Блог им. triliot
Очередная дыра в интернет безопасности у сбера. С помощью карты сбербанка постороннему лицу можно легко получить телефонный код подтверждения операций (возможно и украсть деньги с карты клиента другого банка). Прямо сейчас пал последний рубеж защиты наших денег :)! Ситуация, произошедшая со мной сегодня.
Моя жена владелец карты другого банка. Сегодня она оплачивала счет за услуги из личного кабинета интернет провайдера(В моем присутствии). Переходим к оплате. Высвечивается окно сбера с предложением ввести данные карты. Вводим данные карты и внизу предложение ввести email (куда отправить чек). Ввели email. Нажали продолжить. Высвечивается предложение ввести код, отправленный сбером на телефон. Ноо! Телефон совершенно не тот, который привязан к карте моей жены. Т.е. сбер отправил код для подтверждения операции на чужой телефон. Так произошло несколько раз(код не приходил на ее телефон). Пока я не сообразил в чем дело.
В панике я начал продумывать следующие свои шаги. Но вдруг жена говорит, что мол ей знаком телефон(там были указаны последние четыре цифры). И действительно это был телефон нашего родственника. Паника прекратилась.
Решили повторить операцию, но при этом не указывать email для чека. В этот раз код подтверждения уже запрашивал банк жены(система подтверждения 3d secure), как это обычно было раньше до этого случая. Код пришел на ее телефон и операция была совершена успешно.
Начали думать как такое стало возможно.
И нашли ответ. Оказывается, неделю назад наш родственник через интернет по своей карте сбера покупал подарок в одном интернет магазине (впервые в жизни, он пенсионер) и при оплате указал email жены(подарок был ей на день рождения).
Когда он пару лет назад оформлял карту в сбере, то не указал email. В результате сбер каким то образом, после подарка неделю назад, записал email жены в его данные владельца карты.
И с этого момента email жены, волшебным образом, стал числится за его картой. Видимо хваленый сберовский «искусственный» интеллект так нынче работает. Самое интересное в банке, где оформляла карту моя жена все данные вносились в анкету или при личном присутствии в банке или в интернете в личном кабинете банка, а не как попало. Да и дело даже не в email. Дело в том, что сбер, во время операции поменял систему подтверждения кодов с банка жены на свою просто из-за указания ей email, а не исходил из того, что номер карты явно не сберовский. Вот это б… технологии 21 века!
Т.е. теперь если жена захочет сделать интернет платеж и чтобы чек ей прислали на email, а там будет задействована платежная система сбера, то коды подтверждений будут приходить моему родственнику на телефон(так как система подтверждений будет сберовская). Только из-за того, что теперь в сбере этот email числится за ним, а не потому что у нее номер карты явно не сберовский. Просто здорово!
Вообразим, что кто-то знает данные карты другого банка другого человека и его email. Имея карту сбера с таким же email(например оформленную на какого то бомжа), использует данные карты другого человека легко и просто может получить коды подтверждения и осуществить любую ему нужную операцию по чужой карте.
Вот я и думаю как мне быть в этой ситуации? Обратиться в сбер? Или не стоит тревожить «неокрепшие» мозги телефонного оператора. А может кто-нибудь из сбербанка прочитает этот текст и примет какие-нибудь меры и жизнь у простых людей станет более безопасней. По моему чего-то разрабы в сбере чего-то явно напутал.
P.S.
Видимо люди не понимают всей серьезности ситуации. Отредактировал текст.
Опубликую скрины. Специально для вас повторил проделанный путь вот скрины.
Перехожу к оплате:
выползает окно подтверждения:
возвращаюсь и удаляю email:
и получаю меню 3d secure из своего банка(а не от сбера) и код подтверждения на свой телефон(как обычно):
Не имеет смысла говорит о неправильных действиях клиентов. Налицо явный косяк в системе безопасности, когда 3е лицо получает доступ к якобы секретным кодам подтверждения.
я тут же, при составлении договора начал просить у них кредит миллионов на 10, а лучше на 50 или даже 127.
на 127 миллионах у них в мозгах что-то заскрипело…
Это штатная работа эквайринга сбера для интернет-платежей, которым пользуются многие поставщики услуг. Там есть возможность запоминать карты, с которых вы платите, это ее побочный эффект.
Если в процессе оплаты нажать «сохранить карту», процессинг сбера создает вам аккаунт, запросив е-майл и номер телефона. В качестве идентификатора как раз используется емайл (также на него приходят все квитанции), а для подтверждения входа в аккаунт — номер телефона, на который уходят подтверждающие СМС. Если аккаунт с таким емайл уже существует — он осуществляет вход в него, направляя подтверждающую СМС на привязанный (к этому аккаунту, а не к карте) номер телефона.
Ваш родственник видимо и выбрал «сохранить карту», когда делал покупку у другого поставщика, который пользуется эквайрингом Сбера, указав ваш емайл и свой телефон (ваш он указать похоже тупо не смог, потому что там СМС-подтверждения приходят при сохранении карты).
На самом деле ничего страшного в этом нет, кроме возможности выбрать карту из списка, вместо того чтобы вводить все реквизиты, ничего там нет, никаких данных. Реквизиты карт все скрыты, отображается только банк и хвост номера. Даже если выбрать карту там, для проведения платежа все равно потребуется подтверждающая СМС 3D-secure из банка-эмитента.
Так что — никого не взломали, паникеров расстреливать на месте)))
Такое бывает, когда при регистрации в различных сервисах заполняют реквизиты не думая и не понимая что делают.
Странный вы человек. Из первого поста очевидно что вы вообще не поняли что произошло. Я пытаюсь вам объяснить что это и как это работает в эквайринге сбера, причем я не строю догадки в отличие от вас, а знаю точно. А вы зачем-то начинаете со мной спорить.
Удачи вам, в общении с информационными технологиями. Она вам определенно понадобится)))