Pull to refresh

Comments 247

Тут и хакерства и не нужно. Сбербанк сам все приносит на блюдечке.
Особенно радует как узнать имя и отчество по номеру телефона. Просто начинаете переводить один рубль по номеру телефона и он показывает. Потом можно позвонить незнакомому человеку и сказать «здравствуйте Иван Иванович, я из службы безопасности СБ...»

А, так вот как он имя узнал. Теперь понятно. А то я сильно напрягался, откуда разводила мое имя узнал.

А потом СБ еще впаривет платную услугу «защита от мошенников». Это за одно является тестом. Если впарили, значит клиент подвержен разводу.

Помимо страховки "от кражи денег с моей карты", мне, когда я забирал новую зарплатную карту, еще предлагали страховку "от грабежа у банкомата"…

UFO just landed and posted this here
ИО светилось в Сбербанк Онлайн задолго до появления системы быстрых платежей. В статье еще не упомянули про ситуацию, когда мобильное приложение Сбера сливало на сервера Сбера всю книгу контактов из телефона, на который оно ставилось. После волны воплей это убрали, но я не могу утверждать, что сейчас данные с вашего телефона не сливаются.

PS: Отсутствием верификации почты и телефона при их привязке к договору страдают многие организации. У меня почта на mail.ru короткая, и я регулярно получаю чужие данные.
На сколько я помню, Андроид-приложение не будет запускаться, если не дать доступ к книге контактов. По крайней мере, когда настраивал родственникам доступ на этой платформе так и было. Сейчас, интересно, так же?
На андроид я не ставил приложение Сбербанка, а на iOS сидит без прав — Контакты, Геопозиция, Уведомления выключены, и не выпендривается.
Это еще и косяк андроида — надо как-то «дурить» такие приложения. Требует, например, геолокацию — окей, давать фейковую локацию, итд.
UFO just landed and posted this here

Сбербанк онлайн на рутованных устройствах не работает, но это не точно

UFO just landed and posted this here
Точнее, работает с ограниченным функционалом.
у меня работал с рутом, ругался что «не хочу, не могу, не буду», но работал как родной, до тех пор пока я не снес всю эту шелуху с телефона. При острой нужде всегда можно зайти в кабинет через сайт, а мусора в телефоне и без них полно
У меня сбер для физлиц и сбер для юриков работают на андроиде LineageOS, вместе с рутом и магиском, и сбер специально вынесен в шелтер, чтоб его, вместе с его кашпировским, можно было замораживать и он сам не пытался бы ничего никуда сам слать, и контактов никаих никогда не увидел, и по ФС не смог ничего моего личного нашарить. И никто никогда ни на что не ругался.
И полёт более чем нормальный!
Вы просто не умеете готовить
Доступ к контактам можно отключить. А доступ к звонкам – нет.
Именно поэтому никакого «Сбербанк-онлайн» – только через браузер.
На iOS такого нет. Мда, еще интереснее становится. Да, в таком случае только браузер.
UFO just landed and posted this here
Тренды, что поделать. На корп тарифах МегаФона пока баланс работает. Видимо, избирательно отключают функционал.
UFO just landed and posted this here
Мне сказали, что можно послать волшебную бесплатную СМСку «Баланс» на номер 0500. Послал — вроде работает. Но это, конечно, всяко запарнее, чем *100#.
UFO just landed and posted this here
UFO just landed and posted this here
Команда *139*3# показывает баланс и не выводит после этого рекламу.
UFO just landed and posted this here
>>Вот не знаю правда, как они вообще определяют, кнопочный телефон или нет
По IMEI определяют. Первые цифры это производитель и модель телефона.
UFO just landed and posted this here
Ну там хоть ограничение есть на количество таких фокусов в сутки.
Мне уже несколько лет приходит на электронку отчёт по карте некой Натальи. Причём я зарегистрирован в московском филиале, а она на Урале где-то. Писал в Сбербанк. Ноль действий. Так и получаю её все действия — кредиты, оплаты т.д.

Сбербанк огромная машина, с огромными возможностями, но российская, а это значит, что всегда «права» и ошибок не допускает. Помимо основной их деятельности, компания сильно расширяется, (беру, окко, свою црмку сделали), так что может все поменяется. Хотя если была бы конкуренция, давно бы поменялось.

Конкуренции в банковской сфере в России предостаточно. А вот квалифицированного подхода к решению задач не всегда хватает. Все привыкли, что им все равно на свои личные данные. Банковские, похоже, к этой же истории относятся теперь.
Ну как сказать — конкуренция слабенькая.
Все бюджетники и пенсионеры автоматом уходят, либо сберу, либо втб. На этот счёт ничего не проводится.
В потребительском секторе вот там да, есть конкуренция. И то в силу имени сбербанк завлекает большую часть людей за 50. Но в целом будет вытесняться.

А надеяться на грамотную обработку в сбере глупо — Греф ни раз говорил, что для него мы все так мелочи. Тут разве что ходить в прокуратуру и писать жалобы.
В любом случае ситуацию я дальше буду доводить до мер реагирования надзора. В материале я пока озвучил официальную позицию банка по этим вопросам.

Все пользователи Сбербанка по сути находятся в зоне риска с такими механизмами уведомлений.
В плане отношения к безопасности — я с вами полностью согласен.

И то что собираетесь доводить до соответствующих служб тоже очень верно. Хотя думаю тут надо с юристами посоветоваться куда лучше писать. Тут может реально лучше сразу в прокуратуру писать заявление.
Если что, Сбербанк по размеру активов больше чем три следующие за ним банка (ВТБ, Газпром, ВЭБ) вместе взятые: www.acexpert.ru/table/tablici-banki/banks2020/reyting-bankov-2019/?table=30239
А по размеру кредитного портфеля для физлиц — больше чем следующие 13 (!) банков вместе взятые: www.acexpert.ru/table/tablici-banki/banks2020/reyting-bankov-2019/?table=30241
Нет у Сбербанка никакой конкуренции.
Вы не путайте понятие конкуренции и занимаемой доли рынка (или активов, если удобно так считать). Это вообще разные экономические понятия.
А я не путаю, я считаю, что в вопросе о конкуренции размер активов у конкурентов Сбербанка гораздо важнее самого количества конкурентов.
Вы упомянули о том, что у Сбера есть конкуренция в ответ на фразу Gary22: «Хотя если была бы конкуренция, давно бы поменялось.»
Если их, как сейчас, 300+, но при этом 70% населения использует Сбербанк как основной, то конкуренция как бы «есть», но ничего не решает. В частности, Сбербанк может косячить как угодно, все равно все клиенты у него останутся — нет мотивации развития. Греф все это делает не из коммерческих соображений.
Конкуренция — это фундаментальное состояние. А преференции — это уже другое. В данном случае формально банковский рынок является конкурентным.
В данном случае формальная конкурентность рынка не имеет практического смысла и только вводит в заблуждение.
Кому как. Если провести аналогию с рынком телекома, то там примерно такая же ситуация. Однако это не мешало в 2000-х драйвить этот рынок многим небольшим компаниям, которые смогли вырасти и занять ниши, несмотря на монополии Б4 и Ростелекома. В итоге мы сейчас имеет одну из самых развитых телеком отраслей в мире.
Аналогично и в банковской сфере.
Хех, все верно. И, как и в телекомах, эпоха драйвинга рынка мелкими компаниями и банками заканчивается; они перестают влиять на рынок.
Ну вот что сейчас должен сделать банк размера Тинькова или даже Ренессанса, чтобы откусить хоть сколько-то существенную долю клиентов у Сбербанка?
Скажу банальность, но должна измениться экономическая и политическая ситуация. Когда люди перестанут бояться, что банк может просто лопнуть. К крупным банкам сейчас больше доверия. Это, пожалуй, главное стратегическое преимущество крупных банков. Нужна устойчивость финансовой системы в целом.
Так же как и с мобильными операторами. Но при этом рынок ВАТС, например, явно не их — здесь другие игроки рулят. Так что все зависит от ниши внутри рынка.
В то что в нулевых все чердаки были затянуты паутиной витухи от пионернетов сомнений у меня нет — сам был непосредственным участником
А вот пример компании которая смогла бы вырасти и занять хоть сколько-то ощутимую долю рынка на ум не приходит
Нет, разумеется какие-то выжившие конторы смогли развиться и вполне обеспечивают своим владельцам слой икры на бутерброде, но в масштабах рынка — там так и остались монополии РТ, ТТК и большой тройки
Единственный кто выбивается из этого списка — ЭР-телеком, но и то лишь формально поскольку был построен на нефтяные деньги, а не вырос из небольшой компании
Распределение рынка ШПД
image
Во-первых, рынок не всегда смотрится в масштабах страны. Локальные игроки (до бума M&A) были очень весомые.
Во-вторых, это совокупные показали. Если смотреть телеком в разрезе типовых услуг (доступ к интернет, мобильная связь, виртуальные атс, облачные сервисы и пр.), то распределением будет иным. И там есть вполне независимые серьезные игроки.
В-третьих, ЭР-Телеком никуда не выбивается. Это компания с огромными преференциями на региональных рынка (поделено с Ростелекомом).
В каком-то учебнике читал: владелец более 30% рынка является монополистом.
Вы перепутали монополию и компанию, занимающую существенную долю рынка. За тарифами таких компаний могут начинать приглядывать антимонопольные ведомства. Но это не монополия.
Как раз конкуренция это и есть занимаемая доля рынка, когда конкуренции есть — есть монополист коим Сбербанк с 70% акций и является
Монополия — это один игрок. Сбербанк не один. Поэтому здесь явно нет монополии.

Если говорить теоретически да. Но пускай у нас будет олигополия. Понятно что это такое? Или давайте говорить о фактической монополии с созданием видимости конкуренции (за картельный сговор тоже ведь не просто так карают)...

Вы серьезно? Любая банковская деятельность это 50 процентов сбер. Это если по 19 году. Нет конкуренции, вот и все равно на качество, безопасность и тд.

Вы в истории можете найти множество примеров, когда крупный игрок за пару лет не просто терял долю рынка, но и вообще уходил с бизнес-арены.

Для Сбербанка пока рыночная ситуация выглядит устойчивой. Потому что концентрация капитала в его руках колоссальная. Если вдруг Правительство решит отдать полностью задачи Сбербанка другим банкам, например, ВТБ или ВЭБ, то это повлияет на устойчивость Сбербанка.
Они сейчас это называют «экосистемой». Но суть от этого не меняется.
Ещё похожий кейс: пользователь при подключении мобильного банка указал неверный номер (или сотрудник неверно занес). Позиция банка — это моя проблема что у меня похожий номер, а им нет дела до нежелательных СМС и банковской тайны, и отписать они меня не могут т.к. карта не моя, + доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты ¯(°_o)/¯
В итоге посетил несколько отделений и наткнулся на адекватного специалиста, который подсказал как порешать.

И рассказ обрывается на самом интересном месте

А там ничего интересного: решилось одним звонком, надо знать куда звонить и что говорить — всё «просто». Подробностей не помню, было лет 5 назад. Может с тех пор догадались СМС с кодом подтверждения отправлять прежде чем подключать мобильный банк?
Нет, все так же. Никаких кодов подтверждения — об этом, собственно, материал. Надо делать подтверждение действий — а Сбербанк этого не делает.
доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты ¯(°_o)/¯


Какие доп. проблемы?
Типа правовые за то что я чужую карту заблокирую. Мои доводы по образовавшемуся логическому противоречию никак не изменили ситуацию. Но я думаю это было просто личное мнение некомпетентного сотрудника — я это понял и зашел в другое отделение.
Типа правовые за то что я чужую карту заблокирую

Вы имеете полное право чужую заблокировать карту по номеру, просто потому что по правилам МПС вы это можете сделать, если вы нашли потерянную карту на улице и прочитали что на ней написано, а на ней написано что она собственность банка… позвоните по номеру 8 800..., позвонили туда, продиктовали номер и карту заблокируют как утерянную
фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках
Я так примерно и думал, последние 4 цифры карты в каждой СМС приходили — вроде их достаточно для блокировки. Но на эту карту пенсия приходила — не хотелось проблем пожилому человеку создавать.
фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках

т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать? Ну, это прям сильно. Реально. Пора вешаться? Или предлагать мне счет по номеру телефона?

т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать?

да, именно так. Это фишка МПС для блокировки утерянных карт.
Пора вешаться?

это уже по желанию
Или предлагать мне счет по номеру телефона?

не портить отношение с коллегами которые могут так сделать
у нас так пара человек-шутников с работы вылетело, решили поприкалываться над коллегами и заблокировали им карты когда они ушли обедать, и разблокировали когда они вернулись типа «хз чето глюкануло» (в то время было без проблем было заблокировать-разблокировать без особых последствий и какихто заявок....pci-dss тогда не было еще… веселые времена)

Мне в сбере по телефону как-то сказали: мол, вы свою карту на сайте чужом вводили, они не просто с вас сумму списали, но и решили делать это регулярно (оформили подписку мне) — так вот мы как банк никак это не отслеживаем, мошенничеством это не считаем, отписаться от таких подписок можно, разве что, сменив карту.


Ну да, «бану всегда за клиента», вы поняли. Позиция уровня «моя хата с краю», и полное отсутствие четкого управления ситуацией для клиента.


Впрочем, это не только к сберу вопросы: вопрос, что какой-то сайт, не спросив меня, с раз введенной карты деньги может/будет снимать не один раз, а повторно, никак банками не считается некорректным. «Вы сами ввели номер карты», а что не было выбора «один раз или повторно» — какому банку это важно?

Вообще-то (по крайней мере для меня) это форд и мошенничество. А если этот сайт третьим лицам передаст реквизиты, то тоже можно, что ли, списывать деньги?

«Вы сами ввели номер карты», а что не было выбора «один раз или повторно» — какому банку это важно?

Есть как минимум один банк с которым была следующая ситация:
— Пишу в поддержку (в чат) что не могу их карту отвязать от билайна (которым уже не пользуюсь но денег тоже не берут) никакими средствами (хотят код которого у меня нет и который билайн же не прислал)(возможно вариант с походом в салон — сработал бы). Поддержка билайна посылает в банк.
— Банку было все это описано, сотрудник сразу спросил согласия на перевыпуск карты по компроментации и предложил согласовать встречу с курьером с новой картой. Денег мне этот внеплановый перевыпуск не стоил.
Если что — это Тиньков.

Наверное такая практика есть в нормальных банках, в Сбербанке же на сообщение о найденной карте отвечали выбросить её в мусорку или разрезать. Несколько разных операторов. Никаких данных даже спрашивать не стали.

Никаких проблем не будет. Я лично при получении чужих данных отправляю в службу поддержки источника данных сообщение, что «уберите мой адрес/телефон из профиля, если же сообщения в мой адрес будут направляться и дальше — я буду считать их направленными лично мне и оставляю за собой право использовать получаемые данные по своему усмотрению, включая публикацию в СМИ.». И после этого обычно рассылка прекращается…

Несколько раз блокировал чужие карты, привязываемые к моему телефону. Тоже мера действенная, хотя один раз попался настойчивый, но неразумный товарищ, который 3 раза разблокировал карту ;) И не лень ему было в отделение бегать.
доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты

И какие проблемы обещали?
А если даже к ним не обращаться а сразу блокировать карту?
Номер телефона кому принадлежит? Уж точно не сбербанку
Уже всё обсудили — смотрите обсуждение в ветке того коммента чуть выше)
Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну.
Отличие может составлять в одной букве: r и n.
Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.

Логов не ведёт, зато состояние сохраняет будь здоров.


У меня ситуация была обратная — Сбербанк слал мои данные неизвестно кому, потому что сотрудник при вбивании анкеты перепутал две рукописные английские буквы (да, похожи).


Через небольшое время я заметил неправильный адрес в профиле сбербанк-онлайна и исправил его.


А ещё через какое-то время адрес сам исправился обратно на оригинально вбитый с ошибкой.
И это я заметил уже совсем не скоро.


Исправил снова, пока держится. Официальное обращение "какого фига это произошло" не принесло никакого результата. "Адрес был актуализирован ранее".

Вот и мне до сих пор присылают из-за ошибки. По поводу изменений — это и есть в том числе источник слива данных. За ними никто не следит. Доступ к ним, похоже, имеют вполне «левые» люди.
Ответ на вопрос «Какого фига и что именно у вас случилось/сломалось» вообще практически всегда остаётся без ответа :( не только в случае сбера.
Вы ведь не купили у них услугу «Страхование банковских карт», значит за все дыры банка ответственность несет сам клиент. Меня пару месяцев назад мошенники пытались развести, звонок в банк ответил робот, написал в поддержку снова дебил робот ответил. Сбербанк все больше и больше к своим клиентам относится стремно. Проценты на транзакции уже начисляют даже за плату товаров, не хилый такой оброк поверх НДС и НДФЛа.

Сбербанк все больше и больше к своим клиентам относится стремно.

Именно поэтому я 10 лет назад ушел из Сбербанка.
Но пенсию получаю в нем, но не на карточку, а на сберкнижку.

Сбербанк же курирует направления развития Искусственного интеллекта. Вот результат их работы.

Почитайте условия того "страхования". Оно ничего реально не страхует.

Вы знаете сколько на свете людей, которые «Случайно куда-то нажали и всё исчезло»? Если таким людям каждый раз будет отвечать человек, ты вы в очереди будете сидеть по 30 минут. Не надо обижаться на автоответчик. Попробуйте набрать 0. Не знаю как в Сбере, но бывает. что 0 соединяет с оператором.
Иммитирую разваливание голосового кодека («булькаю» в микрофон) — на второе бульканье соединяет с оператором.
Я прошу обычно взять какой-нибудь интеграл или возвести что-то в степень на вопросе: «Если я не отвечу на ваш вопрос, то соединю с оператором». Мне кажется, этот голосовой бот — самая бесполезная штука в Сбере (зато ЦРТ купили).
Оно после этого часто просит назвать вопрос, по которому с оператором надо соединить.
а потом говорит, что он вместо оператора теперь
полезность понятие оч относительное :)
Вот Вам — бесполезная, а сберу — очень даже наоборот!
Просто у вас и сбера цели разные.
Вообще сервисные компании отталкиваются от интересов и потребностей клиентов. Но им виднее, конечно.
Не совсем. У них интересы частично совпадают (и за счет этого они сотрудничают), а частично противоположны. Клиенту всегда выгодно получить максимально высокий (и дорогой) сервис. Поставщику сотрудничество выгодно, пока расходы на сервис заметно ниже доходов. Симпатия клиента, которая стоит дороже, чем клиент приносит — никому не нужна.
Спросите у автоответчика период полураспада Грефа. сразу переключит.
Вы ведь не купили у них услугу «Страхование банковских карт», значит за все дыры банка ответственность несет сам клиент.

это неверно. Скажем так — понятно, почему банк навязывает эту услугу, почему возврат денег без нее будет существенно сложнее. Все-таки банк хочет деньги зарабатывать. Но вообще должны быть понятные правила регуляции на этот счет ) и потребитель не должен страдать.

Заявление в прокуратуру и ЦБ РФ где? Практически ни одна организация не будет ничего делать, пока на нее не пойдут штрафы. Точнее руководство может и не узнать, что у них есть проблема, нижнее звено просто забьет на передачу данных наверх.
Я не являюсь лицом, чьи интересы здесь были нарушены. Я написал письмо владельцу карты с предложением помочь в написании такого письма. Но он не отреагировал. Я не могу за него написать.

По поводу номера телефона материалы в ЦБ уже подготовлены.
Вы не совсем правы.

Вы можете писать в любые органы. Важен не факт нарушения чьего либо интереса, а сам факт нарушения.
Не всегда это верно. Есть процессуальные моменты. Не к каждому типу правонарушения это применимо.

Мне будет сейчас достаточно, если банк хотя бы оперативно отреагирует на проблему и устранит это.
Прошлой осенью я нашёл свои (и ещё несколько сотен) паспортных данных в интернете. Один банк позволял поисковикам индексировать конфиденциальные документы.
На мою жалобу в Роскомнадзор я получил ответ «лично вы не пострадали, а остальные пусть сами пишут».

Не всегда люди с горячим сердцем стремятся карать нарушения.
Аналогичная была история — писал такую же жалобу. Такой же «ответ» получил.
(про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу – желающие могут сами найти полный текст закона и увидеть это).


оперативно-рАзыскная деятельнось — корректное написание. В приставках роз/раз без ударения пишем «а».
Можно было бы согласиться, если бы не Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 02.08.2019) «Об оперативно-розыскной деятельности»

К сожалению, законы не всегда проходят верификацию и вычитку сотрудниками института русского языка ((( соответственно, действительно могут быть вариации в написании, но в чем я поддержку коллег — если термин определен как "абракадабра" (вне зависимости от корректности с т.з. грамматики/орфографии или смысла слова), то он должен и везде так писаться.


Касательно "оперативно-розыскной" сам был удивлен, что нормативное написание "оперативно-разыскной" (проверочное слово розыск? А ВОТ ФИГ ТАМ!) Руськая езыг такая сложный )))))

Но при этом «розыск», а не «разыск».
Ударением проверяется гласная в корне слова, а раз-/роз- является приставкой. Корень тут -иск-. Как в глаголе «искать».
Вопрос этимологии слова. Смотря как его рассматривать.
Можно было бы согласиться, если бы не Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 02.08.2019) «Об оперативно-розыскной деятельности»

Тут на днях (году этак в 2004-м) были опубликованы новые нормы русского языка. В частности, была подкорректирована орфография. По новой норме написание «разыскной» — верное, членение слова на составляющие — приставка «раз», корень — «ыск».
До того (и в 1996 году тоже) действовали другие правила: правильным считалось написание «розыскной», корень — «розыск».

Можно спорить, нравится вам новая норма или нет. Но тем не менее написание в документе верное.

Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы. Ну, и как нормы приняли, так их и откатили. Ну, как с временными зонами (реформа Медведева). Или как с "обнулением".


«кофе — теперь оно» — не единственное изменение в норме русского языка.

в гробу я это видел. Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения. Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать ) глядишь иностранцы потянутся в РФ /сарказм/

Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.

При чем здесь я-то, собственно? Языковая норма фиксирует сложившееся положение вещей и служит унифицирующим и стабилизирующим фактором.
А после принятия нормы она становится, цитирую википедию: «обязательна для употребления в научных, справочных и учебных изданиях, а также в периодической печати».

Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения.

О, вы знаете, какие изменения в языке хорошие, а какие плохие? Я вот не знаю.

Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать )

Радость, радость! Ваш голос уже услышан. Именно в этом направлении и двигают сейчас языковую норму.
В частности, обсуждаемый нами «разыскной» раньше был словом-исключением: везде без ударения писалась приставка «раз», а здесь — «роз». Да еще и считалась не приставкой, а частью корня. Сейчас же академики услышали глас народа и упростили норму, убрав ненужные исключения.
Правда, здорово? :)
При чем здесь я-то, собственно?

к Вам лично никаких претензий


Правда, здорово? :)

увы, но нет

А зачем ломать голову? Зачем усложнять людям жизнь? Или вам нравится чувствовать себя выше других, потому что вы орфографию лучше знаете?
Если в языке станет меньше WAT'ов — жить станет лучше всем.

Если в языке станет меньше WAT'ов — жить станет лучше всем.

WAT'ов не станет меньше, а только больше. Т.к. чтобы уменьшить количество WAT'ов, надо уменьшить объем до лексики Эллочки-людоедочки.
Кстати, меня в кои-то веки просто убила "логичность" правила расстановки кавычек при прямой речи в русском языке. Вот этот раздел — "Слова автора внутри прямой речи"
http://lingvotech.com/znaki_prepinaniya_pri_pryamoy_rechi


Ну, а что — давайте еще пунктуацию упростим до абсолютного минимализма, фигли WAT'ы плодить. Но я к этому не призываю — проще уж выучиться ))))

чтобы уменьшить количество WAT'ов, надо уменьшить объем до лексики Эллочки-людоедочки


Не обязательно. Можно еще количество слов оставить, а правила сделать без исключений.
Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.

Предлагаю пойти дальше. Вешаем каждому человеку миелофон. Изучаем как люди думают, кристаллизуем нормы мышления и начинаем учить людей думать правильно.

Если вам кажется что это бред — ну не больше, чем учить носителей языка языку.
Вот только здесь не приставка, а корень.
Розыск: роз — приставка, ыск — корень (от искать).

Вопрос дискуссионный:
розыск, поиск, искать — однокоренные?
Заискивать? Сыск? О, и далее — сыщик, ищейка? С чёртовым чередованием.
Или корень сросшийся с приставкой ?

Поздно дискутировать, новые нормы уже приняты и рекомендованы к использованию. Да-да, то самое пресловутое «кофе — теперь оно» — не единственное изменение в норме русского языка.
А причём здесь новые нормы? 20 лет назад в школе нас также учили «разыскать» и производные от него.
20 лет назад «разыскать» и производные писалось через а, но «розыскной» было исключением и писалось через о. Новые нормы упразднили это исключение, и теперь «разыскной» подчиняется тем же правилам, что и другие производные от «разыскать».

ЗЫ: Забавно, кстати: проверка орфографии в фаерфоксе о новых нормах не в курсе. «Разыскной» подчеркивает красненьким, «розыскной» пропускает.
Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email

Извините, но Вы точно в этом уверены? А если злоумышленник подтвердит e-mail? e-mail должен подтверждаться с двух мест: с e-mail (что он вообще существует и валиден, без привязки к владельцу) и с sms (в смске точно указано, что "клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты").


Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).

с трудом представляю, как это должно выглядеть. В теории у меня интернет банка может и не быть, а я хочу уведомления на имейл… Телефона должно быть достаточно для подтверждения (мы все помним про перехват SS7, но это вообще отдельная история)

Я же указал, что подтверждение валидно только в привязке к личному аккаунта для исключения подтверждения злоумышленником. То есть двухэтапно. Можно к смс или звонку еще привязать. Неважно. Главное — что это должно быть. А не просто внесение данных (в том числе с ошибкой).
То есть двухэтапно.

ок, принято, спасибо, что развили свою мысль


А не просто внесение данных (в том числе с ошибкой).

полностью согласен. Хорошо. Тогда вопрос. Требуется изменение данных в банке. Например, ошибочных. Чего делаем? Как строим алгоритм? Звонка в техподдержку с идентификацией себя по кодовому слову/паспорту/anything else не будет достаточно? Потому что в этой парадигме надо отбирать у техподдержки и операторов (включая сотрудников клиентской зоны) все возможные права. Ну, разве что оставить возможность блокировки карты… Хотя даже ею можно кому-то навредить...

В офисе: девушка вносит данные. Распечатывает форму из программы с изменениями. Вы подписываете. Одновременно с этим Вам поступает email с ссылкой для подтверждения (девочка при вас нажимает кнопку для формирования проверочной ссылки). Вы переходите по ней. На третьем шаге можете ввести код из смс/звонка/пуша (какой тип авторизации и информирования выбран).

Удаленно: в ЛК изменяете данные. Далее по алгоритму после формирования ссылки.

В офисе — согласен, нравится.


Удаленно — не нравится, нет ЛК, нет интернета. Давайте более конвенциональный способ (ну, хз, через автоматизированную систему по телефону — как у ситибанка, например)

Если у вас нет интернета, то и email вам ни к чему) как появится — тогда и приходите для верификации. Без интернета как вы email активируете?

Рассмотрите вариант — я нахожусь в деревне, где 3g еле-еле душа в теле. Хотя и почта рабочая у меня есть, и я ею активно пользуюсь в городе. Но взломать-то мой счет могут в любой момент (?), а смс уведомления пролезают. Ну, или что-то подобное — у старшего поколения тоже есть e-mail, но при этом с собой они носят телефоны уровня нокии ) без интернета и почтового клиента. И только не апеллируйте к тому, что в офисе банка обязательно есть компьютер с открытым банк-клиентом ))))

Вы хотите отнять весь хлеб у архитекторов Сбербанка?
Без верификации email подтвердить email нельзя. Это аксиома.
Почта работает и на 300 бод.
А учитывая мобильные-клиенты, можно и на 2g верифицировать.
Почта работает и на 300 бод.

уже нет. Вы где видели голый SMTP/IMAP (даже пускай и с шифрованием)? Да, я знаю, что в том же GMAIL или Яндекс можно включить эти конвенциональные протоколы, но все крупные SaaS сервисы не рекомендуют это делать (1) и по этим протоколам все работает просто омерзительно (2). Я, честно, думал, что смогу настроить произвольный почтовый клиент и удобно пользоваться GMAIL, так пес там был — у них там очень хитрая история с "метками", которые криво маппятся в "папки", ну, и дальше пошло-поехало — начина от странных глюков с отображением непрочитанных прочитанных (и их количества) и кончая глюками при перетаскивании писем между папками. А то, что при отправке письма, его надо одновременно слать по SMTP и IMAP, чтобы оно оказалось в папке "отправленные" — это ваааааще пять
В остальном — да, почта, конечно, работает и на 300 бод… Я уж не говорю, что там обычно какой-нибудь uucp надо использовать, а то smtp/imap, я как-то не помню, чтобы поддерживали докачку при обрыве связи

даю на водку:
arxont@kurwastar ~ $ mail
No mail for arxont

При этом почта на меня есть, но mail её никогда не сможет увидеть. И да, почта не виртуальная ни разу.
Вопрос: в какой формат хранения почты mail не умеет?
Вы видимо занимаетесь буквоедством, не пытаясь понять сути.

Если вы регулярно бываете в такой жопе, где связь 1200 бод, и вы называете себя айтишником, вы можете настроить себе такую почту, которая будет работаьт на 1200 бод. Для этого нужно просто постараться.

Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap. Тот же mutt уже давно Imap поддерживает.

А если он работает по imap, то им можно пользоваться изредка, не мешая работе любого другого клиента, которым вы пользуетесь в обычной ситуации.
Сделал себе виртуалку с mutt, подключился по ssh, почитал.
Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap.

Вы все на свете смешали в кучу. Если есть имап, то клиент может быть любой — хоть текстовый, хоть графический. Это уже не столь важно. Но если имап работает не очень, то, повторюсь, придется забирать почту другим способом. Но это уже забытое знание практически )
Или Вы предлагаете на удаленном хосте, скажем, по ssh, через текстового клиента оперировать? Но Вы же понимаете разницу между локальной почтой и почтой "где-то"?


Сделал себе виртуалку с mutt, подключился по ssh, почитал.

Дополнили-таки ответ, ну, ок. См выше замечание про "локальную" и "удалённую" почту.

Но Вы же понимаете разницу между локальной почтой и почтой «где-то»?

В офисе: девушка вносит данные. Распечатывает форму из программы с изменениями. Вы подписываете. Одновременно с этим Вам поступает email с ссылкой для подтверждения (девочка при вас нажимает кнопку для формирования проверочной ссылки). Вы переходите по ней. На третьем шаге можете ввести код из смс/звонка/пуша (какой тип авторизации и информирования выбран).


Давайте поймем разницу, зачем вообще вам понадобилась почта. Не так часто возникает необходимость воспользоваться такой услугой.
Но для единоразового получения кода подтверждения?
ssh на удаленный сервер, чтобы посмотреть код подтверждения БОЛЕЕ чем достаточно.
Также для такой нечастой операци, можно временно посетить места, где интернет получше.

Если вы подписываете документы в офисе, то причем тут ситуация с 3000 бод? Мы же этот вариант подтверждения рассматривали? Вряд ли подтверждение имейла будет действительно более пяти минут, часа, суток?
Если же надо заблочить карту или как-то ещё дать понять банку, что экстренная ситуация, то там попросту не до почты? И нужен обычный способ подтверждения.


Смотрите. Чего это я вас донимаю. Я именно тот везучий человек, на котором регулярно ломаются скрипты. В результате попадаю в какую-то тупиковую ветку и приходится тратить очень много энергии на решение проблемы (ситуации) с техподдержкой, иногда вплоть до эскалации на ЛПР. Ну, нет цели у сервисов обеспечивать цельный, удобный, качественный сервис.


Касательно почты у меня появилась идея, что все не так страшно. Банк же может слать выписку архивом под паролем. Следовательно, с одной стороны — письмо улетает, да и пофиг, но третье лицо содержимое прочесть не может. Профит?

Кхем, вы когда-нибудь пытались пользоваться интернетом, когда скорость около 2400 Бод при потерях 30-40% трафика? Я пользовался и прекрасно знаю что это такое.
я пользовался когда скорость была 300 бод, медленнее модемов не помню.
Именно в то время и приходило понимание, что лучше шеллом посмотреть письма на удаленном сервере, на котором связь хорошая, чем долго качать себе письма, с обрывами и ретрайнами.
"клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты"

Какое SMS? Этот способ "авторизации" давно удавить пора.
Сообщением в приложении: "для подтверждения приложите вашу карточку к телефону и введите пароль из присланного на email письма"


Карточка и телефон, разумеется, NFC уметь должны. И то и то сейчас уже стало достаточно дешевым. А если не умеют — предложить клиенту ридер карты/генератор одноразовых паролей. Тоже стоимость при массовом производстве рублей 200.

Какое SMS? Этот способ "авторизации" давно удавить пора.

согласен, но у нас тут речь за какую-то гибкость. Чтобы даже бабушка с нокией могла относительно безопасно пользоваться услугами банка. Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне? Или вживлять NFC чипы в руку?


Насчет того, что SMS не является вторым фактором в курсе — об этом и моя приписка в скобках.

Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне?

Так в контексте банков большая часть токена (защищенное хранилище и микропроцессор) уже есть — это чип на карточке. Карточки без NFC тоже постепено пропадают и заменяются. Так что нужно именно ридер в форм факторе калькулятора для общения со всем этим. Который да, именно раздать можно. Тем более что при должной стандартизации он один на все карточки потребуется.

UFO just landed and posted this here

Ну вирусное, что поделать.
Давно уже понятно, что банковские приложения должно жить на собственном смартфоне, где кроме них ничего нет. Сам телефон без SIM-ки и включается только тогда, когда этими приложениями пользуешься.
При таком использовании от этой вирусности вреда мало.

UFO just landed and posted this here
UFO just landed and posted this here
Башевское облако в штанах скоро походу станет реальностью.

Название сервера интересное.
"Цероклис — божество злаков и урожая.
В материалах XVII века говорится о жертвоприношениях этому богу животных — черного быка, курицы, поросёнка, а также об обычае оставлять в лесу у дуба два куриных яйца и при еде бросать на землю первый кусок и проливать немного питья. С культом Цероклиса связывают обычай выпечки большого хлеба в форме змея с открытой пастью и поднятым хвостом, а также хлеба в форме свиньи или собаки."

Ну а вообще в сбере много долгоиграющих косяков.


  1. Возможность востановить доступ в сбол по просроченной или заблоченной карте.
  2. Косяки с синхронизацией настроек между сбол и мобильной версией. Например лимиты на операции.
  3. Логически дырявая идентификация пользователя по повсеместно навязываемой биометрии.
  4. Во время "технических" работ все профиля настройки могут сами сбросится на час и более, потом вернутся. Вы об этом узнаете случайно.

Как давний обладатель прикольного имени на мейл.ру, подтверждаю: глупые человеки часто указывают левую почту при разных критических операциях. Иной раз руки чешутся отменить кому-нибудь билет или вернуть товар продавцу.

Ха, не. У меня имя — я тезок собираю в основном.

Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной.

Нет, всё гораздо хуже — Сбербанк регулярно пересылает сведения, охраняемые банковской тайной, ПО ОТКРЫТОМУ КАНАЛУ (надеюсь, на хабре никому не надо объяснять, что email именно таковым и является) — а тот факт, что эти данные оказались у Вас — это уже частность/следствие.

Если пользователь сам согласился, чтобы ему отправляли отчёты на емейл это его право. Чисто технически мне вообще ничего не мешает каждый день делать скриншот в мобильном банке и постить в «стори» в инстаграмме, а на страничку во ВКонтакте/фейсбуке выложить скан своей медицинской карты с информацией о любых заболеваниях. И это не будет нарушением банковской и медицинской тайны соответственно.

У меня есть несколько карт в сбербанке, на одну из них мне приходит зарплата. Никаких емейлов с информацией о движении средств нет. Скорее всего в договоре была какая-нибудь хитрая галочка, которую поставил/забыл поставить клиент при получении карты. А это равносильно тому, что описано в предыдущем абзаце. Да, можно рассуждать о старшем поколении и т. д., но скорее всего формально банк ничего не нарушил.
Чисто технически мне [...] И это не будет нарушением банковской и медицинской тайны соответственно.

Ключевое слово — "мне". Вы можете со свой информацией делать что угодно, а вот банк — нет. Мне время от времени приходят (настоящие) емейлы от моего банка — "мы Вам тут безопасное сообщение прислали, зайдите в свой ЛК на сайте банка, чтобы прочитать".

UFO just landed and posted this here
Вроде как давно есть шифрование при пересылке.

Как у нас говорят, "Вроде. Числе и падеже." Заголовки письма — это чистейший незашифрованный текст (а иначе как к ним новые строки добавлять?); тело письма — передаётся один в один как есть (ну, с небольшими исключениями — типа, оно должно состоять из печатных символов; для всяких уникодов и передачи аттачментов придуманы MIME-обёртки, uue, base64). То есть если отправитель его зашифровал — то да, но я ни одного из таких отправителей за 20 лет не встречал.

я дурак или размышлизмы

Я вообще думал, что это на уровне протокола должно было быть )
Типа есть домен получатель (MX) и сервер отправитель. В домене, привязанном к серверу получателя, публикуется ключ шифрования (ну, хз, как TXT запись). На самих серверах домена получателя раскидан ключ расшифровки. Сервер отправитель зашифровывает ТЕЛО письмо открытым ключом, отправляет — все безопасно, никто не может тело расшифровать. Сервер получатель раскрывает тело и своему пользователю отдает уже расшифрованное письмо. Сплошной профит, не ?

Протокол SMTP не менялся года так с 1990 — только наращивался дополнительными надстройками, вроде тех же MIME — потому что DHS не велит обратная совместимость.


Сервер отправитель [...] Сервер получатель

Нет таких понятий как "сервер-отправитель" и "сервер-получатель", есть только одноранговые сервера, каждый передаёт следующему (определяя тем или иным способом, кто будет "следующим", то есть имеет наилучшие шансы доставить письмо именно тому, кому надо — у некоторых есть для этого таблицы; некоторые берут из DNSовских MX, и т.п.), пока один из "следующих" не скажет "о, да это же мне"! (в смысле зарегистрированному на мне юзеру). Именно для этого каждый и должен иметь возможность прочитать заголовок (и дописать в него строчку "это вася.ком, это письмо пришло ко мне в 12:34:55, и я его передаю пете.ком в 12:35:12").


P.S. Кстати, именно из-за конфликтов конфигурации иногда (в последнее время — исчезающе редко) возникали ситуации, когда письмо отлупляется по превышению количества хопов — "вася.ком: я не знаю точно, кому это письмо, перешлю-ка я его пете.ком; петя.ком: я не знаю точно, кому это письмо, перешлю-ка я его васе.ком", "и так восемь раз".

Да, я про mx в курсе. Про заголовки — так я же сказал — шифруем только тело, без заголовков, чтобы не ломать маршрутизацию. Я уж не говорю про то, что протокол в таком виде, как описываете, не позволяет проверить аутентичность отправителя. А шифрование на уровне клиентов, Вы опять правы, не очень популярно. Как минимум, потому что оно неудобное. Имеем то, что имеем (((

UFO just landed and posted this here

Это вам не хттпс ) я так понимаю, что в почте тлс только между клиентом-сервером и, если повезёт, между серверами тоже. Но вот каждая передача идёт между каждой парой узлов со своими шифрами. Поэтому такое себе.

UFO just landed and posted this here
Просто везде, где бы я не смотрел, по сути письмо путешествует (у некоторых) по внутренней сети, приходит на внешний гейт почтового сервера, и путешествует уже там.

это правильная архитектура, ага, просто "внутренняя сеть" точно так же может быть не очень доверенным периметром, в частности, когда вы стоите в каком-нибудь чужом ЦОДе. И вообще термин "внутренняя сеть" это очень опасно ) NAT & firewall не являются достаточными условиями надежной защиты — я тут случайно ликнул роуты у себя и привет безопасность — внутренняя сеть вылилась наружу вообще без каких-либо проблем ((( Глупая, детская ошибка.


Кстати, а путь прохождения ведь отпечатывается в заголовках письма?

так точно, но это по стандарту. По факту почтовики могут заголовки менять и резать.

UFO just landed and posted this here
То есть канал вполне себе закрытый, сообщение видят только оконечные узлы.

Вы хоть понимаете, что Вы прочитали? Хорошо, переведу на старинные термины. Вы пишете письмо, вкладываете его в железный контейнер, закрываете на замок, отдаёте курьеру, говорите, "а отвези-ка это, голубчик, на станцию X". На станции X открывают своим ключом контейнер, читают письмо, где во первЫх строках написано "To: ИвануИванову@Такая-то.станция", понимают, что дотуда ближе от станции Y, упаковывают ваше письмо в другой контейнер с замком, вызывают курьера, просят отвезти контейнер на станцию Y, и так несколько (иногда — но далеко не всегда — один) раз. Да, курьер не может открыть контейнер и прочитать Ваше письмо — но станция (сервер) МОЖЕТ, чёрт подери! То есть из (N + (N+1)) (где N — число промежуточных серверов) потенциальных точек прослушки вы убрали (N+1), поздравляю, но N-то осталось! ;)

UFO just landed and posted this here
Ну или покажите реальный пример, как письмо в XXI веке путешествует по совершенно левым серверам в поисках счастья.

подмена DNS? mitm? Давайте развивать дальше ) Т.е. это не "левые" прям "левые" сервера ) но точно не те, которые должны были бы быть.

UFO just landed and posted this here
Процитирую гугла:
Красный (не зашифровано) Без шифрования. Сообщение не защищено. Система предполагает наличие или отсутствие шифрования на стороне получателя по ранее отправленным в его домен письмам

И этот красный замочек я периодически в своей почте вижу. Даже не в папке спам.

Как держатель нескольких почтовых серверов подтверждаю: почта — это открытый канал. Включить в нем безопасное шифрование невозможно.

Возможно, если вы можете безопасно обменятся с получателем открытыми ключами (что довольно затруднительно для массовой почты)

в банках пользуются PGP для связи через почту таким образом
UFO just landed and posted this here
Корректное замечание (в 2015 году не приняли эту норму по отношению к юридическим лицам). Я подразумевал здесь представителей банка, конечно же.
«Про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу» — вообще-то в чередовании роз-раз буква о пишется в ударном слоге (рОзыск), а — в безударном (разЫскивать); правильное с точки зрения справочника Розенталя написание — именно «разыскной». В законодательстве написание менялось, можете поискать в том же «Консультанте» — видимо, в зависимости от предпочтений министра внутренних дел.

PS тоже считаю правильным «розыскной» :)
правильное с точки зрения справочника Розенталя написание — именно «разыскной».

Розенталь уже устарел — теперь правильным считается справочник под ред. Лопатина.

В законодательстве написание менялось, можете поискать в том же «Консультанте» — видимо, в зависимости от предпочтений министра внутренних дел.

Нет, в зависимости от того, приняты были новые нормы или еще нет. До 2004 года писали по Розенталю, после 2004 — должны уже писать по-новому, но думаю, что писали и так и сяк.
Многие слова проверяются по словарям.

Толковый словарь Ожегова

РОЗЫСК

РОЗЫСК, -а, м. 1. см. разыскать. 2. обычно мм. Поиски, разыскиваниекого-чего-н. Отправиться на розыски (отправиться искать). 3. Деятельностьспециальных органов по установлению местонахождения уклоняющихся от судаобвиняемых, осужденных лиц, а также лиц, пропавших без вести (спец.).Объявить?.. Преступник находится в розыске. 4. Предшествующее суду дознание, собирание улик (спец.).* Уголовный розыск — милицейская служба, занимающаясяраскрытием и пресечением уголовных преступлений. II прил. розыскной, -ая,-ое (к 3 знач.). Розыскное дело. Розыскная собака.

По современным правилам, как тут выяснилось у лингвистов, по формальным правилам действительно пишут «разыскной». Вопрос этимологии слова: многие лингвисты считают, что обе формы являются корректными. После реформы г-на Лопатина многие исключения подвели под правила.
После реформы г-на Лопатина многие исключения подвели под правила.

позвольте уточнить Ваше мнение по этой реформе (кажется, я опять все проспал)

Резко отрицательное. Средний род кофе, дОговор и йогУрт я не могу ему простить :)
Несмотря на то что статья написано про Сбер, все 100% этих вещей описанных в статье применимы… ну может ко «всем банкам РФ» слишком громко, но к 90% банков РФ точно

Как минимум ошибочные почтовые адреса я лично (более 5 лет назад, не в сбере, но крупном банке) от нечегоделать выдирал из логов почтовика реджекнутые письма с выписками и адресами типа vasya@гмейл.ком и отправлял в отдел который за это отвечает… и могу сказать им было больше на это плевать чем мне потому что список особо не уменьшался месяц от месяца

Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке

Последние 2 года мы занимаемся телеком-аудитом для различных компаний

я работал в нескольких компаниях напрямую связанных с банковским процессингом, и каждый раз, при каждом аудите, задавал вопросы аудиторам и высказывал собственные потенциальные векторы атак и проблемы в безопасности, и могу сказать что аудиторам не то чтобы плевать они элементарно не понимают и не верят что так может быть, потому что дословно:
«система соответствует стандарту, значит такое невозможно, не выдумывайте» (с)
«Сотрудник который работает на этом рабочем месте подписал договор, если такое произойдет — он будет виноват, он это понимает и так делать не будет, зачем чтото ещё менять?» ©

И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.
И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.

что доказывает, что цель аудита не сделать безопасность, а прикрыть свой зад… (((((((

Мы под аудитом понимаем не просто формальные тесты на предмет соответствия каким-то регламентам, а в том числе корректируем сами регламенты и даем рекомендации. Чтобы это было и безопасно, и корректно с юридической точки зрения. Плюс смотрим финансовые траты. Как люди «внутри» отрасли, мы понимаем что и сколько должно стоить, где какая маржинальность. И в этой связи часто двигаем поставщиков наших клиентов по цене с очень четкой и понятной аргументацией.
Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке

А вот это очень интересный вопрос: действительно ли регулятор утверждает такие нормативы безопасности?
Аудит — проверяет на соответствие стандарту. (а не безопасность в каком-то идеальном смысле). Примерно как задача суда — не выносить справедливые решения, а выносить законные.

Многие крупные взломы и финансовых и оборонных сетей — это были взломы сетей, которые построены в соответствии со стандартами безопасности.

Стандарт — обеспечивает некоторый _минимум_ безопасности. Нижнюю планку. Смысл стандарта в том, что стандарт могут обеспечить даже рядовые исполнители, с базовыми навыками, которых легко найти на рынке труда. (рок-звезд — всегда единицы, а банковских IT-шников нужны сотни тысяч).

Плохо, если руководство не понимает разницы, между соответствием минимальным требованиям стандарта, и реальной защищенностью. Считает, что соблюдение стандарта — уже достаточно.
Не хотелось бы ругать Сбербанк — но судя по всему, там вообще бардак. Сбербанк мне несколько лет мне присылал отчеты на email по моей кредитной карте — и от этого невозможно отказаться в принципе :( В настройках галочка «присылать мне по email» не стоит, но банк ежемесячно продолжает присылать. Было написано несколько заявлений на тему (я не просил, мне не нужно, отключите плиз) = не произошло ровно НИЧЕГО. Только после отказа и закрытия кредитной карты отчеты перестали приходить… Это какое-то безумие.
И да — как написали правильно выше — это ОТКРЫТЫЙ канал.
Вы хотите сказать, что я теперь вечно подписан на уведомления по чужой карте? Блестяще)
У меня приходят отчеты по моей закрытой карте. На вопрос в техподдержку в приложении ответили, что я ставил галочку. На вопрос «какой может быть отчет по заблокированной карте», не ответили.
На вопрос «какой может быть отчет по заблокированной карте»,

Что она закрыта! :)


На самом деле номера карт обычно через какое-то время выдаются другим людям. Потому что BIN — 6 цифр, контрольная сумма — 1, остаётся 9 — не так уж и много

Это сейчас какая-то новомодная тема в управлении организаций.
На первую линию сажают или роботов (которые пытаются угадать ответ по ключевым словам запроса) или жестко мотивируют сотрудников первой линии не передавать информацию дальше и пытаться решить самим. В результате техническая проблема даже не доходит до второй линии саппорта, где её могут в принципе решить. А первая линия тупо по скрипту отвечает…
Просто Сбер тут в лидерах по «защите» второй линии техподдержки от пользователей :(
UFO just landed and posted this here

Из личного опыта. Мама попросила снять денег с ее карты в банкомате. Банкомат зажевал карту, позвонил со своего номера чтобы заблокировать данную карту, мой номер (ранее зарегистрированный на другой действующий сберовской аккаунт) привязался к ее аккаунту автоматом. После перевыпуска карты получаю все уведомления, включая пароли для подтверждения платежей, могу входить в Сбербанк онлайн под ее аккаунтом и видеть все ее карты и счета. Номер не отвязывал, потребности нет. НО, сам факт…

А как они блокируют карты с непривязанных номеров? Как они проверяют, что это именно владелец карты звонит?

Очень просто. Звоните с любого номера и говорите у меня банкомат зажевал карту номер такой-то. Это нормально, чтобы заблокировать карту не нужна какая-либо верификация пользователя карты (здесь какого-либо фэйла нет, ситуации могут быть разные и блокировка карты должна быть произведена, хотя бы до выяснения обстоятельств) трабл в том, что номер с которого поступил звонок не должен автоматом привязываться к данной карте, а по сути он привязался не к карте, а к аккаунту вцелом, т.к. после перевыпуска карты на данный номер поступают смски адресованные владельцу другого аккаунта.

Как это не нужна верификация? Хотя бы кодовое слово должны точно спрашивать. Иначе любой может заблокировать мою карту что ли?
С траблом согласен.
виза
там есть слова:
«Если вы потеряли свою карту Visa или она была украдена, представители службы клиентской поддержки Visa могут:
заблокирать вашу карту, если вы знаете ее номер, а затем соединить вас с вашим банком»

Виза в принципе не может знать связь вашего телефона+карты+фио (надпись с фио на карте опциональна) тем не менее они заблокируют вам карту по номеру
Надо попробовать.
Для блокировки карты никакое кодовое слово не требуются. Звоните на горячий номер (указан на карте, в сбере 900) называете номер карты и просите заблокировать ее. Получается да, любой желающий зная номер вашей карты может ее заблокировать. Как именно происходит блокировка, точно сказать не могу. Возможно блокировка временная, которую в дальнейшем можно отменить, но если карту заглотил банкомат и сам не отдает, то такую карту не возвращают, об этом сказал оператор горячей линии, ее заблокировали и нужно перевыпускать такую карту. Оператору была предоставлена информация: номер карты и номер банкомата который заглотил карту, все, больше никакой информации не предоставлялось. Данное событие произошло 3 августа 2018 года, с этого момента мой номер с которого я совершал звонок привязан к аккаунту которому принадлежала заблокированная карта (также мой номер является основным на моем банковском аккаунте), смс-ки с паролями приходят с обоих аккаунтов (по второму аккаунту по которому произошел трабл, смс-ки с паролями приходят только на операции по перевыпущенной карте, на этом аккаунте была и есть еще одна карта, по ней смс не приходят).
Как я понимаю, философию этого, тут есть два разных ресурса.
Есть ваш банковский счет — это очень важный и ценный ресурс. Банк должен его защищать.
Есть карта (ключ для сервиса банкоматов, для сервиса интернет-платежей) — это другой ресурс, гораздо менее важный.

Благодаря тому, что карту легко заблочить (даже другой человек, если ее нашел. даже вы сами, если забыли кодовое слово) — с одной стороны под удар ставится этот второй ресурс (неважный), зато надежнее защищается первый ресурс (ваш счет, деньги), который гораздо важнее.
Наверное, если сказать телефон/имя нужного аккаунта и кодовое слово, то тебе поверят.
В конце 2019 года начал получать сообщения по email предназначающиеся для моей супруги, это были рекламные предложения и тп. Прекратить эту рассылку они смогли только после второго моего обращения.
Но что самое интересное, как данный email оказался в базе рассылок и почему он привязан к моей супруге?
Этот email я не указываю для отечественных сервисов и компаний.
Если открыть СБ на телефоне и посмотреть СБ ID электронная почта, то там вообще пусто.
В данном случае можно было еще обратиться в ФАС. Там штраф 500 тыс руб за каждый факт отправки такого рекламного сообщения лицу, которое не давало согласие.

Ещё кейс. При покупке нового номера (новая сим карта) на нее приходили в смс предложения от Сбера о кредите с указанием полного ФИО предыдущего владельца.

Это как раз тот случай, который описан в Примере 3. Даже боюсь предположить, сколько таких номеров по факту. И сколько людей оказались уязвимы в этой связи.
У меня одно время был «проброс» с городского номера. На сотовом телефоне — обычный длинный федеральный номер, но для солидности — купил городской (в ростелекоме). Когда звонили на него — ростелеком пробрасывал звонок мне на сотовый. Звонки были редкими, поэтому мне было выгодно так — почти без расходов иметь дешевый городской номер.

И на него часто звонили коллекторы, задолбали меня. Оказывается, такие номера часто люди брали чтобы спрятать свой основной номер.
У меня был похожий случай с телефонным номером. В 2017 году, мне начали приходить СМС о том, что я якобы совершаю покупки и банковские операции. Но самое интересное, что у меня тогда не было карты Сбера. Я заблокировал номер, так как думал что это пишут мошенники. Когда я пришёл в банк для того чтобы оформить карту, я указал свой номер. Спустя две недели я прихожу в отделение возмущённый, так как мне обещали прислать СМС, когда карта будет готова, но не прислали. В отделении мне сказали, что отправляли СМС и звонили. Как оказалось, я заблокировал официальный номер Сбербанка, на мою претензию, что мне приходили левые сообщения об операциях, сотрудницы просто пожали плечами.
Значит кто-то привязал Ваш номер для аккаунта. Просто в случае противоправных действий с этой картой (обналичивание, финансирование терроризма и пр.) Сбербанк предоставил бы Ваш номер, а далее Вас могли взять в «разработку» и начать дергать уже правоохранители. Так что цепочка может зайти довольно далеко. В следующем материале про телефонных мошенников я этот аспект затрону.
в копилку: плановый перевыпуск карты, мне подсовывают договор, в нём- два номера телефона: нормальный и абсолютно левый. Поскольку физически уже нахожусь в отделении банка с паспортом- сразу пытаюсь выяснить откуда ЭТО взялось и когда и на каком основании. В ответ — рептильные звуки. Вызов «более старшего» менеджера привносит просто больше разнообразия в невнятицу, но совершенно понятно что концов найти нереально. Бросил. Если ваша затея дойти до суда и разобраться удастся- будет вам большое спасибо.
Спасибо. Сейчас жду ответ от ЦБ по этому вопросу. Если реакции не последует, будем обращаться уже в другие более серьезные инстанции. Вопрос принципиальный. Ибо Сбербанк не предпринял ничего для повышения безопасности.
Сбер те ещё аферисты, когда получал карточку, специально не давал номер своего мобильного. Однако они его каким-то боком заимели. Понял это когда на телефон посыпался от них спам. Ладно сходили пожаловался, обещали удалить, но нет! Спам продолжался, пришлось уже углублённо пройти квест «удали номер». Да да типа при мне они удалил номер. Вроде бы тишина, но это не так. Периодически они вспоминают и присылают свой спам, вот так то.
Про спам я писал выше комментарий. Если номер не указывали, подайте обращение в ФАС. Пусть заведут дело по этому поводу и проведут проверку.
Почта Банк «подписал» меня на ежемесячную «рассылку» с выпиской по кредиту в комплекте персональными данными неизвестной мне гражданки.
Саппорт, на мой вопрос «какого...?» и просьбой отписать меня, запросил мои ПД для тикета.
Для регистрации запроса уточните Ваши данные ФИО, номер телефона и электронный адрес, также сообщите данные Клиента, на чье имя поступают письма.

В ответ были отправлены все данные их клиента, но саппорт упорно требовал мои данные.
После чего был послан лесом, а письма в спам.
Какие молодцы. С другой стороны, у email действительно сложно установить «владельца». Поэтому все эти механизмы ввода email в оборот должны быть четко регламентированы. В том числе регулятором ЦБ РФ. По-другому, как мне видится, эту проблему не решить.
Мне периодически звонят мошенники, представляются «службой безопасности Сбербанка» и пытаются узнать номер и CVC2 моей карты. Раньше, после таких звонков, я звонил в настоящую службу безопасности Сбера, но после того, как мне там несколько раз говорили, что телефонные номера звонивших их не интересуют, перестал это делать. Собственно это ещё один штрих к тому, как они относятся к безопасности клиентов.
телефонные номера звонивших их не интересуют


Вам было бы спокойнее, если бы этот номер торжественно записали в книжечку? Раскрутить, кто звонит, без привлечения правоохранителей не получится. Заблокировать — тоже.
История является массовой. Поэтому правоохранители должны были уже стоять сами возле дверей банка и пресекать такие звонки. И служба безопасности банка имеет для этого все связи и возможности. Вопрос желания и подхода.

Я уж не говорю о том, что есть мизерна возможность, что такими формами мошенничества занимаются сами сотрудники банков, а это тогда 100% попадание в сферу интересов СБ

Мы проводили эксперимент. Брали чистую сим-карту. Подавали заявку на кредит в Сбербанке. Больше никуда не звонили с этой карты, в интернет не выходили. От Сбербанка был получен отказ в кредите. Через 2 дня начался спам с предложениями кредитов из других банков. Думаю, сомнений ни у кого нет, что «утечка» была именно из банка. Сбербанка!
Мне только сегодня звонили и предлагали продлить страховку на машину. На вопрос, откуда у них мой номер, честно сказали, что купили у банка, выдавшего мне кредит на машину. В банке мне сказали, что раз я подписал соглашение на обработку моих персональных данных они имеют право передавать их третьим лицам.
Да, так и есть. НО в соглашении об обработке и передаче третьим лицам лично я всегда вычеркиваю эти пункты и ставлю рядом «верно» и подпись. В таком случае передача считается незаконной.
Вы вправе сами менять правила обработки перс данных — можете оставить только то, что относится непосредственно к услуге, которую вам оказывают. Остальное имеете полное право вычеркнуть. И отказать вам в этом не могут.
можете оставить только то, что относится непосредственно к услуге, которую вам оказывают.

У банка могут быть подрядчики которые учавствуют в исполнении услуги, особенно если это касается банковских карт. далеко не все банки имеют процессинги и пользуются услугами сторонних и вынуждены передавать им права на обработку перс.данных.
Цели и задачи могут быть прописаны. Я вычеркиваю фразу, которая касается рекламных сообщений. С другой стороны, исполнителем является банк. Меня не интересуют его отношения с третьими лицами. Достаточно фразы, которая определяет цели и задачи обработки для исполнения по договору. Поэтому фраза про третьих лиц смело может вычеркиваться. Передача данных здесь как субъекта не требуется.

Аналогично, с нового номера сделал запрос в сбер, отказ и посыпался телефонный спам, но служба поддержки после моих возмущений ответила, что вы сами дали согласие (галочка на согласие обязательна, что бы дать запрос на кредит) и мы имели право. Что бы отказаться, приезжайте и пишите заявление.

Достаточно устного обращения или написания email с отказом. Закон «О рекламе» не определяет письменную форму как обязательную для отзыва согласия. ФАС России мне присылало разъяснение на эту тему — я делал запрос к ним.
У нас пару лет назад зарплатный проект переводили в другой банк. Представители банка приехали в контору и мы потоком оформляли договоры и заявления. Через пару дней мне стали приходить смс по операциям с двух чужих карт. Позвонил в банк, мне сказали, что отвязать свой номер от чужого счета я не могу. Опа-па! Мою просьбу уведомить владельцев счетов оставили без внимания.

Первую девочку я поймал быстро. Она часто снимала деньги в банкомате на первом этаже конторы. Курю как-то на крыльце, приходит смс, врываюсь в холл — здрасте, я ваш друг по карте. От девочки я узнал, что номер телефона был не перепутан, а к ее счету было две привязки. Т.е. девочка тоже получала свои смс.

Второго я ловил полгода. Он снимал деньги очень редко — не более одного раза в месяц. Я знал про него все — оклад, сумму накоплений, места, где он бывает (в смс приходили адреса банкоматов). И вот однажды его карта была пополнена в нестандартное время на нестандартную сумму. Отпускные! Я вычислил по окладу, что чувак взял 3 дня. Корпоративная система контроля отпусков мне вернула семь фамилий с отпусками в три дня в текущем месяце. Четыре фамилии отпали сразу. У нас зарплату переводят по алфавитному списку, его смс приходила всегда раньше моей, значит по алфавиту от был раньше меня. Дальше просто — на корпоративном портале у всех указаны мобильники. Перевод 1 рубля по номеру телефона и тут же смс о зачислении. Привет, друг, как долго я тебя искал!
Прям как детективный рассказ читается комментарий! Вот так и нашим клиентам пришлось сотрудников отлавливать с перепривязкой. И таких историй, как я понимаю, на каждом шагу. Неужели банк это не беспокоит? А потом все сваливают на простых пользователей — мол, сами виноваты. Так если система гнилая, может банкам стоит начать с себя?
Мне повезло, что мои друзья по картам были из моей же конторы. Иначе бы не вычислил. У ребят из банка, судя по всему, для ускорения ввода заявлений форма не очищалась. И они для нескольких заявлений бахнули один и тот же номер. А когда к ним пришли клиенты с жалобой на отсутствие СМС — просто добавили доп. номер, не убрав старый.
А что за банк был?
Левобережный, Новосибирск.
А вот когда только «свежий» контракт на номер телефона подписан (15 лет назад) и тут внезапно начинают сыпаться сообщения о покупке с карточки на Бали, городе Парижу и иже, при том, что номер уж как 3 года был как неактивен — я не сказать, что удивился, но тем не менее. Но вот при звонках в банк «вы не есть владелец счета — идите в отделение», откровенно напрягло. Причем только 8-800, тогда был платным. Да, дошел, девочка в отделении точно также пыталась послать с мыслью «да кто ты такой!!! И вообще не наш клиент!», но у меня есть ФИО, номер карты полный (тогда его не резали, ибо PCI видимо не боялись), т.е. на руках типичная «банковская тайна». И только после фразы, что мол вы разглашаете банковскую тайну третьему лицу, глаза девочки округлились на размер блюдца, они зашевелились и было обещано, что сейчас вот, 5-10 минут и ВСЕ!, и отвязали номер от счета. Прям чудо. А так бы видимо до сих пор знал похождения владельца счета.
История неожиданно ушла в твиттер (ссылка), у меня аккаунта в твиттере нет, поэтому напишу пояснения здесь.
Банк — не Сбер, а Левобережный (Новосибирск). Уточню, что контора не меняла зарплатный проект (нашел скан заявления своего), а меняла карты (переходили на VISA), т.е. мы не заключали договор, а писали заявления на выдачу новой карты.

Самое забавное, что молодой человек номер два работал со мной в одном кабинете (мы были мало знакомы — разные отделы, то виделись каждый день). Т.е. два раза в месяц (аванс и зарплата) на протяжении полугода он слышал мои громогласные маты про себя, — я при получении очередной СМС в выражениях не стеснялся. Он даже принял участие в паре кабинетных конкурсов на лучшую идею, как напакостить мистеру Икс.

Когда все открылось, мне было очень неловко. Слава богу, что он не слышал мои «юмористические» предположения о его покупках и оценки его любимых мест для снятия наличных. По понятным причинам, в момент получения СМС о списаниях с карты, его в кабинете не было.

З.Ы. Мой номер телефона «друзья по карте» смогли отвязать в ЛК банка. Молодой человек, спустя еще полгода, уволился. Девушка, вроде, еще работает — видел ее этой зимой (до карантина).
З.З.Ы. Моя карта VISA валяется где-то в коробке с документами. Оказалось, что в банке по картам зарплатного проекта есть неизменяемый годовой лимит. Т.е. к апрелю-маю она превращается тыкву. Пришлось выпускать к счету еще одну карту (за деньги), которая лимитов уже не имеет
Банк — не Сбер, а Левобережный (Новосибирск). Уточню, что контора не меняла зарплатный проект (нашел скан заявления своего), а меняла карты (переходили на VISA), т.е. мы не заключали договор, а писали заявления на выдачу новой карты.

… А «контора» — видимо ЦФТ. Кто там еще в Левобережке пасётся, кроме ЦФТ и бюджетников — я не знаю )
В плане верификации номеров телефонов — бесит, что при выдаче кредитов никто эти данные никак не проверяет, ни в одном банке.
У меня давно полученный красивый номер и сколько мне коллекторов звонит — не рассказать.
Люди в условном МВидео при покупке айфона указывают левые данные, которые никак не верифицируются. Потом коллекторы звонят по этим номерам и портят жизнь нормальным людям.
Да, это одна из ключевых проблем рынка спама — верификация номера. Но приличных решений до сих пор нет (удобных и юридически обеспеченных).
Но приличных решений до сих пор нет


«Продиктуйте пжлст код из СМС» — вполне работающее решение, достаточно удобное. Другое дело, что без верификации клерк, оформляющий кредит, скорее получит свою премию. А заниматься обзвоном по левым номерам будут совсем другие люди…
А банк — как организация, при этом теряет деньги на поиске этих товарищей.
Я про оформление подписок на рекламу. СМС недостаточно.
Хотите еще забавность от Сбербанка? Обратился в поддержку по поводу начисления бонусов Спасибо (не сходится арифметика — в одном месте личного кабинета показывается снятие наличных 14%, в другом — траты по карте 84%, пытаюсь понять — куда еще 2% делись), сегодня пишу письмо с пояснениями — не проходит, отвергается спам-фильтром.
А что, хорошая идея — режем все жалобы от клиентов по ключевым словам как спам, и сокращаем расходы на поддержку, одновременно поднимая показатели качества обслуживания.

Это письмо создано автоматически сервером Mail.ru, отвечать на него не нужно.
К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:

problema@SPASIBOSB.ru
SMTP error from remote mail server after end of data:
host mail.spasibosb.ru [77.246.228.14]: 550 5.7.1 Message rejected as spam by Content Filtering.

Рекомендуем Вам проверить корректность указания адресов получателей.
**********************
А если попробовать по-другому сформулировать? Может там слишком много стоп-слов типа *&уя, *&^ец и прочие?
UPD (16 июля 13:20):
Сбербанк решил пойти еще дальше. И буквально вчера прислал мне «поздравление» с днем рождения. То есть мало ему оказалось нарушения банковской тайны — Сбербанк решил нарушить еще и Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. Как далеко зайдет Сбербанк?
Зато у вас теперь два дня рожденья, попробуйте в книгу рекордов Гинесса заявку подать, вон, сбер же это вам подтверждает.
Но спешу всех успокоить: в данной ситуации с моей стороны не было не сделано ничего, что привело к раскрытию банковской тайны.

Двойное отрицание. Хитро :)
UFO just landed and posted this here
Это кейсы, которые мы получаем из практики. Причем тут «заказ»? В чем его «тайный» смысл? И главное — кто заказчик?
Вы как клиент Сбербанка можете даже и не знать о том, что ваша банковская информация «смотрит» наружу, если вдруг кто-то из сотрудников Сбербанка мог ошибиться при ручном вводе ваших контактных данных.

Банковская тайна? Это в то время как по вашим счетам, как по своим гуляют налоговые, приставы, майоры, специалисты службы безопасности и другие рядовые сотрудники. И все это в том государстве, где не одно ведомство или компания не смогло удержать базу данных своих пользователей не передав ее профессиональным базовикам?

1) Сбер — это то ещё дно, более того, когда я вынужденно открывал счёт для избирательной кампании, заранее уточнил не будет ли спама? Зачем мне лишние звонки?
Итогом стали звонки мошенников, которые теперь думают, что у меня есть карта сбера.
2) Более-менее в БСПб нормально отлажен процесс по карточкам, в случае подозрительного фрода вам блочат карточку и тут же наберут с уточнениями.

Важное уточнение по поводу ситуации, когда номер телефона сменяет владельца. Сбербанк каким-то образом обнаруживает, когда ICC-код SIM-карты для данного телефонного номера изменяется — по этому факту возможность входа блокируется, а пользователю приходит уведомление о необходимости проверить актуальность номера телефона. Это на моём опыте было: в 2017 году я перешёл с одного оператора на другой с сохранением прежнего телефонного номера и сразу же получил сообщение от Сбербанка о необходимости подтвердить актуальность телефонного номера. А значит, если бы мой номер перешёл другому владельцу — он бы не смог использовать этот номер для авторизации в банке. Не знаю, была ли такая фича до 2017 года и зависит ли она от того в каком году человек стал клиентом Сбербанка, но лично я стал таковым примерно в 2007 году, а Сбербанком Онлайн пользуюсь кажется с 2012 года.
Пару месяцев назад купил новый номер (теле2) и на следующий день начали приходить СМС-ки от Сбербанка информационные.
Когда позвонил им (с этого нового номера), меня назвали по имени-отчеству (не моим), но через некоторое время поняли что я хочу и сказали, что номер откреплен.

Второй опыт — перевыпуск сим-карты (нужна была нано-сим). Банки среагировали только через пару месяцев на это
Sign up to leave a comment.

Articles