут рассказали, что принимаете вот такие-то и вот такие-то меры, чтобы на их надёжность не завязываться. Но вы об этом не говорите.

    Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу


    По сути всё, что вы здесь говорите «У нас есть служба безопасности и она компетентна». Читателю это не говорит вообще ничего.

    Человек указал на возможную уязвимость, вы ответили:
    — Нет, уязвимости нет, мы компетентные.

    Представьте, что человек указал на какой-то сомнительный факт в в математических выкладках. Да или даже в маркетинговом тексте. А презентующий ответили «Нет, это не так, я прав». Без какой-либо дополнительной аргументации или объяснения.

    Такой ответ попросту не нужен. Он никому ничего не даёт.

    именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234.


    Какие-то меры вы предпринимаете, молодцы.
    Впрочем, речь же не идёт о том, что вы не предпринимаете никаких мер. Так что зачем это здесь — опять же, непонятно.

    Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем


    Вот в этом месте вы вроде бы начинаете какую-то аргументацию (у нас есть волшебная машинка, которой мы делаем антифрод). Но тут же останавливаетесь.

    Этот ответ не нужен. Он не сообщает ничего. В нём нет аргументации. Я сейчас разобрал на цитаты, наверное, чуть ли не каждый абзац — и абсолютно каждый цитируемый кусок можно вычеркнуть без потери смысла текста.

    Такое чувство, будто единственное, что текст делает — пытается загипнотизировать читателя. «У нас есть безопасники, наши партнёры — очень надёжные ребята, такие как гугл, смотрите, вот отвлечённый пример, который показывает, что какую-то безопасность мы умеем, а вот в этом абзаце я показал, что я знаю, что такое SSL и XSS, я компетентен».

    Но вы же пишете развёрнутый комментарий на техническом ресурсе, а не рекламный буклет для домохозяек.

    Самое смешное в этой истории то, что вашему банку, наверное, таки есть что сказать.
    У вас там вроде и занятные технологии есть. И адекватное объяснение, почему было принято решение использовать стороннюю аналитику, наверняка, найдётся.

    Просто вы зачем-то решили считать читателей за идиотов и вылили кучу воды. Не удивительно, что читателям это не очень нравится — здесь это считается невежливым, лучше уж ничего не писать.


    1. vyrkmod
      01.06.2017 13:26
      +1

      Я сейчас понял главную проблему современного маркетинга. Ведь статья — краткая, с акцентами, с «живыми примерами», всем же понравится! А ваш комментарий — длинный, нудный, буквоедский, ну ничего же не продашь с таким подходом. Вот только тут никто никому ничего не продаёт, по крайней мере читатели явно не покупать сюда пришли, а маркетинг продолжается.


    1. AllexIn
      01.06.2017 13:49
      +1

      Тот случай, когда не можешь дать карму, потому что уже максимум…
      Кстати, а не хотите написать этот пост в виде статьи? Я уж и сам хотел написать, но ваш пост он развернутый и понятный, то что надо!


  1. r00tGER
    01.06.2017 14:22
    +1

    Сбербанк Онлайн использует… инструменты, отслеживающие вирусную активность на компьютерах клиентов.

    Подскажите, пожалуйста, клиент уведомлен о том, что на его компьютере что-либо отслеживается?


  1. YMA
    01.06.2017 17:16

    Если будет время — всё-таки подскажите, почему привязка нового устройства к существующей учетке Сбол'а производится только по отправленному в СМС пятизначному коду, без необходимости ввода пароля к этой учетке?
    При этом:
    — клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства (вот это меня и раздражает, логин простой, менять на 2849рафа9ф8зр4ф не хочу);
    — про перехват СМС злыднями нам СМИ регулярно рассказывают;
    — да и угадать этот код случайно есть вероятность ;)