Пользователь «Geektimes» сообщил об утечке данных пользователей Сбербанка​​​​​​​
 Смартфон с включенным онлайн клиентом Сбербанка на экране. Фото: Евгений Павленко / Коммерсантъ
30 May 2017, 12:31

Пользователь «Geektimes» сообщил об утечке данных пользователей Сбербанка​​​​​​​

Пользователь «Geektimes» Олег Кулабухов рассказал, что личную информацию пользователей «Сбербанк Онлайн» можно перехватить или даже заменить другими данными.

«Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям», — рассказал Кулабухов.

Олег рекомендует клиентам онлайн-банка включать блокировщики рекламы во время сессии на сайте — они частично препятствуют работе «зловредных» счетчиков.

С вопросом о том, зачем счетчики нужны сервису, Кулабухов обратился в службу поддержки «Сбербанка». «Не волнуйтесь, данные сервисы используются банком исключительно для анализов переходов пользователей между страницами и не имеют доступа к содержимому страниц, включая данные о счетах и картах», — так ответил Олегу представитель Сбербанка в фейсбуке.

Кулабухов продемонстрировал то, как с помощью подмены скрипта в «Сбербанк Онлайн» можно перехватить вводимые данные пользователя.

По словам Олега, помимо логина и пароля возможна утечка и других данных, например, информации о номере карты и платежах; с помощью скриптов можно даже подменить вводимые данные.

Скрипт, или программный сценарий, — это процедура, которая запускается со стороны сервера одновременно с запросом, поступающим с какой-то определенной веб-страницы. Скрипты могут быть написаны на разных языках программирования. Это счетчики посещений, различные всплывающие окна (окно комментариев, рекламные баннеры), а также счетчики, которые могут отслеживать действия пользователя.

util