Помните одну из тех самых надоедливых возможностей Windows, особенно знакомую геймерам, когда пятикратное нажатие Shift вызывает специальное окошечко, предлагающее включить режим залипания клавиш? Эта «фича» дожила аж до Windows 10, к слову. Ну так вот, я, стоя у терминала Сбербанка с полноразмерной клавиатурой и ожидая ответа оператора по телефону, от скуки решил понажимать этот самый Shift, наивно полагая, что без функциональных клавиш это ни к чему не приведёт. Как бы не так! Пятикратное быстрое нажатие этой клавиши выдало мне то самое окошечко, к тому же обнажив панель задач со всем банковским ПО. Остановив работу пакетного файла (см. панель задач на видео ниже), а затем и всего банковского ПО, можно сломать терминал.
«Такое себе» — подумал я и попытался сообщить о найденной проблеме. Подобное желание у меня возникло впервые, поэтому я не придумал ничего лучше как обратиться к сотруднику Сбербанка с вопросом о том, кому можно сообщить. Девушка довольно неохотно ответила, что она ничего не знает, на вопросы о том, как связаться с начальством, ответила лаконичным молчанием и посоветовала обратиться в службу поддержки по телефону, написанному на самом терминале. Окей, звоним. К сожалению, записи разговора нет, осталась лишь картиночка-скриншот с датой звонка.
В техподдержке приветливая девушка после того, как я сказал, что хочу сообщить об уязвимости, сразу переключила меня на какого-то другого специалиста. Тот сначала спросил как ко мне можно обращаться и номер терминала, затем о сути проблемы, потом я достаточно долго слушал музыку, и, в конце концов, парень сказал, что проблема зафиксирована. На вопрос о том, полагаются ли какие-то бонусы за сообщение о подобных проблемах, он ответил, что такой информацией не располагает. На этом разговор был окончен, однако я решил попытать счастье в третий раз и обратился к девушке, которая помогает клиентам с терминалами. Она тоже посмотрела на выскакивающее окошко, после чего посоветовала позвонить инкассаторам, на просьбу дать их номер я получил невнятные ответы.
Всё это происходило шестого декабря. Спустя две недели я решил проверить, что там с терминалом. Всё-таки, как-никак они сказали, что «зафиксировали» проблему, наверное же должны были её уже устранить, но нет — воз и ныне там, окошко всё так же всплывает. Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой. Посему за фактом бездействия Сбербанка сообщаю о весёлой акции «СберШифт» вам, дражайшие хабровчане.
UPDATE от 29.12.2017
TL;DR: уязвимость устранили, окошко больше не открывается. Проверил лично. За это дали ежедневник и кардхолдер.
Через день после данного поста со мной по электронной почте с домена sberbank.ru связался человек-представитель Сбербанка, собиравшийся «поднять вопрос о качестве консультации и проверить куда улетел отложенный вопрос». Связавшийся попросил мой номер телефона и дату, в которую было сделано обращение. Я ему сообщил эти данные, и через день после этого было сообщено, что работники Сбера уже исправляют проблему.
Далее, 22 декабря мне на мобильный телефон позвонили из местного отделения Сбербанка с просьбой прийти в головной офис для получения «извинительного подарка». В качестве такого подарка были вручены фирменный ежедневник и кошелёк для банковских карт. В этот же день я не поленился и сходил «в гости» к терминалу Сбербанка, потыкав ему Shift вновь. Реакции не последовало, а значит и проблема решена.
Сегодня же со мной связался Sberbank и попросил написать этот апдейт. Честно говоря, я давно намеревался это сделать, но учёба постоянно отвлекала. Сегодня же выдался свободный денёк. Собственно, цитирую с сохранением орфографии комментарий Сбербанка, который компания попросила сюда добавить:
Данная информация уже не является актуальной на сегодняшний день. К настоящему моменту описанная уязвимость устранена на всех аналогичных информационно-платежных терминалах Сбербанка, оборудованных расширенной полноразмерной клавиатурой. Также отмечаем, что описанная уязвимость не несла за собой каких-либо рисков для безопасности устройств. Применяемые средства защиты не позволяют произвести на терминале или банкомате каких-либо неправомерных действий, которые могли бы нанести вред клиентам или банку.
При этом, мы благодарны нашим клиентам за внимательность и обратную связь по обнаруженным особенностям конфигурации наших систем. В свою очередь, стараемся реагировать максимально оперативно и учитывать ваши пожелания по работе всех наших систем и сервисов.