Комментарии 136
Вы бы заголовок хоть поменяли. Уязвимости там находили, и найдут ещё, к гадалке не ходи. Вот что данные через внешние счетчики не льёте — это может быть.
как он собирается решать проблему нарушения прав геев во время Олимпиады, на что тот просто заявил, что в Краснодарском крае геев нет и потому проблем с ними тоже нет.
Группа быстрого реагирования Сбербанка в деле!
Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Реализована ли проверка стороннего js-кода (со всяких метрик) каждый раз, когда грузится страничка Сбербанк Онлайн?
На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных.
Естественно, HTTPS — хорошая штука, и её не зря придумали.
Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.
Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?). И это как раз влияет на безопасность, в определённых случаях.
А если у кого-то есть локальный доступ к вашему незапароленному и незаблокированному ПК, то вы этот ПК уже не контролируете. И даже отсутствие админских прав у владельца такой учётки не спасёт.
Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?)
Эмм, но каким боком тут будут безопасники сбера, если вы не следите за вашей машиной?
Какой категоричный заголовок. Где учат такой железобетонной уверенности?
Моя специализация — C++ и OpenGL…
Но даже я понял о чем говорил автор предыдущей статьи.
Он говорил о том, что сайт сбербанк-онлайн подгружает сторонние скрипты. Сторонние — это значит не находящиеся в ведении владельцев сайта.
То что вы там никуда ничего не отсылаете, совершенно не гарантирует, что это не отсылает левый скрипт, который вы загрузили из левого источника.
Товарищи веб-эксперты, поправьте пожалуйста меня… А то странное ощущение, что в Сбербанке идиоты сидят, которые даже не поняли в чем уязвимость. Но это просто не может быть правдой. Так что идиот здесь все таки я. Но не могу понять где…
Когда мне стали в личку присылать первую статью с вопросом дергаться или нет — я всегда отвечал что повода дергаться пока нет.
Но речь же не о том, насколько это опасно сейчас.
Речь о том, что это в целом дыра дырища.
А сейчас вдвойне смущает, что судя по всему господин эксперт не понимает вообще о чем речь.
Это не персонально к вам, а к 90% комментариям в обоих постах.
Google аналитика подключена во многих банках, и не только России (City bank US, итд.)
Кроме google, yandex и rutarget(это дочерняя компания Сбербанка), на сайт ничего стороннего не подключено.
Атака которая скомпрометирует google/yandex аналитику возможна только от Google/Yandex. И если допустить ее вероятность. То Сбербанк уж точно не будет первоочередной целью
По факту это действительно так. Google собирает только обезличенную информацию.
Гипотетически Google может провести на вас атаку. Как в общем то и любая крупная корпорация. Железо в Сбере, все равно производит не он сам. Это все те же IBM,Cisco, etc.
Эти сервисы подключены не просто так. Как правило они используются UX специалистами, чтобы потом понимать, что удобно получилось в интерфейсе а что стоит переделать. И конечные изменения позитивно складываются на вас же.
я отлично понимаю что взломают скорее сбер, чем тот же гугл и ситуация чисто теоретическая, но в случае подобной утечки все косяки легко спишутся на «дырявый компьютер клиента», особенно при том что некий специалист заявляет что дыр у них 100% нет.
В том случае если взломают яндекс, скорее всего будет как то так:
У Сбера сработает антифрод. Который в банке действительно есть. И вывести деньги смогут у первой сотни человек(Из за двухфакторки, скорее даже меньше). Сбербанк онлайн выключится.(Как и весь интернет в России, взломали Яндекс!) Тем кого обокрали Сбер вернет деньги согласно законодательству сразу. И направит иск в Яндекс
Можно не меняя хеш сумму скрипта придумать разные вектора, если там идет подгрузка каких то данных из других сервисов яндекса(мы подразумеваем что Яндекс под контролем злоумышленника уже), то толку от integrity 0.
Можно не меняя хеш сумму скрипта придумать разные вектораДа ну?
Тем кого обокрали Сбер вернет деньги согласно законодательству сразу.
Ага, проходили. Саппорт по телефону: ждите, в течение 30 рабочих дней, все должно придти. После 30 дней, мы ничего знаем, идите в свое отделение (где карточку получали), подавайте заявку на розыск средств, а чек уже выгорел…
Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере, вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта, вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.
А еще вы доверяете всем сотрудникам компании, которой принадлежит данный сайт и всем их подрядчикам. Но, гугл аналитике вы при этом не доверяете.
Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере,
это мой компьютер, за него отвечаю я
вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта,
ssl считается доверенным по-умолчанию, и он же практически исключает необходимость в доверии к провайдеру.
вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.
все что стоит и лежит на этих серверах относится к организации которой я уже доверил деньги.
гугл аналитике вы при этом не доверяете.
я даже понятия не имею что кто то ее мне подгрузил
Но, гугл аналитике вы при этом не доверяете.
Логично.
А давайте я поставлю вам на компьютер свой кейлоггер, который будет сливать мне всё, набираемое вами на сайте сбербанк-онлайна? Или набираемое вами везде?
Я дам вам исходные коды, вы сможете убедиться, что он не делает ничего кроме заявленного. Если нужно, прямо на вашей машине его и скомпилируем, чтобы не было сомнения, что он всего лишь сливает всё, что набирается на странице и подпишу с вами договор, в котором торжественно обязуюсь не использовать слитые данные.
Ну а что, вы заходя на сбол уже доверяете своей операционной системе, центрам сертификации, браузеру, ..., и даже гугл аналитике, с доверия лично мне у вас не убудет — более того, в отличии от безликого гугла вы даже можете познакомиться со мной лично и у вас со мной будут защищённые законом договорные отношения.
К тому же, мой келоггер будет даже надёжнее гугловской аналитики!
Бинарник я изменить смогу только при согласовании с вами, в отличии от скриптов гугл-аналитики, которые могут подгрузиться другими в любой момент.
К тому же, у гугла-то были случаи, когда его особо доверенные инженеры, имеющие полный доступ к письмам всех пользователей gmail'а эту самую переписку читали, а у меня и сотрудников в этом примере не будет (меньше возможных точек злоупотребления), и репутация получше (случаев подобных сливов нет).
Согласны?)
Из всего списка что я привёл Гугл аналитика даже близко не является самым недоваренный источником, в отличие от вашего софта. Я не хочу сказать, что она вообще не влияет на безопасность. Но истерика поднятая этой статьей не соответствует степени проблемы.
Автор исходной статьи, конечно, слегка драматизировал ситуацию, но особой поддержки этой драмматизации со стороны сообщества я вообще не наблюдаю.
Я не вижу ни постов, ни комментариев с призывами сбежать из сбербанка или с криками о том, что завтра все наши данные украдут.
Скорее я вижу много комментаторов, которым, как и мне, такое техническое решение кажется непонятным и плохим. Нормальная тема для обсуждения.
В принципе, я был бы рад, если бы сюда пришёл кто-нибудь и объяснил, почему вот так и нужно делать, но увы.
собственно истерики и нет, есть недоумевание и непонимание зачем так делать. у меня еще непонимание действий тех, кто рьяно защищает сбер в данной ситуации. и я тоже был бы раз объянению.
немного аналогии. мы используем гуглопочту завязанную на наш домен и дропбокс для служебных целей. во-первых, наработки в плане фильтрации спама и юзабилити. во-вторых это дешевле чем изобретать велосипед самим. думаю из тех же соображений и подключена сторонняя аналитика. но, в данной ситуации нет третьих лиц. в случае хранения данных третьих лиц мы бы не стали ее хранить на дропбоксе.
Google аналитика подключена во многих банках
На страницах, подобных Сбербанк-онлайн, не должно быть никаких сторонних скриптов в принципе. Аналитику хотите — пишите сами. Я, честно говоря, удивлен, как такое решение согласовала внутренняя безопасность. Это дыра размером с Эверест.
Политика «вставим побольше трекеров» понятна с точки зрения анализа, но сама возможность, что поставщик трекера сохранит данные для себя на будущее (либо для ФСБ/ЦРУ/Моссада/...) лично для меня делает AdBlock, NoScript или аналоги обязательным первым действием на новом браузере.
2. Включение сторонних скриптов снижает безопасность ресурса до безопасности самого слабозащищённого. Почему Сбербанк такого низкого мнения о своей инфраструктуре?
3. Как Сбербанк собирается гарантировать, что инициируемые моим браузером подключения ко внешним ресурсам являются подключениями именно к тем партнёрам, о которых он ведёт здесь речь?
При этом, если вы заходите незалогиненным, то у вас и договора с Geektimes никакого нет.
Это реалии современного веба: вместо того, чтобы хранить ресурсы (хотя бы, те же скрипты) локально, сайты используют CDN.
Бывают же такие параноики, а… А может, и жена ваша — и не жена вовсе, а злобный зеленый монстр, замаскировавшийся под человека? А ещё вам насыпали не 3, а 2 ложки сахара в чай! Кто гарантирует, что кубик сахара не был отравлен?!
вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками».— это сделало мой день. Эксперты такие эксперты…
3.3 Mask PAN when displayed (the first
six and last four digits are the maximum
number of digits to be displayed), such
that only personnel with a legitimate
business need can see the full PAN.
Неужели эксперту влом наделать скринов с «такая как фамилии, номера карт и счетов и т.д»? Подозрение, что эксперт не пользуется онлайн банком организации в которой работает.
И если честно, я не представляю комфортной работы в банковском приложении, когда вместо своей фамлии и номеров счетов я вижу звездочки, как работать-то?
И даже, больше, я не вижу практической ценности их скрывать.
Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Вы не можете этого сделать, поскольку информация передаётся внешним скриптом третьей стороны с компьютера клиента непосредственно на сервера этой третьей стороны. Все элементы находятся вне вашего контроля.
Господа, а потрудитесь объяснить почему в моем личном кабинете PayPal нету никакой сторонней аналитики?
Потому, что PP не настолько продвинут и высокотехнологичен и вообще погряз и закоснел в нулевых. Вот когда подтянет свой уровень до СБ, появится и сторонняя аналитика в этом вашем личном кабинете.
Даже 2-факторная авторизация посредством кода, доставляемого через SMS, была бы лучше, чем совсем ничего (но хуже, чем приложение на смартфоне и аппаратный токен, естественно)
Потому что Палке когда-то приходилось делать себе имя, и с тех пор у них остались вот такие вот пережитки прошлого. Сбербанку же на вас было насрать, есть насрать, и будет насрать. Они считают вас за идиота, что и рады показать такими вот закладками в своём софте и вот такими вот опровержительными статьями. Потому что знают, что никуда вы не денетесь с подводной лодки.
Эксперт службы Кибербезопасности Сбербанка
… проверяем состав передаваемой информации
Ув. эксперт SCST! А вы могли бы, как эксперт, подробно пояснить, каким образом вы контролируете информацию, передаваемую JS-скриптами третьих лиц, которые исполняются в браузере клиентов и имеют полный доступ к открытым страничкам личного кабинета клиентов?
Прочитал комментарий к той самой статье:
… используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта…
… на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов…
… предоставляют скриптам информацию только об открытой странице (но не её содержании)...
Как в анекдоте – простите, а вы точно эксперт? #позорище
Ну, то есть, вы прямо признаёте, что уязвимость есть и вы лишь при подключении и "периодически" проверяете, что ей ещё не пользуются.
Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
Скрипты передают данные напрямую на сервера третьих лиц. Каким образом вы проверяете этот трафик?
Ах, да, вы "периодически анализируете". #позорище
Речь идёт о клиентском коде. Всё доступно любому желающему. Поэтому никаких "понятных причин" (помимо того, что вы нифига не знаете и просто профакапили дырку) я не вижу.
А если уж хочется анализировать — то отдавали бы свои скрипты или ограничились следящими пикселями, на худой конец.
Вы упомянули про архитектуру, которая не передаёт на страницу пользователю никакой чувствительной информации, но всё же не хватает примеров.
что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями.
Давайте не заливать. На корпоративных сайтах — не вопрос: и GA и fb и еще несколько. Как только доходит до ebanking части, то никаких левых скриптов.
Мне вот интересно, сберовский ebanking PCI сертификацию вообще проходил?
Хотя проблема все равно есть и она состоит в том, что появляются дополнительно точки потенциального воздействия зловреда Например, взлом сервера яндекс-метрики и подмена их скрипта и так далее.
Вообще не понятно как можно ходить в этот ваш энторнет без плугинов типа Disconnect…
Взять хотя бы двухфакторную авторизацию
Логин запоминается в браузере при включенном автозаполнении, не скрывается звездочками, и может быть прочитан посторонними. Далее, можно предпринять попытки ввода пароля, и логин уйдет в блок. Если есть доступ к телефону, то пароль вообще не нужен, можно запросить новый пароль на телефон.
А если это действительно сотрудник сбера, то вероятность увидеть теперь этот ответ в официальном бложике сбера равна 0, возможно так сбер «обкатывает» разные варианты «отмазок» перед публикацией официальной версии)
https://stat.online.sberbank.ru/CSAFront-res/25.0/scripts/vaultonline-2-new-sbol-36f5190612.js
На Пикабу обнаружили что он сканирует некоторые порты на локальной машине.
Собственно и косяк Сбера по обсуждаемым сейчас уязвимостям он не в том, что уязвимость допустили. Косяк в том, что на неё просто забили и человеку её обнаружившему даже не ответили…
В Сбербанк онлайн уязвимостей нет
Как это нет? Двухфакторная авторизация по SMS это разве не дыра в безопасности? Сколько уже писалось о возможности перехвата и подделки SMS. Да элементарно, я год назад менял СИМ карту зеленого оператора, так у меня даже паспорт не спросили?
На мой вопрос, есть ли более безопасный способ двухфакторной авторизации, сотрудница банка ответила, что нет, но вы можете купить страховку! Страховку! Дополнительно заплатить банку, чтобы он гарантированно вернул мне мои деньги!!!
В случае же попадания вируса на клиентское устройство банк вообще умывает руки и посылает… в полицию ловить автора вируса.
s.src = (d.location.protocol == «https:»? «https:»: «http:») + "//mc.yandex.ru/metrika/watch.js";
ga.src = ('https:' == document.location.protocol? 'https://ssl': 'http://www') + '.google-analytics.com/ga.js';
Т.е. чисто технически (по безалаберности) location.protocol в какой-то момент времени может оказаться не «https:» и скрипты вообще перестанут проверяться, а дальше атака на любая MITM атака окажется 100% удачной. Нафига вообще оставлять возможность использования не https протокола?
Ну и стандартное: почему скрипты не скопированы на Ваши сервера? Это же не сложно!
Похоже SCST все таки реальный сотрудник, должны же СМИ как то проверять источники.
rambler.ru: Сбербанк ответил на сообщения об «уязвимости»
riafan.ru: СМИ сообщили об уязвимости «Сбербанк Онлайн»
rueconomics.ru: Сбербанк ответил на сообщения об «уязвимости»
rueconomics.ru: В «Сбербанке Онлайн» найдена «ахиллесова пята»
sputnik.fm: Сбербанк прокомментировал возможность угрозы хищения данных из «Сбербанк Онлайн»
dni.ru: Раскрыта серьезная уязвимость «Сбербанк Онлайн»
plusworld.ru: Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
rzn.info: Эксперты нашли в «Сбербанк Онлайн» уязвимость для хакеров
«Ахиллесова пята», перепрыгнули Ализара по желтушности заголовка)
Каково же было моё удивление, когда я обнаружил, что эти самые «временные» «одноразовые» логин/пароль прекрасно работают до сих пор?
Очень показательный случай. Вот она цена того, когда вместо адекватной и вменяемой поддержки, человеку просто отписываются в FB
Автор оригинальной статьи написал, что ваш банк загружает сторонние скрипты, не находящиеся под вашим контролем на страницу банкинга пользователя.
Хорошо ли это для банка и правильно? Без дополнительных комментариев (которых нет, но об этом ниже) — вроде бы, не очень хорошо. Как минимум, это можно обсудить и это адекватный объект для критики.
Но это не то что бы трагедия или прямо уязвимость, которую можно взять и эксплуатировать. Уж тем более, вряд ли кто-то от этого пострадал.
Это неприятные мелочи. Мелочи, но неприятные.
Автор подал свою статью с довольно провокационным заголовком ну и очень однозначным видео. Он тоже не молодец. Но основной посыл «сайт грузит сторонние скрипты яндекса, гугла, рутаргета, и т.д., я считаю, что это не хорошо» — хорошо вычленяется и однозначно понятен.
Резюме:
1. Автор перегнул палку с драматизмом. Не молодец. Но с автора и взятки гладки — он никому ничего не должен.
2. Автор указал на (возможную) проблему и высказал желание получить комментарий. Судя по плюсам, сообщество тоже хотело бы что-то услышать.
Что не так в вашем ответе?
(речь идёт скорее даже не об этом посте, а о «развёрнутом комментарии» к оригиналу)
Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов.
Ок, указали на переливающуюся через край ненужную драматичность автора — указали верно, согласен.
При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам.
Может быть я неправильно понял это предложение, но выглядит как «А поди докажи, что кто-то через это какие-то личные данные сливал».
Если так — совершенно бесмысленная риторика. Сообщество хочет услышать комментарий про возможную уязвимость. Есть ли. Нет ли. А если нет, то какие меры приняты, чтобы её не было.
Был бы конкретный пример слива — был бы совсем другой разговор других масштабов и с уже настоящими репутационными потерями (и не только репутационными).
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов.
Многое является «де-факто стандартом». Это не значит, что это следует использовать в банке.
Дурацкий отвлечённый пример: В социальных сеточках, допустим, может быть приемлимо, чтобы отправленное сообщение пришло дважды. Для операций банка это неприемлемо.
Не все допущения, позволительные социальной сеточки или магазину касаются банка — это очевидно.
Аргументации же «почему и в банке так можно/стоит делать» здесь просто нет. Поэтому не стоило и писать об этой практике.
Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная.
Была речь про безопасность, стала про то, что порог вхождения низок и дешёвых разработчиков с такой компетенцией много.
В огороде бузина, а в Киеве дядька.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Не видел, чтобы какая-нибудь компания заявляла бы обратное, что-то в духе: «А этот сервис мы специально подняли, чтобы злоумышленик мог найти в нём дырку и похакать нас и наших пользователей».
С уязвимостями вообще всегда практически всегда так — намеренье создания сервиса — сделать клиенту/компании хорошо, а не открыть дырку злоумышленнику.
Бесмысленное предложение не несущее никакой информации.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли.
Дык допущение же не в том, что кто-то изменил код страницы, а в том, что кто-то изменит код скрипта на одном из n ваших партнёров, скрипты которых вы подтягиваете.
Безусловно, похакать Яндекс или гугл — задача неименоверно сложная. И внутри яндекса и гугла как правило с безопасностью всё хорошо.
Но вы банк. От вас ждут, что ваши требования к безопасности должны быть строже, чем у поисковика или счётчика.
Другое дело, если бы вы тут рассказали, что принимаете вот такие-то и вот такие-то меры, чтобы на их надёжность не завязываться. Но вы об этом не говорите.
Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу
По сути всё, что вы здесь говорите «У нас есть служба безопасности и она компетентна». Читателю это не говорит вообще ничего.
Человек указал на возможную уязвимость, вы ответили:
— Нет, уязвимости нет, мы компетентные.
Представьте, что человек указал на какой-то сомнительный факт в в математических выкладках. Да или даже в маркетинговом тексте. А презентующий ответили «Нет, это не так, я прав». Без какой-либо дополнительной аргументации или объяснения.
Такой ответ попросту не нужен. Он никому ничего не даёт.
именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234.
Какие-то меры вы предпринимаете, молодцы.
Впрочем, речь же не идёт о том, что вы не предпринимаете никаких мер. Так что зачем это здесь — опять же, непонятно.
Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем
Вот в этом месте вы вроде бы начинаете какую-то аргументацию (у нас есть волшебная машинка, которой мы делаем антифрод). Но тут же останавливаетесь.
Этот ответ не нужен. Он не сообщает ничего. В нём нет аргументации. Я сейчас разобрал на цитаты, наверное, чуть ли не каждый абзац — и абсолютно каждый цитируемый кусок можно вычеркнуть без потери смысла текста.
Такое чувство, будто единственное, что текст делает — пытается загипнотизировать читателя. «У нас есть безопасники, наши партнёры — очень надёжные ребята, такие как гугл, смотрите, вот отвлечённый пример, который показывает, что какую-то безопасность мы умеем, а вот в этом абзаце я показал, что я знаю, что такое SSL и XSS, я компетентен».
Но вы же пишете развёрнутый комментарий на техническом ресурсе, а не рекламный буклет для домохозяек.
Самое смешное в этой истории то, что вашему банку, наверное, таки есть что сказать.
У вас там вроде и занятные технологии есть. И адекватное объяснение, почему было принято решение использовать стороннюю аналитику, наверняка, найдётся.
Просто вы зачем-то решили считать читателей за идиотов и вылили кучу воды. Не удивительно, что читателям это не очень нравится — здесь это считается невежливым, лучше уж ничего не писать.
Кстати, а не хотите написать этот пост в виде статьи? Я уж и сам хотел написать, но ваш пост он развернутый и понятный, то что надо!
Сбербанк Онлайн использует… инструменты, отслеживающие вирусную активность на компьютерах клиентов.
Подскажите, пожалуйста, клиент уведомлен о том, что на его компьютере что-либо отслеживается?
При этом:
— клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства (вот это меня и раздражает, логин простой, менять на 2849рафа9ф8зр4ф не хочу);
— про перехват СМС злыднями нам СМИ регулярно рассказывают;
— да и угадать этот код случайно есть вероятность ;)
В Сбербанк онлайн уязвимостей нет