如今,Sberbank是与新型“转型”相关的知名品牌之一:数字,银行,通用。我记得10年前这家公司是如何吸引大量高素质IT专家进入该州的。从那时起,发生了很多变化,IT专家在选择雇主方面变得更具选择性。 Sberbank实验室一一提供了新的服务。在追求用户的“便利”时,不仅常常隐藏隐患,而且在某些时候可以合法地吞噬任何公司的冰山。特别是如果她保留您的钱。
今天,我们将分析表面上存在的致命IT错误的3个示例,根本不可能做到。但是,Sberbank成功做到了,跌跌撞撞。
例子1.电子邮件银行通知
我们许多人都有这样的电子邮件,可用于各种注册和其他垃圾邮件。我通常每2-3个月进入一个这样的盒子(盒子自1999年以来一直在使用),清洁并关闭直到更好的时间。但是有一天,我注意到代表Sberbank进入垃圾邮件文件夹的信件。这封信的主题读了有意义的“从xx.xx.xx到yy.yy.yy期间的Visa卡* 0612报告”。显然,最近有很多骗子(我们将在稍后的另一篇文章中讨论)从一家大银行的名字中获利。但是这封信使我感兴趣。
发件人是俄罗斯的Sberbank newreport_card@sberbank.ru。在检查了邮件头之后,我意识到这封信不是网络钓鱼-发件人确实是Sberbank。由于我从未获得过* 0612卡,因此我不得不查看Sberbank向我发送了哪种报告。
Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
id 1jlnqp-0002hE-LG
for @MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
for <@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
by 127.0.0.1
for <@MAIL.RU>;
Thu Jun 18 09:16:39 2020
如果说我对所见所闻感到惊讶,那就什么也不说。我是***** l。Sberbank非常认真地向我发送了一份关于他人银行卡的报告,其中列出了所有借记/贷记交易的姓氏,名字和名字的首字母,金额,期初和期末的现金余额,现金和非现金划分以及其他统计数据。
总之,Sberbank向我发送了构成银行机密的信息。1990年12月12日N 395-1联邦法第26条(于2019年12月27日修订)“关于银行和银行活动”规定:
, , , , , . , , , , .(我不会在“联邦法律”文本中对“运营和调查”活动的拼写进行任何说明,那些希望自己可以找到法律全文并加以查看的人)。
…
, , , - , , , , 9 12 1995 N 144- « - », , , , , , .
在过去的两年中,我们一直在为多家公司从事电信审计,并确定业务中的优势/劣势,检查与交易对手之间关系的正确性,发现并消除各种违规行为,因此我们拥有一支相当强大的律师团队,他们了解IT和电信关系的复杂性。特别是信息安全领域中法律责任的界限。我所做的第一件事是去澄清他们。
我们开始分析这种情况的发生原因和发生方式,以及银行是否应为这种情况负责。首先,我们注意帐户持有人的姓名和名字(Sberbank本身在报告中披露了此信息)。我们发现我的电子邮件帐户名称与银行帐户实际所有者的电子邮件地址之间可能存在相似之处。区别在于一个字母:r和n。手写时它们真的很相似。
我们假设有两种选择可能会导致所有这些情况:
- -帐户所有者填写了某种电子问卷,他自己在输入姓名时犯了一个错误;
- -帐户所有者填写了某种纸质调查表,在其中他非法指出了他的电子邮件地址-银行员工将数据输入错误到系统中。
在这种情况下,我们看到了Sberbank信息系统设计人员的弱点。当涉及到货币等敏感领域时,银行应加倍小心。在设计大多数授权/通知系统时,开发人员会从用户的“错误”中进行。因此,我认为,Sberbank有义务通过发送一封包含建议书的电子邮件通知来确认输入的电子邮件(即使客户自己指示了电子邮件),以确认指定的电子邮件。这不仅是电子邮件的常规做法,而且是电话号码的常规做法。此外,必须与帐户一起完成此操作(这样,其他任何人都不会意外执行此激活)。
如果在第一种情况下,当用户本人在输入电子邮件时犯了一个错误时,只能责怪Sberbank系统存在缺陷,那么在第二种情况下,应该对所有发生的事情进行彻底调查。毕竟,在这种情况下,作为信贷机构的银行不仅要承担行政责任,还要承担刑事责任。
但是事实仍然存在-Sberbank定期向我发送其他人的数据,受银行保密保护... 有人可能会说,现在我本人将被追究责任(在银行业进行“备受瞩目的”调查时,这种情况经常发生)。但是我急忙向所有人保证:在这种情况下,我没有做任何事情,这导致了银行机密的泄露。银行本身自愿向我发送此类报告。我认为,如果这样的问题可能很大,Sberbank应该向监管部门提出问题。不幸的是,我们不太可能发现这一点。
此案的主要结论是:
作为Sberbank的客户,如果突然来自Sberbank员工的人在手动输入您的联系信息时可能会犯错,您甚至可能不会意识到您的银行信息“向外看”。
如果有人认为在阅读了这些材料之后,Sberbank安全部门将着急检查所有内容,消除所有缺点,找到罪魁祸首(甚至惩罚),那么在这里我会让读者失望。发生这种情况的可能性很高。因为从个人经验中我发现一个事实,即Sberbank根本不保存数据状态更改操作的日志。
现在我们来讨论第二种情况。
例子2.在您不知情的情况下别人的电话号码
许多人都知道,在Sberbank,几乎所有事物都是围绕具有手机号码的生态系统构建的。我从事电信业已近20年。而且,自2007年以来,我们开始积极引入VoIP通信时,就向所有客户发出电话安全警告,并且在通过电话号码进行授权时必须加以保护。所有这些具有呼叫者ID识别功能的游戏以及与CRM和ERP系统的紧密集成导致了我多年前谈论的话题-电话欺诈的根源。特别是,在Habr的页面上,我能够引起电信专家和电信运营商的注意,注意8-800流量的“流失”。
但是今天我们将讨论一个事实,那就是在2019年10月,在下一次更新Sberbank移动应用程序期间查看个人数据设置时,我发现我的联系信息中还有一个电话号码。显然,这与我无关-我从未表示过。最近在新闻界,很多人提请注意这一点,但是我可以说,自从2019年以来,加上“外国”数字的整个故事一直在进行。甚至更早。
让我们回到帐户。本质上,有人在我不知情的情况下拿走了别人的电话号码并将其添加到我的凭据中。很久以来,我就从Sberbank提取了所有储蓄(包括出于安全原因和许多IT故障),因此我并不特别担心我的财务安全。但是,对我而言,最终了解这种情况变得很重要。
扰流板:Sberbank不接受该错误,并表示它不存储客户凭证更改的任何日志。
所以。我给Sberbank-Premier的个人经理打电话,通知我帐户中存在漏洞。经理完全忽略了我的信息(这是“高级”服务的问题),建议您提出书面要求。
在2019年11月10日,我正在写信呼吁支持Sberbank:
ID « » +7 *** *** **-**. .
, . .
, , .
. , .
- ( ) ID.
我再次重复:我要求澄清在什么情况下何时在我的联系信息中输入“其他人”的号码。
请注意,在我的上诉中,我禁止Sberbank员工对我的帐户进行任何更改。
在联系SECURITY帐户后的17(!)天后的2019年11月27日,收到了这样的答案。上诉已经结束。
… № xxxx-yyyy-xxx 10.11.2019 . , +7****** -**-** 2012 . , , , . , . . .
也就是说,直到2019年,我都没有在任何设置中看到此数字,但事实证明,自2012年以来一直在使用。惊人。最重要的是:尽管我禁止在我不知情的情况下更改Sberbank中的数据,但Sberbank会在没有任何通知或批准的情况下从我的帐户中删除“有争议的”数字。尽管建议进行此操作,但我还是要向部门申请护照。
我再重复一遍:Sberbank员工只需编辑您与帐户安全性相关的联系信息(登录以管理您的所有财务状况),而无需通知客户。
为了响应这些动作,我提出了另一个要求:
.
**-**. , . , .
, ! , , , , .
, .
答案很迷人:
...您的日期为2019年11月27日的xxx-yyy-zzz号上诉已经过审核。您之前曾通过Sberbank在线留下第xxx-yyy-zzz号上诉,涉及电话号码+7 **********在Sberbank在线移动应用程序中的反映。在上诉中,您指出该号码不属于您。银行已采取措施,将该号码从您的联系信息中排除。上诉号xxx-yyy-zzz的答复已发送到您的电子邮件地址****@***.***或与银行办公室联系以进行答复。您可以在线在Sberbank移动应用程序中添加电话号码。储蓄银行。
该示例的输出非常简单:
Sberbank不仅可以单方面更改银行服务的条件(降低存款利率,提高贷款利率-反之亦然),还可以单方面更改取款程序,添加/删除用于管理的手机号码帐户,并且不存储任何日志。因此,对您的财务状况不承担任何责任。好吧,或者至少毫不犹豫地告诉客户。
所有这些导致的结果,我们将在下一篇文章中进行讨论,其中将分析电话欺诈案件。我认为,从目前的资料来看,为什么这尤其影响到Sberbank,许多人都清楚了。除其他外,让我们谈谈欺诈2.0-尚无媒体报道的新版本。并且会有很多有趣的事情。
例子3.电话号码更改用户
由于前两种情况,成千上万的Sberbank客户面临着这种情况。如上所述,手机号码是Sberbank与客户之间整个连接的核心部分。正式地,客户负责他指定的电话号码。但是实际上会发生什么。
众所周知,电话号码既不属于订户也不属于电信运营商。是的,这是一个普遍的神话-如果您有电话号码,则有合同,那么您就是号码的所有者。这不是真的。电话号码是政府拥有的有限资源。并指示电信运营商为该资源提供服务。订户(用户)在合同期内可以临时使用一组号码。不再。同时,根据“关于通信”的联邦法律,这组数字可以由用户单边替换联邦通信局局长的笔就替换。现在,这样的故事越来越少了,但是在我的实践中,有一些运动正在改变包括移动用户在内的现有用户的编号。并且订户不能不受这些变化的影响。他们只是通过通知更改他的电话号码。移动号码,这是许多数字系统的核心。包括手机银行内部。
最近出现了这种情况。我们审核了一家公司,该公司使用了大约2,000名员工:我们进行了成本核对,成本降低和优化,并退还了移动运营商的“付费订阅”和其他强制服务的款项。在某个时候,他们发现一些数字与个人移动银行相关。也就是说,员工更早使用这些数字,然后退出。现在其他员工正在使用它。我们给前雇员打电话。事实证明,他们被解雇后,他们更改了电话号码以在线进入Sberbank。他们感到惊讶的是,可以通过“旧数字”获得财务。事实证明,当他们经历“更改”号码的过程时,新号码不会被旧号码取代,而只会被添加。旧的仍然活跃在Sberbank在线上。
现在,Sberbank已更改了程序,但是对于老用户而言,这仍然是相同的。至少有成千上万的公民(甚至更多)甚至不知道第三方可以获取其财务信息。一旦链接了电话号码,银行就希望它永远存在。 practice,实践证明事实并非如此。
当然,可以说这是人民自己的问题。但是,您要看一下人们现在与数字产品的关系,尤其是老一辈:对他们而言,这一切变得不可理解和模糊。如果以前有系统管理员并且在设置计算机方面提供了帮助,那么现在可能是该行业的重生-智能手机程序的定制器。这些都是开玩笑,但是这个问题确实很重要,因为它会影响大量用户。不再可能不使用这些产品。但是,也没有适当的描述和传递有关如何使用它的信息。
我认为,这里应该引入一些法规来确定在银行产品中使用手机号码的程序。不,我不是普遍监管的支持者。但是有些点需要非常仔细地研究。在这里,应该由银行,电信运营商和监管机构共同开展工作。但是该解决方案应该对所有参与者都方便,实用且易于理解。否则,我们将继续观察到欺诈产品和计算机犯罪数量的增加带来的银行产品“便利”的代价。
UPD(7月16日13:20):
Sberbank决定走的更远。就在昨天,他在我生日那天给我“祝贺”。就是说,仅仅让他违反银行保密条款还不够-Sberbank还决定违反2006年7月27日N 152-FZ联邦法律“关于个人数据”。Sberbank将走多远?