Pull to refresh

СберШифт: пять раз нажимай и в систему попадай

Information Security *
Скриншот запроса включения функции залипания клавиш

Помните одну из тех самых надоедливых возможностей Windows, особенно знакомую геймерам, когда пятикратное нажатие Shift вызывает специальное окошечко, предлагающее включить режим залипания клавиш? Эта «фича» дожила аж до Windows 10, к слову. Ну так вот, я, стоя у терминала Сбербанка с полноразмерной клавиатурой и ожидая ответа оператора по телефону, от скуки решил понажимать этот самый Shift, наивно полагая, что без функциональных клавиш это ни к чему не приведёт. Как бы не так! Пятикратное быстрое нажатие этой клавиши выдало мне то самое окошечко, к тому же обнажив панель задач со всем банковским ПО. Остановив работу пакетного файла (см. панель задач на видео ниже), а затем и всего банковского ПО, можно сломать терминал.



«Такое себе» — подумал я и попытался сообщить о найденной проблеме. Подобное желание у меня возникло впервые, поэтому я не придумал ничего лучше как обратиться к сотруднику Сбербанка с вопросом о том, кому можно сообщить. Девушка довольно неохотно ответила, что она ничего не знает, на вопросы о том, как связаться с начальством, ответила лаконичным молчанием и посоветовала обратиться в службу поддержки по телефону, написанному на самом терминале. Окей, звоним. К сожалению, записи разговора нет, осталась лишь картиночка-скриншот с датой звонка.

Скриншот с телефона из журнала звонков

В техподдержке приветливая девушка после того, как я сказал, что хочу сообщить об уязвимости, сразу переключила меня на какого-то другого специалиста. Тот сначала спросил как ко мне можно обращаться и номер терминала, затем о сути проблемы, потом я достаточно долго слушал музыку, и, в конце концов, парень сказал, что проблема зафиксирована. На вопрос о том, полагаются ли какие-то бонусы за сообщение о подобных проблемах, он ответил, что такой информацией не располагает. На этом разговор был окончен, однако я решил попытать счастье в третий раз и обратился к девушке, которая помогает клиентам с терминалами. Она тоже посмотрела на выскакивающее окошко, после чего посоветовала позвонить инкассаторам, на просьбу дать их номер я получил невнятные ответы.

Всё это происходило шестого декабря. Спустя две недели я решил проверить, что там с терминалом. Всё-таки, как-никак они сказали, что «зафиксировали» проблему, наверное же должны были её уже устранить, но нет — воз и ныне там, окошко всё так же всплывает. Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой. Посему за фактом бездействия Сбербанка сообщаю о весёлой акции «СберШифт» вам, дражайшие хабровчане.

UPDATE от 29.12.2017
TL;DR: уязвимость устранили, окошко больше не открывается. Проверил лично. За это дали ежедневник и кардхолдер.

Через день после данного поста со мной по электронной почте с домена sberbank.ru связался человек-представитель Сбербанка, собиравшийся «поднять вопрос о качестве консультации и проверить куда улетел отложенный вопрос». Связавшийся попросил мой номер телефона и дату, в которую было сделано обращение. Я ему сообщил эти данные, и через день после этого было сообщено, что работники Сбера уже исправляют проблему.
Далее, 22 декабря мне на мобильный телефон позвонили из местного отделения Сбербанка с просьбой прийти в головной офис для получения «извинительного подарка». В качестве такого подарка были вручены фирменный ежедневник и кошелёк для банковских карт. В этот же день я не поленился и сходил «в гости» к терминалу Сбербанка, потыкав ему Shift вновь. Реакции не последовало, а значит и проблема решена.

Сегодня же со мной связался Sberbank и попросил написать этот апдейт. Честно говоря, я давно намеревался это сделать, но учёба постоянно отвлекала. Сегодня же выдался свободный денёк. Собственно, цитирую с сохранением орфографии комментарий Сбербанка, который компания попросила сюда добавить:
Данная информация уже не является актуальной на сегодняшний день. К настоящему моменту описанная уязвимость устранена на всех аналогичных информационно-платежных терминалах Сбербанка, оборудованных расширенной полноразмерной клавиатурой. Также отмечаем, что описанная уязвимость не несла за собой каких-либо рисков для безопасности устройств. Применяемые средства защиты не позволяют произвести на терминале или банкомате каких-либо неправомерных действий, которые могли бы нанести вред клиентам или банку.
При этом, мы благодарны нашим клиентам за внимательность и обратную связь по обнаруженным особенностям конфигурации наших систем. В свою очередь, стараемся реагировать максимально оперативно и учитывать ваши пожелания по работе всех наших систем и сервисов.
Tags:
Hubs:
Total votes 189: ↑182 and ↓7 +175
Views 85K
Comments 207
Comments Comments 207

Posts