Comments 247
А, так вот как он имя узнал. Теперь понятно. А то я сильно напрягался, откуда разводила мое имя узнал.
PS: Отсутствием верификации почты и телефона при их привязке к договору страдают многие организации. У меня почта на mail.ru короткая, и я регулярно получаю чужие данные.
Сбербанк онлайн на рутованных устройствах не работает, но это не точно
И полёт более чем нормальный!
Вы просто не умеете готовить
Именно поэтому никакого «Сбербанк-онлайн» – только через браузер.
По IMEI определяют. Первые цифры это производитель и модель телефона.
Сбербанк огромная машина, с огромными возможностями, но российская, а это значит, что всегда «права» и ошибок не допускает. Помимо основной их деятельности, компания сильно расширяется, (беру, окко, свою црмку сделали), так что может все поменяется. Хотя если была бы конкуренция, давно бы поменялось.
Все бюджетники и пенсионеры автоматом уходят, либо сберу, либо втб. На этот счёт ничего не проводится.
В потребительском секторе вот там да, есть конкуренция. И то в силу имени сбербанк завлекает большую часть людей за 50. Но в целом будет вытесняться.
А надеяться на грамотную обработку в сбере глупо — Греф ни раз говорил, что для него мы все так мелочи. Тут разве что ходить в прокуратуру и писать жалобы.
Все пользователи Сбербанка по сути находятся в зоне риска с такими механизмами уведомлений.
А по размеру кредитного портфеля для физлиц — больше чем следующие 13 (!) банков вместе взятые: www.acexpert.ru/table/tablici-banki/banks2020/reyting-bankov-2019/?table=30241
Нет у Сбербанка никакой конкуренции.
Вы упомянули о том, что у Сбера есть конкуренция в ответ на фразу Gary22: «Хотя если была бы конкуренция, давно бы поменялось.»
Если их, как сейчас, 300+, но при этом 70% населения использует Сбербанк как основной, то конкуренция как бы «есть», но ничего не решает. В частности, Сбербанк может косячить как угодно, все равно все клиенты у него останутся — нет мотивации развития. Греф все это делает не из коммерческих соображений.
Аналогично и в банковской сфере.
Ну вот что сейчас должен сделать банк размера Тинькова или даже Ренессанса, чтобы откусить хоть сколько-то существенную долю клиентов у Сбербанка?
Так же как и с мобильными операторами. Но при этом рынок ВАТС, например, явно не их — здесь другие игроки рулят. Так что все зависит от ниши внутри рынка.
А вот пример компании которая смогла бы вырасти и занять хоть сколько-то ощутимую долю рынка на ум не приходит
Нет, разумеется какие-то выжившие конторы смогли развиться и вполне обеспечивают своим владельцам слой икры на бутерброде, но в масштабах рынка — там так и остались монополии РТ, ТТК и большой тройки
Единственный кто выбивается из этого списка — ЭР-телеком, но и то лишь формально поскольку был построен на нефтяные деньги, а не вырос из небольшой компании
Во-вторых, это совокупные показали. Если смотреть телеком в разрезе типовых услуг (доступ к интернет, мобильная связь, виртуальные атс, облачные сервисы и пр.), то распределением будет иным. И там есть вполне независимые серьезные игроки.
В-третьих, ЭР-Телеком никуда не выбивается. Это компания с огромными преференциями на региональных рынка (поделено с Ростелекомом).
Вы серьезно? Любая банковская деятельность это 50 процентов сбер. Это если по 19 году. Нет конкуренции, вот и все равно на качество, безопасность и тд.
Для Сбербанка пока рыночная ситуация выглядит устойчивой. Потому что концентрация капитала в его руках колоссальная. Если вдруг Правительство решит отдать полностью задачи Сбербанка другим банкам, например, ВТБ или ВЭБ, то это повлияет на устойчивость Сбербанка.
В случае со Сбербанком, термины вроде «IT-система» следует брать в кавычки.
В итоге посетил несколько отделений и наткнулся на адекватного специалиста, который подсказал как порешать.
И рассказ обрывается на самом интересном месте
доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты ¯(°_o)/¯
Какие доп. проблемы?
Типа правовые за то что я чужую карту заблокирую
Вы имеете полное право чужую заблокировать карту по номеру, просто потому что по правилам МПС вы это можете сделать, если вы нашли потерянную карту на улице и прочитали что на ней написано, а на ней написано что она собственность банка… позвоните по номеру 8 800..., позвонили туда, продиктовали номер и карту заблокируют как утерянную
фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках
фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках
т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать? Ну, это прям сильно. Реально. Пора вешаться? Или предлагать мне счет по номеру телефона?
т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать?
да, именно так. Это фишка МПС для блокировки утерянных карт.
Пора вешаться?
это уже по желанию
Или предлагать мне счет по номеру телефона?
не портить отношение с коллегами которые могут так сделать
у нас так пара человек-шутников с работы вылетело, решили поприкалываться над коллегами и заблокировали им карты когда они ушли обедать, и разблокировали когда они вернулись типа «хз чето глюкануло» (в то время было без проблем было заблокировать-разблокировать без особых последствий и какихто заявок....pci-dss тогда не было еще… веселые времена)
Мне в сбере по телефону как-то сказали: мол, вы свою карту на сайте чужом вводили, они не просто с вас сумму списали, но и решили делать это регулярно (оформили подписку мне) — так вот мы как банк никак это не отслеживаем, мошенничеством это не считаем, отписаться от таких подписок можно, разве что, сменив карту.
Ну да, «бану всегда за клиента», вы поняли. Позиция уровня «моя хата с краю», и полное отсутствие четкого управления ситуацией для клиента.
Впрочем, это не только к сберу вопросы: вопрос, что какой-то сайт, не спросив меня, с раз введенной карты деньги может/будет снимать не один раз, а повторно, никак банками не считается некорректным. «Вы сами ввели номер карты», а что не было выбора «один раз или повторно» — какому банку это важно?
Вообще-то (по крайней мере для меня) это форд и мошенничество. А если этот сайт третьим лицам передаст реквизиты, то тоже можно, что ли, списывать деньги?
«Вы сами ввели номер карты», а что не было выбора «один раз или повторно» — какому банку это важно?
Есть как минимум один банк с которым была следующая ситация:
— Пишу в поддержку (в чат) что не могу их карту отвязать от билайна (которым уже не пользуюсь но денег тоже не берут) никакими средствами (хотят код которого у меня нет и который билайн же не прислал)(возможно вариант с походом в салон — сработал бы). Поддержка билайна посылает в банк.
— Банку было все это описано, сотрудник сразу спросил согласия на перевыпуск карты по компроментации и предложил согласовать встречу с курьером с новой картой. Денег мне этот внеплановый перевыпуск не стоил.
Если что — это Тиньков.
Наверное такая практика есть в нормальных банках, в Сбербанке же на сообщение о найденной карте отвечали выбросить её в мусорку или разрезать. Несколько разных операторов. Никаких данных даже спрашивать не стали.
Несколько раз блокировал чужие карты, привязываемые к моему телефону. Тоже мера действенная, хотя один раз попался настойчивый, но неразумный товарищ, который 3 раза разблокировал карту ;) И не лень ему было в отделение бегать.
доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты
И какие проблемы обещали?
А если даже к ним не обращаться а сразу блокировать карту?
Номер телефона кому принадлежит? Уж точно не сбербанку
Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну.
Отличие может составлять в одной букве: r и n.
Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.
Логов не ведёт, зато состояние сохраняет будь здоров.
У меня ситуация была обратная — Сбербанк слал мои данные неизвестно кому, потому что сотрудник при вбивании анкеты перепутал две рукописные английские буквы (да, похожи).
Через небольшое время я заметил неправильный адрес в профиле сбербанк-онлайна и исправил его.
А ещё через какое-то время адрес сам исправился обратно на оригинально вбитый с ошибкой.
И это я заметил уже совсем не скоро.
Исправил снова, пока держится. Официальное обращение "какого фига это произошло" не принесло никакого результата. "Адрес был актуализирован ранее".
Сбербанк все больше и больше к своим клиентам относится стремно.
Именно поэтому я 10 лет назад ушел из Сбербанка.
Но пенсию получаю в нем, но не на карточку, а на сберкнижку.
Почитайте условия того "страхования". Оно ничего реально не страхует.
Вот Вам — бесполезная, а сберу — очень даже наоборот!
Просто у вас и сбера цели разные.
Вы ведь не купили у них услугу «Страхование банковских карт», значит за все дыры банка ответственность несет сам клиент.
это неверно. Скажем так — понятно, почему банк навязывает эту услугу, почему возврат денег без нее будет существенно сложнее. Все-таки банк хочет деньги зарабатывать. Но вообще должны быть понятные правила регуляции на этот счет ) и потребитель не должен страдать.
По поводу номера телефона материалы в ЦБ уже подготовлены.
Вы можете писать в любые органы. Важен не факт нарушения чьего либо интереса, а сам факт нарушения.
Мне будет сейчас достаточно, если банк хотя бы оперативно отреагирует на проблему и устранит это.
На мою жалобу в Роскомнадзор я получил ответ «лично вы не пострадали, а остальные пусть сами пишут».
Не всегда люди с горячим сердцем стремятся карать нарушения.
(про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу – желающие могут сами найти полный текст закона и увидеть это).
оперативно-рАзыскная деятельнось — корректное написание. В приставках роз/раз без ударения пишем «а».
К сожалению, законы не всегда проходят верификацию и вычитку сотрудниками института русского языка ((( соответственно, действительно могут быть вариации в написании, но в чем я поддержку коллег — если термин определен как "абракадабра" (вне зависимости от корректности с т.з. грамматики/орфографии или смысла слова), то он должен и везде так писаться.
Касательно "оперативно-розыскной" сам был удивлен, что нормативное написание "оперативно-разыскной" (проверочное слово розыск? А ВОТ ФИГ ТАМ!) Руськая езыг такая сложный )))))
Можно было бы согласиться, если бы не Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 02.08.2019) «Об оперативно-розыскной деятельности»
Тут на днях (году этак в 2004-м) были опубликованы новые нормы русского языка. В частности, была подкорректирована орфография. По новой норме написание «разыскной» — верное, членение слова на составляющие — приставка «раз», корень — «ыск».
До того (и в 1996 году тоже) действовали другие правила: правильным считалось написание «розыскной», корень — «розыск».
Можно спорить, нравится вам новая норма или нет. Но тем не менее написание в документе верное.
Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы. Ну, и как нормы приняли, так их и откатили. Ну, как с временными зонами (реформа Медведева). Или как с "обнулением".
«кофе — теперь оно» — не единственное изменение в норме русского языка.
в гробу я это видел. Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения. Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать ) глядишь иностранцы потянутся в РФ /сарказм/
Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.
При чем здесь я-то, собственно? Языковая норма фиксирует сложившееся положение вещей и служит унифицирующим и стабилизирующим фактором.
А после принятия нормы она становится, цитирую википедию: «обязательна для употребления в научных, справочных и учебных изданиях, а также в периодической печати».
Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения.
О, вы знаете, какие изменения в языке хорошие, а какие плохие? Я вот не знаю.
Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать )
Радость, радость! Ваш голос уже услышан. Именно в этом направлении и двигают сейчас языковую норму.
В частности, обсуждаемый нами «разыскной» раньше был словом-исключением: везде без ударения писалась приставка «раз», а здесь — «роз». Да еще и считалась не приставкой, а частью корня. Сейчас же академики услышали глас народа и упростили норму, убрав ненужные исключения.
Правда, здорово? :)
А зачем ломать голову? Зачем усложнять людям жизнь? Или вам нравится чувствовать себя выше других, потому что вы орфографию лучше знаете?
Если в языке станет меньше WAT'ов — жить станет лучше всем.
Если в языке станет меньше WAT'ов — жить станет лучше всем.
WAT'ов не станет меньше, а только больше. Т.к. чтобы уменьшить количество WAT'ов, надо уменьшить объем до лексики Эллочки-людоедочки.
Кстати, меня в кои-то веки просто убила "логичность" правила расстановки кавычек при прямой речи в русском языке. Вот этот раздел — "Слова автора внутри прямой речи"
http://lingvotech.com/znaki_prepinaniya_pri_pryamoy_rechi
Ну, а что — давайте еще пунктуацию упростим до абсолютного минимализма, фигли WAT'ы плодить. Но я к этому не призываю — проще уж выучиться ))))
Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.
Предлагаю пойти дальше. Вешаем каждому человеку миелофон. Изучаем как люди думают, кристаллизуем нормы мышления и начинаем учить людей думать правильно.
Если вам кажется что это бред — ну не больше, чем учить носителей языка языку.
Вопрос дискуссионный:
розыск, поиск, искать — однокоренные?
Заискивать? Сыск? О, и далее — сыщик, ищейка? С чёртовым чередованием.
Или корень сросшийся с приставкой ?
ЗЫ: Забавно, кстати: проверка орфографии в фаерфоксе о новых нормах не в курсе. «Разыскной» подчеркивает красненьким, «розыскной» пропускает.
Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email
Извините, но Вы точно в этом уверены? А если злоумышленник подтвердит e-mail? e-mail должен подтверждаться с двух мест: с e-mail (что он вообще существует и валиден, без привязки к владельцу) и с sms (в смске точно указано, что "клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты").
Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).
с трудом представляю, как это должно выглядеть. В теории у меня интернет банка может и не быть, а я хочу уведомления на имейл… Телефона должно быть достаточно для подтверждения (мы все помним про перехват SS7, но это вообще отдельная история)
То есть двухэтапно.
ок, принято, спасибо, что развили свою мысль
А не просто внесение данных (в том числе с ошибкой).
полностью согласен. Хорошо. Тогда вопрос. Требуется изменение данных в банке. Например, ошибочных. Чего делаем? Как строим алгоритм? Звонка в техподдержку с идентификацией себя по кодовому слову/паспорту/anything else не будет достаточно? Потому что в этой парадигме надо отбирать у техподдержки и операторов (включая сотрудников клиентской зоны) все возможные права. Ну, разве что оставить возможность блокировки карты… Хотя даже ею можно кому-то навредить...
Удаленно: в ЛК изменяете данные. Далее по алгоритму после формирования ссылки.
В офисе — согласен, нравится.
Удаленно — не нравится, нет ЛК, нет интернета. Давайте более конвенциональный способ (ну, хз, через автоматизированную систему по телефону — как у ситибанка, например)
Рассмотрите вариант — я нахожусь в деревне, где 3g еле-еле душа в теле. Хотя и почта рабочая у меня есть, и я ею активно пользуюсь в городе. Но взломать-то мой счет могут в любой момент (?), а смс уведомления пролезают. Ну, или что-то подобное — у старшего поколения тоже есть e-mail, но при этом с собой они носят телефоны уровня нокии ) без интернета и почтового клиента. И только не апеллируйте к тому, что в офисе банка обязательно есть компьютер с открытым банк-клиентом ))))
Без верификации email подтвердить email нельзя. Это аксиома.
А учитывая мобильные-клиенты, можно и на 2g верифицировать.
Почта работает и на 300 бод.
уже нет. Вы где видели голый SMTP/IMAP (даже пускай и с шифрованием)? Да, я знаю, что в том же GMAIL или Яндекс можно включить эти конвенциональные протоколы, но все крупные SaaS сервисы не рекомендуют это делать (1) и по этим протоколам все работает просто омерзительно (2). Я, честно, думал, что смогу настроить произвольный почтовый клиент и удобно пользоваться GMAIL, так пес там был — у них там очень хитрая история с "метками", которые криво маппятся в "папки", ну, и дальше пошло-поехало — начина от странных глюков с отображением непрочитанных прочитанных (и их количества) и кончая глюками при перетаскивании писем между папками. А то, что при отправке письма, его надо одновременно слать по SMTP и IMAP, чтобы оно оказалось в папке "отправленные" — это ваааааще пять
В остальном — да, почта, конечно, работает и на 300 бод… Я уж не говорю, что там обычно какой-нибудь uucp надо использовать, а то smtp/imap, я как-то не помню, чтобы поддерживали докачку при обрыве связи
arxont@kurwastar ~ $ mail
No mail for arxont
При этом почта на меня есть, но mail её никогда не сможет увидеть. И да, почта не виртуальная ни разу.
Вопрос: в какой формат хранения почты mail не умеет?
Если вы регулярно бываете в такой жопе, где связь 1200 бод, и вы называете себя айтишником, вы можете настроить себе такую почту, которая будет работаьт на 1200 бод. Для этого нужно просто постараться.
Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap. Тот же mutt уже давно Imap поддерживает.
А если он работает по imap, то им можно пользоваться изредка, не мешая работе любого другого клиента, которым вы пользуетесь в обычной ситуации.
Сделал себе виртуалку с mutt, подключился по ssh, почитал.
Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap.
Вы все на свете смешали в кучу. Если есть имап, то клиент может быть любой — хоть текстовый, хоть графический. Это уже не столь важно. Но если имап работает не очень, то, повторюсь, придется забирать почту другим способом. Но это уже забытое знание практически )
Или Вы предлагаете на удаленном хосте, скажем, по ssh, через текстового клиента оперировать? Но Вы же понимаете разницу между локальной почтой и почтой "где-то"?
Сделал себе виртуалку с mutt, подключился по ssh, почитал.
Дополнили-таки ответ, ну, ок. См выше замечание про "локальную" и "удалённую" почту.
Но Вы же понимаете разницу между локальной почтой и почтой «где-то»?
В офисе: девушка вносит данные. Распечатывает форму из программы с изменениями. Вы подписываете. Одновременно с этим Вам поступает email с ссылкой для подтверждения (девочка при вас нажимает кнопку для формирования проверочной ссылки). Вы переходите по ней. На третьем шаге можете ввести код из смс/звонка/пуша (какой тип авторизации и информирования выбран).
Давайте поймем разницу, зачем вообще вам понадобилась почта. Не так часто возникает необходимость воспользоваться такой услугой.
Но для единоразового получения кода подтверждения?
ssh на удаленный сервер, чтобы посмотреть код подтверждения БОЛЕЕ чем достаточно.
Также для такой нечастой операци, можно временно посетить места, где интернет получше.
Если вы подписываете документы в офисе, то причем тут ситуация с 3000 бод? Мы же этот вариант подтверждения рассматривали? Вряд ли подтверждение имейла будет действительно более пяти минут, часа, суток?
Если же надо заблочить карту или как-то ещё дать понять банку, что экстренная ситуация, то там попросту не до почты? И нужен обычный способ подтверждения.
Смотрите. Чего это я вас донимаю. Я именно тот везучий человек, на котором регулярно ломаются скрипты. В результате попадаю в какую-то тупиковую ветку и приходится тратить очень много энергии на решение проблемы (ситуации) с техподдержкой, иногда вплоть до эскалации на ЛПР. Ну, нет цели у сервисов обеспечивать цельный, удобный, качественный сервис.
Касательно почты у меня появилась идея, что все не так страшно. Банк же может слать выписку архивом под паролем. Следовательно, с одной стороны — письмо улетает, да и пофиг, но третье лицо содержимое прочесть не может. Профит?
"клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты"
Какое SMS? Этот способ "авторизации" давно удавить пора.
Сообщением в приложении: "для подтверждения приложите вашу карточку к телефону и введите пароль из присланного на email письма"
Карточка и телефон, разумеется, NFC уметь должны. И то и то сейчас уже стало достаточно дешевым. А если не умеют — предложить клиенту ридер карты/генератор одноразовых паролей. Тоже стоимость при массовом производстве рублей 200.
Какое SMS? Этот способ "авторизации" давно удавить пора.
согласен, но у нас тут речь за какую-то гибкость. Чтобы даже бабушка с нокией могла относительно безопасно пользоваться услугами банка. Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне? Или вживлять NFC чипы в руку?
Насчет того, что SMS не является вторым фактором в курсе — об этом и моя приписка в скобках.
Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне?
Так в контексте банков большая часть токена (защищенное хранилище и микропроцессор) уже есть — это чип на карточке. Карточки без NFC тоже постепено пропадают и заменяются. Так что нужно именно ридер в форм факторе калькулятора для общения со всем этим. Который да, именно раздать можно. Тем более что при должной стандартизации он один на все карточки потребуется.
Ну вирусное, что поделать.
Давно уже понятно, что банковские приложения должно жить на собственном смартфоне, где кроме них ничего нет. Сам телефон без SIM-ки и включается только тогда, когда этими приложениями пользуешься.
При таком использовании от этой вирусности вреда мало.
Название сервера интересное.
"Цероклис — божество злаков и урожая.
В материалах XVII века говорится о жертвоприношениях этому богу животных — черного быка, курицы, поросёнка, а также об обычае оставлять в лесу у дуба два куриных яйца и при еде бросать на землю первый кусок и проливать немного питья. С культом Цероклиса связывают обычай выпечки большого хлеба в форме змея с открытой пастью и поднятым хвостом, а также хлеба в форме свиньи или собаки."
Ну а вообще в сбере много долгоиграющих косяков.
- Возможность востановить доступ в сбол по просроченной или заблоченной карте.
- Косяки с синхронизацией настроек между сбол и мобильной версией. Например лимиты на операции.
- Логически дырявая идентификация пользователя по повсеместно навязываемой биометрии.
- Во время "технических" работ все профиля настройки могут сами сбросится на час и более, потом вернутся. Вы об этом узнаете случайно.
Как давний обладатель прикольного имени на мейл.ру, подтверждаю: глупые человеки часто указывают левую почту при разных критических операциях. Иной раз руки чешутся отменить кому-нибудь билет или вернуть товар продавцу.
Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной.
Нет, всё гораздо хуже — Сбербанк регулярно пересылает сведения, охраняемые банковской тайной, ПО ОТКРЫТОМУ КАНАЛУ (надеюсь, на хабре никому не надо объяснять, что email именно таковым и является) — а тот факт, что эти данные оказались у Вас — это уже частность/следствие.
У меня есть несколько карт в сбербанке, на одну из них мне приходит зарплата. Никаких емейлов с информацией о движении средств нет. Скорее всего в договоре была какая-нибудь хитрая галочка, которую поставил/забыл поставить клиент при получении карты. А это равносильно тому, что описано в предыдущем абзаце. Да, можно рассуждать о старшем поколении и т. д., но скорее всего формально банк ничего не нарушил.
Чисто технически мне [...] И это не будет нарушением банковской и медицинской тайны соответственно.
Ключевое слово — "мне". Вы можете со свой информацией делать что угодно, а вот банк — нет. Мне время от времени приходят (настоящие) емейлы от моего банка — "мы Вам тут безопасное сообщение прислали, зайдите в свой ЛК на сайте банка, чтобы прочитать".
Вроде как давно есть шифрование при пересылке.
Как у нас говорят, "Вроде. Числе и падеже." Заголовки письма — это чистейший незашифрованный текст (а иначе как к ним новые строки добавлять?); тело письма — передаётся один в один как есть (ну, с небольшими исключениями — типа, оно должно состоять из печатных символов; для всяких уникодов и передачи аттачментов придуманы MIME-обёртки, uue, base64). То есть если отправитель его зашифровал — то да, но я ни одного из таких отправителей за 20 лет не встречал.
Я вообще думал, что это на уровне протокола должно было быть )
Типа есть домен получатель (MX) и сервер отправитель. В домене, привязанном к серверу получателя, публикуется ключ шифрования (ну, хз, как TXT запись). На самих серверах домена получателя раскидан ключ расшифровки. Сервер отправитель зашифровывает ТЕЛО письмо открытым ключом, отправляет — все безопасно, никто не может тело расшифровать. Сервер получатель раскрывает тело и своему пользователю отдает уже расшифрованное письмо. Сплошной профит, не ?
Протокол SMTP не менялся года так с 1990 — только наращивался дополнительными надстройками, вроде тех же MIME — потому что DHS не велит обратная совместимость.
Сервер отправитель [...] Сервер получатель
Нет таких понятий как "сервер-отправитель" и "сервер-получатель", есть только одноранговые сервера, каждый передаёт следующему (определяя тем или иным способом, кто будет "следующим", то есть имеет наилучшие шансы доставить письмо именно тому, кому надо — у некоторых есть для этого таблицы; некоторые берут из DNSовских MX, и т.п.), пока один из "следующих" не скажет "о, да это же мне"! (в смысле зарегистрированному на мне юзеру). Именно для этого каждый и должен иметь возможность прочитать заголовок (и дописать в него строчку "это вася.ком, это письмо пришло ко мне в 12:34:55, и я его передаю пете.ком в 12:35:12").
P.S. Кстати, именно из-за конфликтов конфигурации иногда (в последнее время — исчезающе редко) возникали ситуации, когда письмо отлупляется по превышению количества хопов — "вася.ком: я не знаю точно, кому это письмо, перешлю-ка я его пете.ком; петя.ком: я не знаю точно, кому это письмо, перешлю-ка я его васе.ком", "и так восемь раз".
Да, я про mx в курсе. Про заголовки — так я же сказал — шифруем только тело, без заголовков, чтобы не ломать маршрутизацию. Я уж не говорю про то, что протокол в таком виде, как описываете, не позволяет проверить аутентичность отправителя. А шифрование на уровне клиентов, Вы опять правы, не очень популярно. Как минимум, потому что оно неудобное. Имеем то, что имеем (((
Это вам не хттпс ) я так понимаю, что в почте тлс только между клиентом-сервером и, если повезёт, между серверами тоже. Но вот каждая передача идёт между каждой парой узлов со своими шифрами. Поэтому такое себе.
Просто везде, где бы я не смотрел, по сути письмо путешествует (у некоторых) по внутренней сети, приходит на внешний гейт почтового сервера, и путешествует уже там.
это правильная архитектура, ага, просто "внутренняя сеть" точно так же может быть не очень доверенным периметром, в частности, когда вы стоите в каком-нибудь чужом ЦОДе. И вообще термин "внутренняя сеть" это очень опасно ) NAT & firewall не являются достаточными условиями надежной защиты — я тут случайно ликнул роуты у себя и привет безопасность — внутренняя сеть вылилась наружу вообще без каких-либо проблем ((( Глупая, детская ошибка.
Кстати, а путь прохождения ведь отпечатывается в заголовках письма?
так точно, но это по стандарту. По факту почтовики могут заголовки менять и резать.
То есть канал вполне себе закрытый, сообщение видят только оконечные узлы.
Вы хоть понимаете, что Вы прочитали? Хорошо, переведу на старинные термины. Вы пишете письмо, вкладываете его в железный контейнер, закрываете на замок, отдаёте курьеру, говорите, "а отвези-ка это, голубчик, на станцию X". На станции X открывают своим ключом контейнер, читают письмо, где во первЫх строках написано "To: ИвануИванову@Такая-то.станция", понимают, что дотуда ближе от станции Y, упаковывают ваше письмо в другой контейнер с замком, вызывают курьера, просят отвезти контейнер на станцию Y, и так несколько (иногда — но далеко не всегда — один) раз. Да, курьер не может открыть контейнер и прочитать Ваше письмо — но станция (сервер) МОЖЕТ, чёрт подери! То есть из (N + (N+1)) (где N — число промежуточных серверов) потенциальных точек прослушки вы убрали (N+1), поздравляю, но N-то осталось! ;)
Красный (не зашифровано) Без шифрования. Сообщение не защищено. Система предполагает наличие или отсутствие шифрования на стороне получателя по ранее отправленным в его домен письмам
И этот красный замочек я периодически в своей почте вижу. Даже не в папке спам.
Как держатель нескольких почтовых серверов подтверждаю: почта — это открытый канал. Включить в нем безопасное шифрование невозможно.
PS тоже считаю правильным «розыскной» :)
правильное с точки зрения справочника Розенталя написание — именно «разыскной».
Розенталь уже устарел — теперь правильным считается справочник под ред. Лопатина.
В законодательстве написание менялось, можете поискать в том же «Консультанте» — видимо, в зависимости от предпочтений министра внутренних дел.
Нет, в зависимости от того, приняты были новые нормы или еще нет. До 2004 года писали по Розенталю, после 2004 — должны уже писать по-новому, но думаю, что писали и так и сяк.
Толковый словарь Ожегова
РОЗЫСК
РОЗЫСК, -а, м. 1. см. разыскать. 2. обычно мм. Поиски, разыскиваниекого-чего-н. Отправиться на розыски (отправиться искать). 3. Деятельностьспециальных органов по установлению местонахождения уклоняющихся от судаобвиняемых, осужденных лиц, а также лиц, пропавших без вести (спец.).Объявить?.. Преступник находится в розыске. 4. Предшествующее суду дознание, собирание улик (спец.).* Уголовный розыск — милицейская служба, занимающаясяраскрытием и пресечением уголовных преступлений. II прил. розыскной, -ая,-ое (к 3 знач.). Розыскное дело. Розыскная собака.
По современным правилам, как тут выяснилось у лингвистов, по формальным правилам действительно пишут «разыскной». Вопрос этимологии слова: многие лингвисты считают, что обе формы являются корректными. После реформы г-на Лопатина многие исключения подвели под правила.
Как минимум ошибочные почтовые адреса я лично (более 5 лет назад, не в сбере, но крупном банке) от нечегоделать выдирал из логов почтовика реджекнутые письма с выписками и адресами типа vasya@гмейл.ком и отправлял в отдел который за это отвечает… и могу сказать им было больше на это плевать чем мне потому что список особо не уменьшался месяц от месяца
Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке
Последние 2 года мы занимаемся телеком-аудитом для различных компаний
я работал в нескольких компаниях напрямую связанных с банковским процессингом, и каждый раз, при каждом аудите, задавал вопросы аудиторам и высказывал собственные потенциальные векторы атак и проблемы в безопасности, и могу сказать что аудиторам не то чтобы плевать они элементарно не понимают и не верят что так может быть, потому что дословно:
«система соответствует стандарту, значит такое невозможно, не выдумывайте» (с)
«Сотрудник который работает на этом рабочем месте подписал договор, если такое произойдет — он будет виноват, он это понимает и так делать не будет, зачем чтото ещё менять?» ©
И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.
И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.
что доказывает, что цель аудита не сделать безопасность, а прикрыть свой зад… (((((((
Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке
А вот это очень интересный вопрос: действительно ли регулятор утверждает такие нормативы безопасности?
Многие крупные взломы и финансовых и оборонных сетей — это были взломы сетей, которые построены в соответствии со стандартами безопасности.
Стандарт — обеспечивает некоторый _минимум_ безопасности. Нижнюю планку. Смысл стандарта в том, что стандарт могут обеспечить даже рядовые исполнители, с базовыми навыками, которых легко найти на рынке труда. (рок-звезд — всегда единицы, а банковских IT-шников нужны сотни тысяч).
Плохо, если руководство не понимает разницы, между соответствием минимальным требованиям стандарта, и реальной защищенностью. Считает, что соблюдение стандарта — уже достаточно.
И да — как написали правильно выше — это ОТКРЫТЫЙ канал.
На вопрос «какой может быть отчет по заблокированной карте»,
Что она закрыта! :)
На самом деле номера карт обычно через какое-то время выдаются другим людям. Потому что BIN — 6 цифр, контрольная сумма — 1, остаётся 9 — не так уж и много
На первую линию сажают или роботов (которые пытаются угадать ответ по ключевым словам запроса) или жестко мотивируют сотрудников первой линии не передавать информацию дальше и пытаться решить самим. В результате техническая проблема даже не доходит до второй линии саппорта, где её могут в принципе решить. А первая линия тупо по скрипту отвечает…
Просто Сбер тут в лидерах по «защите» второй линии техподдержки от пользователей :(
Из личного опыта. Мама попросила снять денег с ее карты в банкомате. Банкомат зажевал карту, позвонил со своего номера чтобы заблокировать данную карту, мой номер (ранее зарегистрированный на другой действующий сберовской аккаунт) привязался к ее аккаунту автоматом. После перевыпуска карты получаю все уведомления, включая пароли для подтверждения платежей, могу входить в Сбербанк онлайн под ее аккаунтом и видеть все ее карты и счета. Номер не отвязывал, потребности нет. НО, сам факт…
Очень просто. Звоните с любого номера и говорите у меня банкомат зажевал карту номер такой-то. Это нормально, чтобы заблокировать карту не нужна какая-либо верификация пользователя карты (здесь какого-либо фэйла нет, ситуации могут быть разные и блокировка карты должна быть произведена, хотя бы до выяснения обстоятельств) трабл в том, что номер с которого поступил звонок не должен автоматом привязываться к данной карте, а по сути он привязался не к карте, а к аккаунту вцелом, т.к. после перевыпуска карты на данный номер поступают смски адресованные владельцу другого аккаунта.
С траблом согласен.
там есть слова:
«Если вы потеряли свою карту Visa или она была украдена, представители службы клиентской поддержки Visa могут:
заблокирать вашу карту, если вы знаете ее номер, а затем соединить вас с вашим банком»
Виза в принципе не может знать связь вашего телефона+карты+фио (надпись с фио на карте опциональна) тем не менее они заблокируют вам карту по номеру
Есть ваш банковский счет — это очень важный и ценный ресурс. Банк должен его защищать.
Есть карта (ключ для сервиса банкоматов, для сервиса интернет-платежей) — это другой ресурс, гораздо менее важный.
Благодаря тому, что карту легко заблочить (даже другой человек, если ее нашел. даже вы сами, если забыли кодовое слово) — с одной стороны под удар ставится этот второй ресурс (неважный), зато надежнее защищается первый ресурс (ваш счет, деньги), который гораздо важнее.
Но что самое интересное, как данный email оказался в базе рассылок и почему он привязан к моей супруге?
Этот email я не указываю для отечественных сервисов и компаний.
Если открыть СБ на телефоне и посмотреть СБ ID электронная почта, то там вообще пусто.
Ещё кейс. При покупке нового номера (новая сим карта) на нее приходили в смс предложения от Сбера о кредите с указанием полного ФИО предыдущего владельца.
И на него часто звонили коллекторы, задолбали меня. Оказывается, такие номера часто люди брали чтобы спрятать свой основной номер.
Саппорт, на мой вопрос «какого...?» и просьбой отписать меня, запросил мои ПД для тикета.
Для регистрации запроса уточните Ваши данные ФИО, номер телефона и электронный адрес, также сообщите данные Клиента, на чье имя поступают письма.
В ответ были отправлены все данные их клиента, но саппорт упорно требовал мои данные.
После чего был послан лесом, а письма в спам.
телефонные номера звонивших их не интересуют
Вам было бы спокойнее, если бы этот номер торжественно записали в книжечку? Раскрутить, кто звонит, без привлечения правоохранителей не получится. Заблокировать — тоже.
Я уж не говорю о том, что есть мизерна возможность, что такими формами мошенничества занимаются сами сотрудники банков, а это тогда 100% попадание в сферу интересов СБ
Вы вправе сами менять правила обработки перс данных — можете оставить только то, что относится непосредственно к услуге, которую вам оказывают. Остальное имеете полное право вычеркнуть. И отказать вам в этом не могут.
можете оставить только то, что относится непосредственно к услуге, которую вам оказывают.
У банка могут быть подрядчики которые учавствуют в исполнении услуги, особенно если это касается банковских карт. далеко не все банки имеют процессинги и пользуются услугами сторонних и вынуждены передавать им права на обработку перс.данных.
Аналогично, с нового номера сделал запрос в сбер, отказ и посыпался телефонный спам, но служба поддержки после моих возмущений ответила, что вы сами дали согласие (галочка на согласие обязательна, что бы дать запрос на кредит) и мы имели право. Что бы отказаться, приезжайте и пишите заявление.
Первую девочку я поймал быстро. Она часто снимала деньги в банкомате на первом этаже конторы. Курю как-то на крыльце, приходит смс, врываюсь в холл — здрасте, я ваш друг по карте. От девочки я узнал, что номер телефона был не перепутан, а к ее счету было две привязки. Т.е. девочка тоже получала свои смс.
Второго я ловил полгода. Он снимал деньги очень редко — не более одного раза в месяц. Я знал про него все — оклад, сумму накоплений, места, где он бывает (в смс приходили адреса банкоматов). И вот однажды его карта была пополнена в нестандартное время на нестандартную сумму. Отпускные! Я вычислил по окладу, что чувак взял 3 дня. Корпоративная система контроля отпусков мне вернула семь фамилий с отпусками в три дня в текущем месяце. Четыре фамилии отпали сразу. У нас зарплату переводят по алфавитному списку, его смс приходила всегда раньше моей, значит по алфавиту от был раньше меня. Дальше просто — на корпоративном портале у всех указаны мобильники. Перевод 1 рубля по номеру телефона и тут же смс о зачислении. Привет, друг, как долго я тебя искал!
Банк — не Сбер, а Левобережный (Новосибирск). Уточню, что контора не меняла зарплатный проект (нашел скан заявления своего), а меняла карты (переходили на VISA), т.е. мы не заключали договор, а писали заявления на выдачу новой карты.
Самое забавное, что молодой человек номер два работал со мной в одном кабинете (мы были мало знакомы — разные отделы, то виделись каждый день). Т.е. два раза в месяц (аванс и зарплата) на протяжении полугода он слышал мои громогласные маты про себя, — я при получении очередной СМС в выражениях не стеснялся. Он даже принял участие в паре кабинетных конкурсов на лучшую идею, как напакостить мистеру Икс.
Когда все открылось, мне было очень неловко. Слава богу, что он не слышал мои «юмористические» предположения о его покупках и оценки его любимых мест для снятия наличных. По понятным причинам, в момент получения СМС о списаниях с карты, его в кабинете не было.
З.Ы. Мой номер телефона «друзья по карте» смогли отвязать в ЛК банка. Молодой человек, спустя еще полгода, уволился. Девушка, вроде, еще работает — видел ее этой зимой (до карантина).
З.З.Ы. Моя карта VISA валяется где-то в коробке с документами. Оказалось, что в банке по картам зарплатного проекта есть неизменяемый годовой лимит. Т.е. к апрелю-маю она превращается тыкву. Пришлось выпускать к счету еще одну карту (за деньги), которая лимитов уже не имеет
Банк — не Сбер, а Левобережный (Новосибирск). Уточню, что контора не меняла зарплатный проект (нашел скан заявления своего), а меняла карты (переходили на VISA), т.е. мы не заключали договор, а писали заявления на выдачу новой карты.
… А «контора» — видимо ЦФТ. Кто там еще в Левобережке пасётся, кроме ЦФТ и бюджетников — я не знаю )
У меня давно полученный красивый номер и сколько мне коллекторов звонит — не рассказать.
Люди в условном МВидео при покупке айфона указывают левые данные, которые никак не верифицируются. Потом коллекторы звонят по этим номерам и портят жизнь нормальным людям.
А что, хорошая идея — режем все жалобы от клиентов по ключевым словам как спам, и сокращаем расходы на поддержку, одновременно поднимая показатели качества обслуживания.
Это письмо создано автоматически сервером Mail.ru, отвечать на него не нужно.
К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:
problema@SPASIBOSB.ru
SMTP error from remote mail server after end of data:
host mail.spasibosb.ru [77.246.228.14]: 550 5.7.1 Message rejected as spam by Content Filtering.
Рекомендуем Вам проверить корректность указания адресов получателей.
**********************
Сбербанк решил пойти еще дальше. И буквально вчера прислал мне «поздравление» с днем рождения. То есть мало ему оказалось нарушения банковской тайны — Сбербанк решил нарушить еще и Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. Как далеко зайдет Сбербанк?
Но спешу всех успокоить: в данной ситуации с моей стороны не было не сделано ничего, что привело к раскрытию банковской тайны.
Двойное отрицание. Хитро :)
Вы как клиент Сбербанка можете даже и не знать о том, что ваша банковская информация «смотрит» наружу, если вдруг кто-то из сотрудников Сбербанка мог ошибиться при ручном вводе ваших контактных данных.
Банковская тайна? Это в то время как по вашим счетам, как по своим гуляют налоговые, приставы, майоры, специалисты службы безопасности и другие рядовые сотрудники. И все это в том государстве, где не одно ведомство или компания не смогло удержать базу данных своих пользователей не передав ее профессиональным базовикам?
1) Сбер — это то ещё дно, более того, когда я вынужденно открывал счёт для избирательной кампании, заранее уточнил не будет ли спама? Зачем мне лишние звонки?
Итогом стали звонки мошенников, которые теперь думают, что у меня есть карта сбера.
2) Более-менее в БСПб нормально отлажен процесс по карточкам, в случае подозрительного фрода вам блочат карточку и тут же наберут с уточнениями.
Когда позвонил им (с этого нового номера), меня назвали по имени-отчеству (не моим), но через некоторое время поняли что я хочу и сказали, что номер откреплен.
Второй опыт — перевыпуск сим-карты (нужна была нано-сим). Банки среагировали только через пару месяцев на это
Как это не хранит никаких логов, если вам сказали, что в 2012 году добавили номер.
Как одна недоработка в IT-системе привела к раскрытию банковской тайны в Сбербанке