Блог им. triliot

Искусственный интеллект Сбера. Как это работает. Отредактированное со скринами

Очередная дыра в интернет безопасности у сбера. С помощью карты сбербанка постороннему лицу можно легко получить телефонный код подтверждения операций (возможно и украсть деньги с карты клиента другого банка). Прямо сейчас пал последний рубеж защиты наших денег :)! Ситуация, произошедшая со мной сегодня.

Моя жена владелец карты другого банка. Сегодня она оплачивала счет за услуги из личного кабинета интернет провайдера(В моем присутствии). Переходим к оплате. Высвечивается окно сбера с предложением ввести данные карты. Вводим данные карты  и внизу предложение ввести email (куда отправить чек). Ввели email. Нажали продолжить. Высвечивается предложение ввести код, отправленный сбером на телефон. Ноо! Телефон совершенно не тот, который привязан к карте моей жены. Т.е. сбер отправил код для подтверждения операции на чужой телефон. Так произошло несколько раз(код не приходил на ее телефон). Пока я не сообразил в чем дело.

В панике я начал продумывать следующие свои шаги. Но вдруг жена говорит, что мол ей знаком телефон(там были указаны последние четыре цифры). И действительно это был телефон нашего родственника. Паника прекратилась.

Решили повторить операцию, но при этом не указывать email для чека. В этот раз код подтверждения уже запрашивал банк жены(система подтверждения 3d secure), как это обычно было раньше до этого случая. Код пришел на ее телефон и операция была совершена успешно.

Начали думать как такое стало возможно.

И нашли ответ. Оказывается, неделю назад наш родственник через интернет по своей карте сбера покупал подарок в одном интернет магазине (впервые в жизни, он пенсионер) и при оплате указал email жены(подарок был ей на день рождения).

Когда он пару лет назад оформлял карту в сбере, то не указал email. В результате сбер каким то образом, после подарка неделю назад, записал email жены в его данные владельца карты.

И с этого момента email жены, волшебным образом, стал числится за его картой. Видимо хваленый сберовский  «искусственный» интеллект так нынче работает. Самое интересное в банке, где оформляла карту моя жена все данные вносились в анкету или при личном присутствии в банке или в интернете в личном кабинете банка, а не как попало. Да и дело даже не в email. Дело в том, что сбер, во время операции поменял систему подтверждения кодов с банка жены на свою просто из-за указания ей email, а не исходил из того, что номер карты явно не сберовский. Вот это б… технологии 21 века!

Т.е. теперь если жена захочет сделать интернет платеж и чтобы чек ей прислали на email, а там будет задействована платежная система сбера, то коды подтверждений будут приходить моему родственнику на телефон(так как система подтверждений будет сберовская). Только из-за того,  что теперь в сбере этот email числится за ним, а не потому что у нее номер карты явно не сберовский.  Просто здорово!

Вообразим, что кто-то знает данные карты другого банка  другого человека и его email. Имея карту сбера с таким же email(например оформленную на какого то бомжа), использует данные карты другого человека легко и просто может получить коды подтверждения и осуществить любую ему нужную операцию по чужой карте.

Вот я и думаю как мне быть в этой ситуации? Обратиться в сбер? Или не стоит тревожить «неокрепшие» мозги телефонного оператора. А может кто-нибудь из сбербанка прочитает этот текст и примет какие-нибудь меры и жизнь у простых людей станет более безопасней. По моему чего-то разрабы в сбере чего-то явно напутал.
P.S.
Видимо люди не понимают всей серьезности ситуации. Отредактировал текст.
Опубликую скрины. Специально для вас повторил проделанный путь вот скрины.

Перехожу к оплате:
Искусственный интеллект Сбера. Как это работает. Отредактированное со скринами
выползает окно подтверждения:

Искусственный интеллект Сбера. Как это работает. Отредактированное со скринами

возвращаюсь и удаляю email:

Искусственный интеллект Сбера. Как это работает. Отредактированное со скринами

и получаю меню 3d secure из своего банка(а не от сбера) и код подтверждения на свой телефон(как обычно):
Искусственный интеллект Сбера. Как это работает. Отредактированное со скринами


Не имеет смысла говорит о неправильных действиях клиентов. Налицо явный косяк в системе безопасности, когда 3е лицо получает доступ к якобы секретным кодам подтверждения.

 

★2
18 комментариев
У меня этот гребаный интеллект поменял e-mail, на который приходят подтверждения о входе в сбербанк-онлайн. Был указанный мной в заявлении (который многие знают), а стал гугловский, который только на телефоне и который не знает никто (как я думал). Вроде ничего страшного, теперь когда я вхожу в сбер-онлайн, тут же вижу на телефоне сообщение о входе, а не через полдня, когда проверю почту. Но нахрена он, сука, следит за мной!!!
avatar
Как мне кажется в данной ситуации чем известнее информация тем лучше для нас всех.
avatar
Авторг, извини, о ты лох. Я тебе как человек работающий в cybersec индустрии говорю. Секьюрность сбера очень высока и такие простейшие кейсы первокурсники итмо знают что невозможны
avatar
No pain-no gain, видимо вы из разработчиков этой технологии. Понимаю вашу реакцию:)
avatar
мне сотрудники отказывались указывать мой новый адрес места жительства и упорно вбивали в договор старый адрес.
я тут же, при составлении договора начал просить у них кредит миллионов на 10, а лучше на 50 или даже 127.
на 127 миллионах у них в мозгах что-то заскрипело…
avatar

Это штатная работа эквайринга сбера для интернет-платежей, которым пользуются многие поставщики услуг. Там есть возможность запоминать карты, с которых вы платите, это ее побочный эффект.

Если в процессе оплаты нажать «сохранить карту», процессинг сбера создает вам аккаунт, запросив е-майл и номер телефона. В качестве идентификатора как раз используется емайл (также на него приходят все квитанции), а для подтверждения входа в аккаунт — номер телефона, на который уходят подтверждающие СМС. Если аккаунт с таким емайл уже существует — он осуществляет вход в него, направляя подтверждающую СМС на привязанный (к этому аккаунту, а не к карте) номер телефона.
 
Ваш родственник видимо и выбрал «сохранить карту», когда делал покупку у другого поставщика, который пользуется эквайрингом Сбера, указав ваш емайл и свой телефон (ваш он указать похоже тупо не смог, потому что там СМС-подтверждения приходят при сохранении карты).

На самом деле ничего страшного в этом нет, кроме возможности выбрать карту из списка, вместо того чтобы вводить все реквизиты, ничего там нет, никаких данных. Реквизиты карт все скрыты, отображается только банк и хвост номера. Даже если выбрать карту там, для проведения платежа все равно потребуется подтверждающая СМС 3D-secure из банка-эмитента.

Так что — никого не взломали, паникеров расстреливать на месте)))

avatar
Supric, вы не поняли ситуацию. Представим, что вы мне купили подарок в интернете и оплатили со своей карты. Но для чека указали мой email для меня на будущее(вдруг сломается и нужен будет гарантийный ремонт например). Я в свою очередь захожу в интернет, например, оплатить что-нибудь или купить и вдруг обнаруживаю, что коды подтверждений идут не мне на телефон а вам.
avatar
Ваня Кулибин, я как раз прекрасно все понял. Это коды подтверждений не для оплаты, а для показа списка сохраненных карт для этого емайл. Если бы вы ввели код который пришел на телефон вашему родственнику — вы бы увидели ту карту (точнее последние 4 цифры номера) с которой он платил. Не более того.
 
Такое бывает, когда при регистрации в различных сервисах заполняют реквизиты не думая и не понимая что делают.
avatar
Supric, это не нормальная ситуация, когда когда подтверждений приходят посторонним лицам. Вы не находите?
avatar
Ваня Кулибин, подтверждения приходят именно тому кто зарегистрировал аккаунт. Вашему родственнику. Кто ж виноват, что он зарегистрировал его на ваш емайл?
avatar
Supric, я в тексте указал, что при регистрации своей карты(аккаунта) у него не было email. email получается самопрописался в его профиль при покупке в интернет магазине.
avatar
Ваня Кулибин, кстати, в прошлом месяце я платил и заполнял email в указанном месте и никаках проблем не было. На мой email пришел чек как и всегда.
avatar
Ваня Кулибин, Конечно. Сам прописался. И буквы на клавиатуре самонажались. А сбер-эквайринг, сволочь такая. не смог понять что указанный емайл принадлежит не тому кто его ввел, а совершенно другому человеку)) да, на этот случай можно задействовать подтверждение введенного адреса через переход по ссылке, это будет уже слишком сложно для широких масс.

Странный вы человек. Из первого поста очевидно что вы вообще не поняли что произошло. Я пытаюсь вам объяснить что это и как это работает в эквайринге сбера, причем я не строю догадки в отличие от вас, а знаю точно. А вы зачем-то начинаете со мной спорить.

Удачи вам, в общении с информационными технологиями. Она вам определенно понадобится)))
avatar
Мне однажды от Сбера на корпоративный номер, которым уже пользуюсь более трёх лет и никаких карт к данному номеру телефону не привязано, пришла СМС о том, что подключен мобильный банк! Ни мне по телефону горячей линии, ни работодателю (возмущался очень долго) вопрос об отключении не удалось решить. Пришлось идти в банк и от своего имени писать заявление на отключение.
avatar
Влад, вот вот

теги блога Ваня Кулибин

....все тэги



UPDONW
Новый дизайн