Хочу поделиться с общественностью весьма подозрительными наблюдениями о работе с персональными данными вкладчика в АО «Сбербанк Управление Активами». Если кратко — в анкетные данные нового клиента вносится данные «левого почтового аккаунта» при отсуствии собственного электронного ящика у клиента. Насколько это серьезно, на данный момент сложно сказать, но, очевидно, что в принципах ИБ лучше перебдеть, чем не добдеть.
Организация была мной надлежащим образом уведомлена о ситуации, но ее представители считают, что проблемы не существует. Ниже следует более подробное описание обнаруженного явления.
Одна знакомая женщина обратилась ко мне за советом, как ей распорядится своими пенсионными накоплениями, чтобы их хотябы не сьедала инфляция. Женщина эта старой закалки, пользуется только сберегательными книжками Сбербанка, подключать онлайн-банк и получать пластиковую карту категорически отказывается из-за недостадочного понимания новых технологий и боязни потери контроля над средствами. Надо сказать, последнее подозрение не безосновательно, так как открывает возможность удаленного доступа к счетам (и целому вектору социально-инженерных атак), а если у человека есть только сберкнижки, то управлять счетами в Сбере можно путем только физической явки (по официальной информации).
Женщина из нашей истории, хоть и переживает из-за инфляции, но так же не доверяет другим банкам и прочим финансовым организациям, особенно без гос. участия, поэтому перененос ее сбережений в другую организацию был отвергнут сразу. После недолгих размышлений мною был предложен вариант инвестировать 40% ее сбережений в ПИФ Фонд облигаций «Илья Муромец», как наиболее стабильный ивестиционный инструмент, из предлагаемых Сбером, в котором меньше всего спрятано хитрых ловушек и запутанных условий. На том и порешили. Деньги выносить из организации не нужно, стабильность инструмента внушает определенное доверие, управление прозрачное, снова можно обойтись без онлайна. Это присказка.
А теперь сказка. В отделении банка в городе в процессе заполнения анкеты и договора у женщины спросили ее данные, в том числе и адрес электронной почты. Она сообщила, что почта отсуствует, так как все равно с ней не умеет обращаться. В итоге, на подписании мы обнаружили следующий документ:
Важная часть выделена красным цветом.
На мой вопрос, «а что там делает посторонний почтовый адрес?» сотрудниками отдела мне был дан ответ — «не переживайте — это просто заглушка такая, для всех, у кого нет адреса». Нас пытались заверить, что это ничего не значит. Но что это за заглушка такая, которая представляет собой валидный почтовый адрес net@mail.ru? Более того, существующий почтовый адрес реального аккаунта, который не контролируется структурой Сбербанка на постороннем почтовом сервисе! Что еще стоит учесть, что данный адрес вбит в типовое поле рыбы анкеты клиента банка, а значит, можно сделать вывод, что он хранится в том же виде и в базе данных банка. Вбит у всех клиентов, без наличия своего собственного адреса, если экстраполировать слова персонала.
У всех почтовых ящиков на серверах mail.ru обычно автоматически создается страничка в социальной сети Мой Мир. Не стал исключением и аккаунт net@mail.ru:
Отлично, значит мы имеем ситуацию, что в информации о вкладчике\инвесторе в системах Сбербанка, пусть и в виде заглушки, присутствует посторонний адрес лица, не связанного с реальным владельцем счета. При условии, онлайн кабинет не активирован, я не смог придумать вектора атаки, который может задействовать нюанс с чужим адресом. Но интуиция просто не позволяет мне пройти мимо такой очевидной халатности в обращении с учетными данными.
Сейчас это эксплуатировать нельзя, но вдруг в будущем случится еще что-то, и станет можно? Что если владелец аккаунта решит воспользоватся сложившимися обстоятельствами? Что если его аккаунт просто взломают?
Задаем вопросы технической поддержке Сбербанка
С основного сайта Сбербанка, в чьем офисе, заключался договор, нас футболят к АО «Сбербанк Управление Активами». Заметьте договор в офисе одной организации составляется сотрудниками в интересах третьей организации. Окей. Находим контакты, пищем письмо и получаем ответы, которые противоречат имеющимся у нас на руках документам:
Представители техподдержки «Сбербанк Управление Активами» считают что нас «неверно информировали». А документ на руках говорит, что в анкету типовым образом внесли данные постороннего человека!
Тут на глаза кстати попадается контекстная реклама «Сбербанк Управление Активами», поэтому идем к ним с вопросами в социальную сеть, где получаем следующий кусочек пазла:
Теперь сотрудники считают, что это «пример заполнения» анкеты. Но ведь анкету заполняла не женщина-клиент банка, а компетентный сотрудник банка. И ему было указано на потенциальную проблему, на что сотрудник уверил, что это в порядке вещей и проблемой не является.
Суммируя и анализируя собранную информацию, я прихожу к выводу, что посторонние данные могли попасть в анкеты сотен, если не тысяч клиентов Сбербанка, причем это как раз те люди, которые недостадочно подкованы в области юридических, финансовых или информационных наук, но обладают значимыми денежными накоплениями. Иными словами, входят в группу риска.
Хабр, конечно, не жалобная книга, но я и не хочу здесь разобраться с отдельно взятым сотрудником банка. Ведь проблема куда глобальнее. Смысл этого поста в том, чтобы предупредить людей о потенциальной угрозе их материальному благополучию. Да, она пока не несет реальной опасности, но порой именно такие огрехи становятся в последствии бомбой замедленного действия. Ведь в документах, касающихся денег и финансовых инструментов не должно быть ни байта посторонней информации!
Надеюсь, что написанное сподвигнет других вкладчиков еще раз проверить свои финансовые документы, а руководство структур Сбербанка — пересмотреть скрипты и инструкции операторов в отделениях. Кстати, на месте Сбера еще и компенсацию «пострадавшим» неплохо бы какую-то сделать, ну bug-баунти лишним не будет.
UPD Пользователь Joyz рассказал о почти аналогичной ситуации с Альфа Банком.
UPD 2 Спустя 31 час после последнеего сообщения в соц.сети Сбербанк неожиданно все-таки перешел к действиям:
