Как одна недоработка в IT-системе привела к раскрытию банковской тайны в Сбербанке

Разбираем факты раскрытия банковской тайны в Сбербанке в связи с допущенными ошибками проектирования системы информационной безопасности.

Сбербанк на сегодняшний день является одним из самых упоминаемых брендов в связи с новомодной «трансформацией»: цифровой, банковской, всеобщей. Я помню, как лет 10 назад эта компания начала переманивать в свой штат огромное количество высококвалифицированных IT-специалистов. С тех пор многое изменилось, айтишники стали разборчивее в выборе работодателя. Новые сервисы выходят из лабораторий Сбербанка один за одним. И в погоне за «удобством» пользователя очень часто скрываются не просто подводные камни, а айсберги, которые в определенный момент могут юридически потопить любую компанию. Особенно если она хранит ваши деньги.

Сегодня мы разберем 3 примера фатальных IT-ошибок, которые, казалось бы, лежат на поверхности и допустить их было просто невозможно. Но Сбербанк умудрился это сделать, споткнувшись на ровном месте.

Пример 1. Уведомления о банковских операциях на email


У многих из нас есть такой email, который мы используем под различные регистрации и прочий спам. Я в такой ящик захожу обычно раз в 2-3 месяца (сам ящик живет с 1999 года), чищу и закрываю до лучших времен. Но вот однажды я обратил внимание на письма, которые попадали в папку спам от имени Сбербанк. В теме письма значилось многозначительное «Отчет по карте Visa *0612 за период с xx.xx.xx по yy.yy.yy». Понятно, что в последнее время развелось много мошенников (об этом мы поговорим в отдельном материале чуть позже), наживающихся на имени крупного банка. Но меня это письмо заинтересовало.

Отправителем значился Сбербанк России newreport_card@sberbank.ru. Изучив заголовки, я понял, что письмо не является фишинговым – отправитель действительно Сбербанк. Поскольку у меня никогда не было карты *0612, полез смотреть, что же за отчет мне прислал Сбербанк.

Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
	by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
	id 1jlnqp-0002hE-LG
	for имя@MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
 CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
 15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
	by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
	for <имя@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
    by 127.0.0.1
    for <имя@MAIL.RU>;
    Thu Jun 18 09:16:39 2020

Если сказать, что я был удивлен от увиденного, не сказать ничего. Я о*****л. Сбербанк на полном серьезе прислал мне отчет по чужой банковской карте с указанием имени, отчества и первой буквы фамилии со всеми расходными/приходными операциями, суммами по ним, остатками денежных средств на начало и конец периода, разделение на наличные и безналичные и прочей статистикой.

Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну. Статья 26 Федерального закона от 02.12.1990 N 395-1 (ред. от 27.12.2019) «О банках и банковской деятельности» гласит:

Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

Справки по операциям и счетам юридических лиц и индивидуальных предпринимателей, по операциям, счетам и вкладам физических лиц выдаются на основании судебного решения кредитной организацией должностным лицам органов, уполномоченных осуществлять оперативно-разыскную деятельность, при выполнении ими функций по выявлению, предупреждению и пресечению преступлений по их запросам, направляемым в суд в порядке, предусмотренном статьей 9 Федерального закона от 12 августа 1995 года N 144-ФЗ «Об оперативно-розыскной деятельности», при наличии сведений о признаках подготавливаемых, совершаемых или совершенных преступлений, а также о лицах, их подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела.
(про орфографию «оперативно-рАзыскной» деятельности в тексте Федерального закона я промолчу – желающие могут сами найти полный текст закона и увидеть это).

Последние 2 года мы занимаемся телеком-аудитом для различных компаний и выявляем сильные/слабые стороны внутри бизнеса, смотрим корректность взаимоотношений с контрагентами, находим и устраняем различные нарушения, поэтому у нас довольно сильный штат юристов, разбирающихся в тонкостях IT и телеком отношений. В частности, границ юридической ответственности в сфере информационной безопасности. Первым делом я отправился к ним для разъяснений.

Мы начали разбирать, почему и как это могло произойти, виноват ли банк в этой ситуации. Первым делом мы обратили внимание на имя и отчество владельца счета (Сбербанк сам раскрывает эту информацию в отчете). И обнаружили возможное сходство имени моего электронного ящика с email’ом реального владельца банковского счета. Отличие в одной букве: r и n. Они действительно похожи при ручном написании.

Мы предполагаем 2 варианта, почему все это могло произойти:

  • — собственник счета заполнял какую-то электронную анкету, где сам ошибся при вводе своего имени;
  • — собственник счета заполнял какую-то бумажную анкету, где неразборчиво указал адрес своего email – и сотрудник банк внес данные в систему с ошибкой.

И в этой ситуации мы видим слабые места проектировщиков систем информирования Сбербанка. Когда вопрос касается такой чувствительной сферы как деньги, банк должен быть вдвойне аккуратен. При проектировании большинства систем авторизации/уведомлений разработчик исходит из «ошибки» пользователя. Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email. Это частая практика не только с email, но телефонными номерами. Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).

И если в первом случае, когда пользователь сам ошибся при вводе своего email, винить Сбербанк можно только в недоработке системы, то во втором случае все произошедшее должно быть тщательным образом расследовано. Ведь банк как кредитная организация в этой ситуации несет ответственность не только административную, но и уголовную.

Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной. Кто-то может сказать, что сейчас меня самого привлекут к ответственности (как часто случалось в таких ситуациях с «громкими» расследованиями в банковской сфере). Но спешу всех успокоить: в данной ситуации с моей стороны не было сделано ничего, что привело к раскрытию банковской тайны. Банк сам добровольно присылает мне такие отчеты. Я думаю, здесь скорее к Сбербанку должны быть вопросы со стороны надзорных органов, если такая проблема может носить массовый характер. А об этом, к сожалению, мы вряд ли узнаем.

Главный вывод из этого кейса:


Вы как клиент Сбербанка можете даже и не знать о том, что ваша банковская информация «смотрит» наружу, если вдруг кто-то из сотрудников Сбербанка мог ошибиться при ручном вводе ваших контактных данных.

Если кто-то думает, что после этого материала служба безопасности Сбербанка ринется все проверять, устранять все недостатки, найдут виновного (может даже накажут), то здесь я читателей могу разочаровать. С большой долей вероятности ничего этого не будет. Потому что на личном опыте столкнулся с тем, что Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.

И здесь мы переходим ко второму кейсу.

Пример 2. Чужой номер телефона без вашего ведома


Многие знают, что в Сбербанке почти все построено вокруг экосистемы с номером мобильного телефона. Телекомом я занимаюсь почти 20 лет. И, начиная с 2007 года, когда мы активно начали внедрять VoIP-коммуникации, мы всех клиентов предупреждаем о телефонной безопасности и необходимо иметь защиту при авторизации по номеру телефона. Все эти игры с распознаванием АОНа и плотной интеграцией с CRM и ERP-системами привели к тому, о чем я говорил много лет назад, — вал телефонного мошенничества. В частности, именно на страницах Хабра мне удалось обратить внимание сообщества телеком-специалистов и операторов связи на мошенничество со «сливом» трафика 8-800.

Но сегодня мы поговорим о том, что в октябре 2019 года при просмотре настроек личных данных при очередном обновлении мобильного приложения Сбербанка я обнаружил, что в контактных данных у меня появился дополнительный телефонный номер. Который явно не имеет ко мне никакого отношения – я никогда его не указывал. Недавно в прессе многие обратили на это внимание, но я могу сказать, что вся эта история с добавлением «чужих» номеров тянется с 2019 года. А может и раньше.

Вернемся к аккаунту. По сути, кто-то взял и добавил без моего ведома чужой номер телефона в мои учетные данные. Я уже давно вывел из Сбербанка все сбережения (в том числе из соображений безопасности и такого количества ИТ-фейлов), поэтому особо не переживал за сохранность финансов. Но мне стало важно разобраться в этой ситуации до конца.

Спойлер: Сбербанк не признал ошибку и сообщил, что никаких логов изменений учетных данных клиентов он не хранит.

Итак. Я звоню персональному менеджеру Сбербанк-Премьер с уведомлением о наличии уязвимости в моем аккаунте. Менеджер полностью проигнорировал мое сообщение (это к вопросу о «премиальности» обслуживания) и рекомендовал сделать письменный запрос.

10 ноября 2019 года я составляю обращение в поддержку Сбербанка:

В настройках Сбербанк ID в поле «дополнительный телефон» указан номер +7 *** *** **-**. Скриншот во вложении.
Данный номер мне не принадлежит, я его не использую. Я его в данном поле не указывал.
Поскольку данный вопрос относится к теме безопасности, требую провести проверку, кто при каких обстоятельствах из сотрудников Сбербанка указал номер третьего лица в качестве моих контактных данных.
Данный номер используется для связи в случае невозможности связаться по основному номеру. Это крайне чувствительная информация и напрямую влияет на безопасность финансов, размещенных в Сбербанке.
Без проведения проверки и предоставления исчерпывающей информации по моему запросу я запрещаю вносить какие-либо изменения (включая удаление этого номера) в настройки Сбербанк ID.
Еще раз повторюсь: требую разъяснения кто, когда при каких обстоятельствах внес «чужой» номер в мои контактные данные.


Прошу обратить внимание, что в своем обращении я запрещаю сотрудникам Сбербанк вносить какие-либо изменения в мой аккаунт.

27 ноября 2019 года, то есть спустя 17 (!) дней после обращения по вопросу БЕЗОПАСНОСТИ аккаунта приходит такой ответ. И закрывается обращение.

… ваше обращение № xxxx-yyyy-xxx от 10.11.2019 рассмотрено. В ходе проверки выявлено, что номер телефона +7****** -**-** был зарегистрирован в ваших контактных данных в системе банка в 2012г в Московском банке. В соответствии с порядком, действующим в банке, срок хранения бумажных и электронных документов составляет пять лет, в соответствии с чем запрашиваемую вами информацию и документы предоставить невозможно. Для исключения данного номера телефона из ваших контактных данных вы можете обратиться в отделение банка с документом, удостоверяющим личность. Приносим извинения за неудобства. Сбербанк.


То есть до 2019 года я этот номер ни в каких настройках не видел, а он, оказывается, был там с 2012 года. Потрясающе. И вишенка на торте: несмотря на мой запрет изменения моих данных в Сбербанке без моего ведома Сбербанк УДАЛЯЕТ «спорный» номер из моего аккаунта без какого-либо уведомления и согласования. Хотя для этой операции мне рекомендовано обратиться с паспортом в отделение.

Еще раз повторюсь: сотрудники Сбербанка просто РЕДАКТИРУЮТ Ваши контактные данные, завязанные на безопасность аккаунта (логин для управления всеми вашими финансами), БЕЗ какого-либо УВЕДОМЛЕНИЯ клиента.

В ответ на эти действия я составляю очередной запрос:

Добрый день.
В мобильном приложении у меня был привязан дополнительный номер с окончанием**-**. Я обнаружил, что по неизвестной причине этот номер оттуда неожиданно исчез. Я не просил его удалять, сам я эти действия не производил.
Прошу провести служебную проверку и предоставить разъяснение, кто при каких обстоятельствах и на каком основании внес изменение в мои личные данные без моего согласия! Прошу назвать фамилию, имя, отчество и должность сотрудника, осуществившего несанкционированные действия с моими личными данными для привлечения к ответственности, предусмотренной действующим законодательством.
О результатах проверки уведомить меня ответным сообщением для подготовки материалов в надзорные органы для проведения проверки в отношении Сбербанка России, нарушившего условия банковского обслуживания.


Ответ просто фееричен:

… ваше обращение № xxx-yyy-zzz от 27.11.2019 рассмотрено. Вами ранее было оставлено обращение № xxx-yyy-zzz через Сбербанк онлайн по вопросу отражения номера телефона +7********** в мобильном приложении Сбербанк онлайн. В обращении вами указано, что данный номер вам не принадлежит. Банк провел мероприятия по исключению данного номера из ваших контактных данных. Ответ на обращение № xxx-yyy-zzz направлен на Ваш электронный адрес ****@***.*** или обратитесь в офис банка для получения ответа. Добавить номер телефона Вы можете в мобильном приложении Сбербанк онлайн. Сбербанк.


Вывод этого примера очень простой:


Сбербанк в одностороннем порядке может не только менять условия банковского обслуживания (снижать процентную ставку по вкладу, повышать процентную ставку по кредиту – но никак не наоборот), но и в одностороннем порядке менять вам порядок доступа к вашим деньгам, добавлять/удалять мобильные номера для управления аккаунтом и не хранить никаких логов. Соответственно, не нести за ваши финансы никакой ответственности. Ну или хотя бы не стесняться говорить об этом клиентам.

А к чему все это приводит, мы поговорим в следующем материале, где разберем кейсы с телефонным мошенничеством. Почему это затронуло в особенности Сбербанк, я думаю, из текущего материала стало многим очевидно. В том числе поговорим про мошенничество 2.0 – новую версию, о которой пока в СМИ никто не писал. И там будет много любопытного.

Пример 3. Номер телефона сменил пользователя


Как следствие из первых двух кейсов возникает ситуация, с которой сталкиваются тысячи клиентов Сбербанка. Как было сказало выше, мобильный номер – это центральная часть всей связки Сбербанка и клиента. Формально клиент отвечает за то, какой номер телефона он указал. Но что происходит на практике.

Телефонный номер, как многие знают, не принадлежит ни абоненту, ни оператору связи. Да, это распространенный миф – что если у вас есть номер, есть договор на него, то вы его владелец. Это не так. Номер телефона – это ограниченный ресурс, которым владеет государство. И оно поручает операторам связи обслуживать этот ресурс. Абоненты (пользователи) получают во временное распоряжение набор цифр на период действия договора. Не более того. При этом этот набор цифр в силу ФЗ «О связи» может быть в одностороннем порядке заменен у абонента одним росчерком пера руководителя Федерального агентства связи. Сейчас такие истории случаются все реже, но на моей практике было несколько кампаний по смене нумерации у действующих абонентов, в том числе мобильной. И абонент от этих изменений никак не застрахован. Ему просто изменяют номер с уведомлением. Мобильный номер, который является центральным ядром многих цифровых систем. В том числе внутри мобильного банка.

И недавно возникла такая ситуация. Производили аудит одной компании, которая использует порядка 2000 номеров для своих сотрудников: делали сверку расходов, проводили сокращение затрат и оптимизацию, возвращали деньги за «платные подписки» и прочие навязанные услуги со стороны мобильных операторов. И в какой-то момент обнаружили, что на части номеров «привязаны» мобильные банки физических лиц. То есть сотрудники пользовались этими номерами ранее, потом уволились. И сейчас пользуются другие сотрудники. Мы созвонились с бывшими сотрудниками. Оказалось, что они после увольнения якобы меняли номер телефона для входа в Сбербанк-онлайн. И были удивлены, что доступ к их финансам возможен через «старые номера». Оказалось, когда они проходили процедуру «изменения» номера, новый номер не заменялся старым, а всего лишь добавлялся. Старый по-прежнему был активен в Сбербанк-онлайне.

Сейчас Сбербанк изменил процедуру, но для старых пользователей это все осталось по-прежнему. И есть как минимум несколько десятков тысяч граждан (а может и больше), которые и знать не знают, что информация об их финансах доступна третьим лицам. Привязав один раз номер телефона, банк ожидает, что это навсегда. Увы, практика показывает, что это не так.

Можно, конечно, утверждать, что это проблема самих людей. Но вы посмотрите, как люди относятся сейчас к цифровым продуктам, особенно старшее поколение: для них это все становится непонятным и неочевидным. Если раньше были системные администраторы и помогали с настройкой компьютера, то сейчас может быть перерождение этой профессии – настройщик программ для смартфонов. Это все шутки, но проблема действительно важная, ведь она затрагивает огромное количество пользователей. Не пользоваться этими продуктами уже невозможно. Но должного описания и донесения информации, как пользоваться, – тоже нет.

Я считаю, что здесь скорее должны быть введены в действие какие-то регламенты, определяющие порядок использования мобильных номеров в банковских продуктах. Нет, я не сторонник всеобщей регуляции. Но есть моменты, которые нужно очень внимательно изучать. И здесь должна быть совместная работа и банков, и операторов связи, и надзорных органов. Но решение должно быть удобным, функциональным и понятным для всех участников. Иначе мы и дальше будем наблюдать издержки «удобства» банковских продуктов в росте количества мошеннических схем и компьютерных преступлений.

UPD (16 июля 13:20):
Сбербанк решил пойти еще дальше. И буквально вчера прислал мне «поздравление» с днем рождения. То есть мало ему оказалось нарушения банковской тайны — Сбербанк решил нарушить еще и Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. Как далеко зайдет Сбербанк?

Средняя зарплата в IT

111 000 ₽/мес.
Средняя зарплата по всем IT-специализациям на основании 7 247 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 246

    –10
    «Хакер в столовой»
      +17
      Тут и хакерства и не нужно. Сбербанк сам все приносит на блюдечке.
        +5
        Особенно радует как узнать имя и отчество по номеру телефона. Просто начинаете переводить один рубль по номеру телефона и он показывает. Потом можно позвонить незнакомому человеку и сказать «здравствуйте Иван Иванович, я из службы безопасности СБ...»
          +1

          А, так вот как он имя узнал. Теперь понятно. А то я сильно напрягался, откуда разводила мое имя узнал.

            +6
            А потом СБ еще впаривет платную услугу «защита от мошенников». Это за одно является тестом. Если впарили, значит клиент подвержен разводу.
              0

              Помимо страховки "от кражи денег с моей карты", мне, когда я забирал новую зарплатную карту, еще предлагали страховку "от грабежа у банкомата"…

            +1
            А это уязвимость системы быстрых платежей, а не только Сбера. Отчасти из-за этого они долго к ней не подключались, вроде как, пока совсем не прижали их.
              +6
              ИО светилось в Сбербанк Онлайн задолго до появления системы быстрых платежей. В статье еще не упомянули про ситуацию, когда мобильное приложение Сбера сливало на сервера Сбера всю книгу контактов из телефона, на который оно ставилось. После волны воплей это убрали, но я не могу утверждать, что сейчас данные с вашего телефона не сливаются.

              PS: Отсутствием верификации почты и телефона при их привязке к договору страдают многие организации. У меня почта на mail.ru короткая, и я регулярно получаю чужие данные.
                0
                На сколько я помню, Андроид-приложение не будет запускаться, если не дать доступ к книге контактов. По крайней мере, когда настраивал родственникам доступ на этой платформе так и было. Сейчас, интересно, так же?
                  0
                  На андроид я не ставил приложение Сбербанка, а на iOS сидит без прав — Контакты, Геопозиция, Уведомления выключены, и не выпендривается.
                    0
                    Это еще и косяк андроида — надо как-то «дурить» такие приложения. Требует, например, геолокацию — окей, давать фейковую локацию, итд.
                      0
                      С рутом всё возможно.
                        0

                        Сбербанк онлайн на рутованных устройствах не работает, но это не точно

                          +1
                          С рутом всё возможно, в том числе и скрыть рут.
                            0
                            Точнее, работает с ограниченным функционалом.
                              +1
                              у меня работал с рутом, ругался что «не хочу, не могу, не буду», но работал как родной, до тех пор пока я не снес всю эту шелуху с телефона. При острой нужде всегда можно зайти в кабинет через сайт, а мусора в телефоне и без них полно
                                +1
                                У меня сбер для физлиц и сбер для юриков работают на андроиде LineageOS, вместе с рутом и магиском, и сбер специально вынесен в шелтер, чтоб его, вместе с его кашпировским, можно было замораживать и он сам не пытался бы ничего никуда сам слать, и контактов никаих никогда не увидел, и по ФС не смог ничего моего личного нашарить. И никто никогда ни на что не ругался.
                                И полёт более чем нормальный!
                                Вы просто не умеете готовить
                          0
                          Доступ к контактам можно отключить. А доступ к звонкам – нет.
                          Именно поэтому никакого «Сбербанк-онлайн» – только через браузер.
                            0
                            На iOS такого нет. Мда, еще интереснее становится. Да, в таком случае только браузер.
                              +2
                              Именно поэтому никакого «Сбербанк-онлайн» – только через браузер.

                              Сейчас увы все выжимают на приложения. Мегафон вон сначала убрал отображение баланса по *100#, а сейчас и вовсе присылает ссылку на своё приложение. Ненависть.
                                +1
                                Тренды, что поделать. На корп тарифах МегаФона пока баланс работает. Видимо, избирательно отключают функционал.
                                  0
                                  При обращении в ТП они пообещали выключить эту фигню для моей мамы, ибо у неё вообще кнопочный Explay A240.
                                  Вот не знаю правда, как они вообще определяют, кнопочный телефон или нет, и как подделать это на своём, чтобы и у меня такой фигни не было. Правда у мамы ещё не проверял.
                                    0
                                    Мне сказали, что можно послать волшебную бесплатную СМСку «Баланс» на номер 0500. Послал — вроде работает. Но это, конечно, всяко запарнее, чем *100#.
                                      0
                                      Да, так же отписали. И да, действительно геморрой. Поэтому и пишу что выжимают, делая всё больше и больше препонов таким вот «нерадивым» пользователям, которые и приложения не хотят ставить, и тратят на связь на поминутном тарифе 100 рублей в месяц вместо покупки выгодного пакета за 350 минимум.
                                      0
                                      Правда у мамы ещё не проверял.

                                      Фиг там, ничего не сделали. Пойти написать что ли с её аккаунта, а то я со своего вскользь упомянул, может, поэтому не сделали.
                                        +1
                                        Команда *139*3# показывает баланс и не выводит после этого рекламу.
                                          0
                                          Ага. Осталось запомнить и надеяться, что они не введут подписку по этой комбинации через пару месяцев ))
                                        +1
                                        >>Вот не знаю правда, как они вообще определяют, кнопочный телефон или нет
                                        По IMEI определяют. Первые цифры это производитель и модель телефона.
                                          0
                                          Спасибо. Хотя маминому Explay A240 это не помогло. Окей, попробую мимикрировать под какой-нибудь кнопочный, если получится IMEI сменить.
                              0
                              Ну там хоть ограничение есть на количество таких фокусов в сутки.
                            +1
                            Мне уже несколько лет приходит на электронку отчёт по карте некой Натальи. Причём я зарегистрирован в московском филиале, а она на Урале где-то. Писал в Сбербанк. Ноль действий. Так и получаю её все действия — кредиты, оплаты т.д.
                            0

                            Сбербанк огромная машина, с огромными возможностями, но российская, а это значит, что всегда «права» и ошибок не допускает. Помимо основной их деятельности, компания сильно расширяется, (беру, окко, свою црмку сделали), так что может все поменяется. Хотя если была бы конкуренция, давно бы поменялось.

                              +5
                              Конкуренции в банковской сфере в России предостаточно. А вот квалифицированного подхода к решению задач не всегда хватает. Все привыкли, что им все равно на свои личные данные. Банковские, похоже, к этой же истории относятся теперь.
                                +4
                                Ну как сказать — конкуренция слабенькая.
                                Все бюджетники и пенсионеры автоматом уходят, либо сберу, либо втб. На этот счёт ничего не проводится.
                                В потребительском секторе вот там да, есть конкуренция. И то в силу имени сбербанк завлекает большую часть людей за 50. Но в целом будет вытесняться.

                                А надеяться на грамотную обработку в сбере глупо — Греф ни раз говорил, что для него мы все так мелочи. Тут разве что ходить в прокуратуру и писать жалобы.
                                  +6
                                  В любом случае ситуацию я дальше буду доводить до мер реагирования надзора. В материале я пока озвучил официальную позицию банка по этим вопросам.

                                  Все пользователи Сбербанка по сути находятся в зоне риска с такими механизмами уведомлений.
                                    +1
                                    В плане отношения к безопасности — я с вами полностью согласен.

                                    И то что собираетесь доводить до соответствующих служб тоже очень верно. Хотя думаю тут надо с юристами посоветоваться куда лучше писать. Тут может реально лучше сразу в прокуратуру писать заявление.
                                  +2
                                  Если что, Сбербанк по размеру активов больше чем три следующие за ним банка (ВТБ, Газпром, ВЭБ) вместе взятые: www.acexpert.ru/table/tablici-banki/banks2020/reyting-bankov-2019/?table=30239
                                  А по размеру кредитного портфеля для физлиц — больше чем следующие 13 (!) банков вместе взятые: www.acexpert.ru/table/tablici-banki/banks2020/reyting-bankov-2019/?table=30241
                                  Нет у Сбербанка никакой конкуренции.
                                    +3
                                    Вы не путайте понятие конкуренции и занимаемой доли рынка (или активов, если удобно так считать). Это вообще разные экономические понятия.
                                      +3
                                      А я не путаю, я считаю, что в вопросе о конкуренции размер активов у конкурентов Сбербанка гораздо важнее самого количества конкурентов.
                                      Вы упомянули о том, что у Сбера есть конкуренция в ответ на фразу Gary22: «Хотя если была бы конкуренция, давно бы поменялось.»
                                      Если их, как сейчас, 300+, но при этом 70% населения использует Сбербанк как основной, то конкуренция как бы «есть», но ничего не решает. В частности, Сбербанк может косячить как угодно, все равно все клиенты у него останутся — нет мотивации развития. Греф все это делает не из коммерческих соображений.
                                        0
                                        Конкуренция — это фундаментальное состояние. А преференции — это уже другое. В данном случае формально банковский рынок является конкурентным.
                                          0
                                          В данном случае формальная конкурентность рынка не имеет практического смысла и только вводит в заблуждение.
                                            0
                                            Кому как. Если провести аналогию с рынком телекома, то там примерно такая же ситуация. Однако это не мешало в 2000-х драйвить этот рынок многим небольшим компаниям, которые смогли вырасти и занять ниши, несмотря на монополии Б4 и Ростелекома. В итоге мы сейчас имеет одну из самых развитых телеком отраслей в мире.
                                            Аналогично и в банковской сфере.
                                              0
                                              Хех, все верно. И, как и в телекомах, эпоха драйвинга рынка мелкими компаниями и банками заканчивается; они перестают влиять на рынок.
                                              Ну вот что сейчас должен сделать банк размера Тинькова или даже Ренессанса, чтобы откусить хоть сколько-то существенную долю клиентов у Сбербанка?
                                                0
                                                Скажу банальность, но должна измениться экономическая и политическая ситуация. Когда люди перестанут бояться, что банк может просто лопнуть. К крупным банкам сейчас больше доверия. Это, пожалуй, главное стратегическое преимущество крупных банков. Нужна устойчивость финансовой системы в целом.
                                                Так же как и с мобильными операторами. Но при этом рынок ВАТС, например, явно не их — здесь другие игроки рулят. Так что все зависит от ниши внутри рынка.
                                                +2
                                                В то что в нулевых все чердаки были затянуты паутиной витухи от пионернетов сомнений у меня нет — сам был непосредственным участником
                                                А вот пример компании которая смогла бы вырасти и занять хоть сколько-то ощутимую долю рынка на ум не приходит
                                                Нет, разумеется какие-то выжившие конторы смогли развиться и вполне обеспечивают своим владельцам слой икры на бутерброде, но в масштабах рынка — там так и остались монополии РТ, ТТК и большой тройки
                                                Единственный кто выбивается из этого списка — ЭР-телеком, но и то лишь формально поскольку был построен на нефтяные деньги, а не вырос из небольшой компании
                                                Распределение рынка ШПД
                                                image
                                                  0
                                                  Во-первых, рынок не всегда смотрится в масштабах страны. Локальные игроки (до бума M&A) были очень весомые.
                                                  Во-вторых, это совокупные показали. Если смотреть телеком в разрезе типовых услуг (доступ к интернет, мобильная связь, виртуальные атс, облачные сервисы и пр.), то распределением будет иным. И там есть вполне независимые серьезные игроки.
                                                  В-третьих, ЭР-Телеком никуда не выбивается. Это компания с огромными преференциями на региональных рынка (поделено с Ростелекомом).
                                              0
                                              В каком-то учебнике читал: владелец более 30% рынка является монополистом.
                                                0
                                                Вы перепутали монополию и компанию, занимающую существенную долю рынка. За тарифами таких компаний могут начинать приглядывать антимонопольные ведомства. Но это не монополия.
                                            0
                                            Как раз конкуренция это и есть занимаемая доля рынка, когда конкуренции есть — есть монополист коим Сбербанк с 70% акций и является
                                              0
                                              Монополия — это один игрок. Сбербанк не один. Поэтому здесь явно нет монополии.
                                                0

                                                Если говорить теоретически да. Но пускай у нас будет олигополия. Понятно что это такое? Или давайте говорить о фактической монополии с созданием видимости конкуренции (за картельный сговор тоже ведь не просто так карают)...

                                          +1

                                          Вы серьезно? Любая банковская деятельность это 50 процентов сбер. Это если по 19 году. Нет конкуренции, вот и все равно на качество, безопасность и тд.

                                            +1
                                            Вы в истории можете найти множество примеров, когда крупный игрок за пару лет не просто терял долю рынка, но и вообще уходил с бизнес-арены.

                                            Для Сбербанка пока рыночная ситуация выглядит устойчивой. Потому что концентрация капитала в его руках колоссальная. Если вдруг Правительство решит отдать полностью задачи Сбербанка другим банкам, например, ВТБ или ВЭБ, то это повлияет на устойчивость Сбербанка.
                                        +8

                                        В случае со Сбербанком, термины вроде «IT-система» следует брать в кавычки.

                                          0
                                          Они сейчас это называют «экосистемой». Но суть от этого не меняется.
                                          +3
                                          Ещё похожий кейс: пользователь при подключении мобильного банка указал неверный номер (или сотрудник неверно занес). Позиция банка — это моя проблема что у меня похожий номер, а им нет дела до нежелательных СМС и банковской тайны, и отписать они меня не могут т.к. карта не моя, + доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты ¯(°_o)/¯
                                          В итоге посетил несколько отделений и наткнулся на адекватного специалиста, который подсказал как порешать.
                                            +3

                                            И рассказ обрывается на самом интересном месте

                                              0
                                              А там ничего интересного: решилось одним звонком, надо знать куда звонить и что говорить — всё «просто». Подробностей не помню, было лет 5 назад. Может с тех пор догадались СМС с кодом подтверждения отправлять прежде чем подключать мобильный банк?
                                                +1
                                                Нет, все так же. Никаких кодов подтверждения — об этом, собственно, материал. Надо делать подтверждение действий — а Сбербанк этого не делает.
                                              0
                                              доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты ¯(°_o)/¯


                                              Какие доп. проблемы?
                                                0
                                                Типа правовые за то что я чужую карту заблокирую. Мои доводы по образовавшемуся логическому противоречию никак не изменили ситуацию. Но я думаю это было просто личное мнение некомпетентного сотрудника — я это понял и зашел в другое отделение.
                                                  +1
                                                  Типа правовые за то что я чужую карту заблокирую

                                                  Вы имеете полное право чужую заблокировать карту по номеру, просто потому что по правилам МПС вы это можете сделать, если вы нашли потерянную карту на улице и прочитали что на ней написано, а на ней написано что она собственность банка… позвоните по номеру 8 800..., позвонили туда, продиктовали номер и карту заблокируют как утерянную
                                                  фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках
                                                    +1
                                                    Я так примерно и думал, последние 4 цифры карты в каждой СМС приходили — вроде их достаточно для блокировки. Но на эту карту пенсия приходила — не хотелось проблем пожилому человеку создавать.
                                                      +1
                                                      фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках

                                                      т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать? Ну, это прям сильно. Реально. Пора вешаться? Или предлагать мне счет по номеру телефона?

                                                        +2
                                                        т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать?

                                                        да, именно так. Это фишка МПС для блокировки утерянных карт.
                                                        Пора вешаться?

                                                        это уже по желанию
                                                        Или предлагать мне счет по номеру телефона?

                                                        не портить отношение с коллегами которые могут так сделать
                                                        у нас так пара человек-шутников с работы вылетело, решили поприкалываться над коллегами и заблокировали им карты когда они ушли обедать, и разблокировали когда они вернулись типа «хз чето глюкануло» (в то время было без проблем было заблокировать-разблокировать без особых последствий и какихто заявок....pci-dss тогда не было еще… веселые времена)
                                                          0

                                                          Мне в сбере по телефону как-то сказали: мол, вы свою карту на сайте чужом вводили, они не просто с вас сумму списали, но и решили делать это регулярно (оформили подписку мне) — так вот мы как банк никак это не отслеживаем, мошенничеством это не считаем, отписаться от таких подписок можно, разве что, сменив карту.


                                                          Ну да, «бану всегда за клиента», вы поняли. Позиция уровня «моя хата с краю», и полное отсутствие четкого управления ситуацией для клиента.


                                                          Впрочем, это не только к сберу вопросы: вопрос, что какой-то сайт, не спросив меня, с раз введенной карты деньги может/будет снимать не один раз, а повторно, никак банками не считается некорректным. «Вы сами ввели номер карты», а что не было выбора «один раз или повторно» — какому банку это важно?

                                                            0

                                                            Вообще-то (по крайней мере для меня) это форд и мошенничество. А если этот сайт третьим лицам передаст реквизиты, то тоже можно, что ли, списывать деньги?

                                                              0
                                                              «Вы сами ввели номер карты», а что не было выбора «один раз или повторно» — какому банку это важно?

                                                              Есть как минимум один банк с которым была следующая ситация:
                                                              — Пишу в поддержку (в чат) что не могу их карту отвязать от билайна (которым уже не пользуюсь но денег тоже не берут) никакими средствами (хотят код которого у меня нет и который билайн же не прислал)(возможно вариант с походом в салон — сработал бы). Поддержка билайна посылает в банк.
                                                              — Банку было все это описано, сотрудник сразу спросил согласия на перевыпуск карты по компроментации и предложил согласовать встречу с курьером с новой картой. Денег мне этот внеплановый перевыпуск не стоил.
                                                              Если что — это Тиньков.

                                                            0

                                                            Наверное такая практика есть в нормальных банках, в Сбербанке же на сообщение о найденной карте отвечали выбросить её в мусорку или разрезать. Несколько разных операторов. Никаких данных даже спрашивать не стали.

                                                            +2
                                                            Никаких проблем не будет. Я лично при получении чужих данных отправляю в службу поддержки источника данных сообщение, что «уберите мой адрес/телефон из профиля, если же сообщения в мой адрес будут направляться и дальше — я буду считать их направленными лично мне и оставляю за собой право использовать получаемые данные по своему усмотрению, включая публикацию в СМИ.». И после этого обычно рассылка прекращается…

                                                            Несколько раз блокировал чужие карты, привязываемые к моему телефону. Тоже мера действенная, хотя один раз попался настойчивый, но неразумный товарищ, который 3 раза разблокировал карту ;) И не лень ему было в отделение бегать.
                                                          0
                                                          доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты

                                                          И какие проблемы обещали?
                                                          А если даже к ним не обращаться а сразу блокировать карту?
                                                          Номер телефона кому принадлежит? Уж точно не сбербанку
                                                            +1
                                                            Уже всё обсудили — смотрите обсуждение в ветке того коммента чуть выше)
                                                          +3
                                                          Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну.
                                                          Отличие может составлять в одной букве: r и n.
                                                          Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.

                                                          Логов не ведёт, зато состояние сохраняет будь здоров.


                                                          У меня ситуация была обратная — Сбербанк слал мои данные неизвестно кому, потому что сотрудник при вбивании анкеты перепутал две рукописные английские буквы (да, похожи).


                                                          Через небольшое время я заметил неправильный адрес в профиле сбербанк-онлайна и исправил его.


                                                          А ещё через какое-то время адрес сам исправился обратно на оригинально вбитый с ошибкой.
                                                          И это я заметил уже совсем не скоро.


                                                          Исправил снова, пока держится. Официальное обращение "какого фига это произошло" не принесло никакого результата. "Адрес был актуализирован ранее".

                                                            +2
                                                            Вот и мне до сих пор присылают из-за ошибки. По поводу изменений — это и есть в том числе источник слива данных. За ними никто не следит. Доступ к ним, похоже, имеют вполне «левые» люди.
                                                              0
                                                              Ответ на вопрос «Какого фига и что именно у вас случилось/сломалось» вообще практически всегда остаётся без ответа :( не только в случае сбера.
                                                              +1
                                                              Вы ведь не купили у них услугу «Страхование банковских карт», значит за все дыры банка ответственность несет сам клиент. Меня пару месяцев назад мошенники пытались развести, звонок в банк ответил робот, написал в поддержку снова дебил робот ответил. Сбербанк все больше и больше к своим клиентам относится стремно. Проценты на транзакции уже начисляют даже за плату товаров, не хилый такой оброк поверх НДС и НДФЛа.

                                                                +1
                                                                Сбербанк все больше и больше к своим клиентам относится стремно.

                                                                Именно поэтому я 10 лет назад ушел из Сбербанка.
                                                                Но пенсию получаю в нем, но не на карточку, а на сберкнижку.

                                                                  +1
                                                                  Сбербанк же курирует направления развития Искусственного интеллекта. Вот результат их работы.
                                                                    +3

                                                                    Почитайте условия того "страхования". Оно ничего реально не страхует.

                                                                      0
                                                                      Вы знаете сколько на свете людей, которые «Случайно куда-то нажали и всё исчезло»? Если таким людям каждый раз будет отвечать человек, ты вы в очереди будете сидеть по 30 минут. Не надо обижаться на автоответчик. Попробуйте набрать 0. Не знаю как в Сбере, но бывает. что 0 соединяет с оператором.
                                                                        0
                                                                        Уже не соединяет через 0. Все на голосовом помощнике
                                                                          0
                                                                          Иммитирую разваливание голосового кодека («булькаю» в микрофон) — на второе бульканье соединяет с оператором.
                                                                            +3
                                                                            Я прошу обычно взять какой-нибудь интеграл или возвести что-то в степень на вопросе: «Если я не отвечу на ваш вопрос, то соединю с оператором». Мне кажется, этот голосовой бот — самая бесполезная штука в Сбере (зато ЦРТ купили).
                                                                              0
                                                                              Оно после этого часто просит назвать вопрос, по которому с оператором надо соединить.
                                                                                0
                                                                                а потом говорит, что он вместо оператора теперь
                                                                                +1
                                                                                полезность понятие оч относительное :)
                                                                                Вот Вам — бесполезная, а сберу — очень даже наоборот!
                                                                                Просто у вас и сбера цели разные.
                                                                                  +1
                                                                                  Вообще сервисные компании отталкиваются от интересов и потребностей клиентов. Но им виднее, конечно.
                                                                                    0
                                                                                    Не совсем. У них интересы частично совпадают (и за счет этого они сотрудничают), а частично противоположны. Клиенту всегда выгодно получить максимально высокий (и дорогой) сервис. Поставщику сотрудничество выгодно, пока расходы на сервис заметно ниже доходов. Симпатия клиента, которая стоит дороже, чем клиент приносит — никому не нужна.
                                                                              0
                                                                              Спросите у автоответчика период полураспада Грефа. сразу переключит.
                                                                            0
                                                                            Вы ведь не купили у них услугу «Страхование банковских карт», значит за все дыры банка ответственность несет сам клиент.

                                                                            это неверно. Скажем так — понятно, почему банк навязывает эту услугу, почему возврат денег без нее будет существенно сложнее. Все-таки банк хочет деньги зарабатывать. Но вообще должны быть понятные правила регуляции на этот счет ) и потребитель не должен страдать.

                                                                            +2
                                                                            Заявление в прокуратуру и ЦБ РФ где? Практически ни одна организация не будет ничего делать, пока на нее не пойдут штрафы. Точнее руководство может и не узнать, что у них есть проблема, нижнее звено просто забьет на передачу данных наверх.
                                                                              +5
                                                                              Я не являюсь лицом, чьи интересы здесь были нарушены. Я написал письмо владельцу карты с предложением помочь в написании такого письма. Но он не отреагировал. Я не могу за него написать.

                                                                              По поводу номера телефона материалы в ЦБ уже подготовлены.
                                                                                +1
                                                                                Вы не совсем правы.

                                                                                Вы можете писать в любые органы. Важен не факт нарушения чьего либо интереса, а сам факт нарушения.
                                                                                  +2
                                                                                  Не всегда это верно. Есть процессуальные моменты. Не к каждому типу правонарушения это применимо.

                                                                                  Мне будет сейчас достаточно, если банк хотя бы оперативно отреагирует на проблему и устранит это.
                                                                                    +1
                                                                                    Прошлой осенью я нашёл свои (и ещё несколько сотен) паспортных данных в интернете. Один банк позволял поисковикам индексировать конфиденциальные документы.
                                                                                    На мою жалобу в Роскомнадзор я получил ответ «лично вы не пострадали, а остальные пусть сами пишут».

                                                                                    Не всегда люди с горячим сердцем стремятся карать нарушения.
                                                                                      +2
                                                                                      Аналогичная была история — писал такую же жалобу. Такой же «ответ» получил.
                                                                                –1
                                                                                (про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу – желающие могут сами найти полный текст закона и увидеть это).


                                                                                оперативно-рАзыскная деятельнось — корректное написание. В приставках роз/раз без ударения пишем «а».
                                                                                  +4
                                                                                  Можно было бы согласиться, если бы не Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 02.08.2019) «Об оперативно-розыскной деятельности»
                                                                                    –2

                                                                                    К сожалению, законы не всегда проходят верификацию и вычитку сотрудниками института русского языка ((( соответственно, действительно могут быть вариации в написании, но в чем я поддержку коллег — если термин определен как "абракадабра" (вне зависимости от корректности с т.з. грамматики/орфографии или смысла слова), то он должен и везде так писаться.


                                                                                    Касательно "оперативно-розыскной" сам был удивлен, что нормативное написание "оперативно-разыскной" (проверочное слово розыск? А ВОТ ФИГ ТАМ!) Руськая езыг такая сложный )))))

                                                                                      +1

                                                                                      разыскивать :)

                                                                                        +1
                                                                                        Но при этом «розыск», а не «разыск».
                                                                                          0
                                                                                          del
                                                                                          что-то в комментах уже написали про это
                                                                                            0
                                                                                            Ударением проверяется гласная в корне слова, а раз-/роз- является приставкой. Корень тут -иск-. Как в глаголе «искать».
                                                                                              0
                                                                                              Вопрос этимологии слова. Смотря как его рассматривать.
                                                                                        +2
                                                                                        Можно было бы согласиться, если бы не Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 02.08.2019) «Об оперативно-розыскной деятельности»

                                                                                        Тут на днях (году этак в 2004-м) были опубликованы новые нормы русского языка. В частности, была подкорректирована орфография. По новой норме написание «разыскной» — верное, членение слова на составляющие — приставка «раз», корень — «ыск».
                                                                                        До того (и в 1996 году тоже) действовали другие правила: правильным считалось написание «розыскной», корень — «розыск».

                                                                                        Можно спорить, нравится вам новая норма или нет. Но тем не менее написание в документе верное.
                                                                                          –2

                                                                                          Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы. Ну, и как нормы приняли, так их и откатили. Ну, как с временными зонами (реформа Медведева). Или как с "обнулением".


                                                                                          «кофе — теперь оно» — не единственное изменение в норме русского языка.

                                                                                          в гробу я это видел. Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения. Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать ) глядишь иностранцы потянутся в РФ /сарказм/

                                                                                            +1
                                                                                            Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.

                                                                                            При чем здесь я-то, собственно? Языковая норма фиксирует сложившееся положение вещей и служит унифицирующим и стабилизирующим фактором.
                                                                                            А после принятия нормы она становится, цитирую википедию: «обязательна для употребления в научных, справочных и учебных изданиях, а также в периодической печати».

                                                                                            Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения.

                                                                                            О, вы знаете, какие изменения в языке хорошие, а какие плохие? Я вот не знаю.

                                                                                            Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать )

                                                                                            Радость, радость! Ваш голос уже услышан. Именно в этом направлении и двигают сейчас языковую норму.
                                                                                            В частности, обсуждаемый нами «разыскной» раньше был словом-исключением: везде без ударения писалась приставка «раз», а здесь — «роз». Да еще и считалась не приставкой, а частью корня. Сейчас же академики услышали глас народа и упростили норму, убрав ненужные исключения.
                                                                                            Правда, здорово? :)
                                                                                              0
                                                                                              При чем здесь я-то, собственно?

                                                                                              к Вам лично никаких претензий


                                                                                              Правда, здорово? :)

                                                                                              увы, но нет

                                                                                              0

                                                                                              А зачем ломать голову? Зачем усложнять людям жизнь? Или вам нравится чувствовать себя выше других, потому что вы орфографию лучше знаете?
                                                                                              Если в языке станет меньше WAT'ов — жить станет лучше всем.

                                                                                                0
                                                                                                Если в языке станет меньше WAT'ов — жить станет лучше всем.

                                                                                                WAT'ов не станет меньше, а только больше. Т.к. чтобы уменьшить количество WAT'ов, надо уменьшить объем до лексики Эллочки-людоедочки.
                                                                                                Кстати, меня в кои-то веки просто убила "логичность" правила расстановки кавычек при прямой речи в русском языке. Вот этот раздел — "Слова автора внутри прямой речи"
                                                                                                http://lingvotech.com/znaki_prepinaniya_pri_pryamoy_rechi


                                                                                                Ну, а что — давайте еще пунктуацию упростим до абсолютного минимализма, фигли WAT'ы плодить. Но я к этому не призываю — проще уж выучиться ))))

                                                                                                  +1
                                                                                                  чтобы уменьшить количество WAT'ов, надо уменьшить объем до лексики Эллочки-людоедочки


                                                                                                  Не обязательно. Можно еще количество слов оставить, а правила сделать без исключений.
                                                                                                +1
                                                                                                Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.

                                                                                                Предлагаю пойти дальше. Вешаем каждому человеку миелофон. Изучаем как люди думают, кристаллизуем нормы мышления и начинаем учить людей думать правильно.

                                                                                                Если вам кажется что это бред — ну не больше, чем учить носителей языка языку.
                                                                                            –1
                                                                                            Вот только здесь не приставка, а корень.
                                                                                              +2
                                                                                              Розыск: роз — приставка, ыск — корень (от искать).
                                                                                                +1

                                                                                                Вопрос дискуссионный:
                                                                                                розыск, поиск, искать — однокоренные?
                                                                                                Заискивать? Сыск? О, и далее — сыщик, ищейка? С чёртовым чередованием.
                                                                                                Или корень сросшийся с приставкой ?

                                                                                                  +1
                                                                                                  Поздно дискутировать, новые нормы уже приняты и рекомендованы к использованию. Да-да, то самое пресловутое «кофе — теперь оно» — не единственное изменение в норме русского языка.
                                                                                                    0
                                                                                                    А причём здесь новые нормы? 20 лет назад в школе нас также учили «разыскать» и производные от него.
                                                                                                      +2
                                                                                                      20 лет назад «разыскать» и производные писалось через а, но «розыскной» было исключением и писалось через о. Новые нормы упразднили это исключение, и теперь «разыскной» подчиняется тем же правилам, что и другие производные от «разыскать».

                                                                                                      ЗЫ: Забавно, кстати: проверка орфографии в фаерфоксе о новых нормах не в курсе. «Разыскной» подчеркивает красненьким, «розыскной» пропускает.
                                                                                              +1
                                                                                              Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email

                                                                                              Извините, но Вы точно в этом уверены? А если злоумышленник подтвердит e-mail? e-mail должен подтверждаться с двух мест: с e-mail (что он вообще существует и валиден, без привязки к владельцу) и с sms (в смске точно указано, что "клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты").


                                                                                              Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).

                                                                                              с трудом представляю, как это должно выглядеть. В теории у меня интернет банка может и не быть, а я хочу уведомления на имейл… Телефона должно быть достаточно для подтверждения (мы все помним про перехват SS7, но это вообще отдельная история)

                                                                                                0
                                                                                                Я же указал, что подтверждение валидно только в привязке к личному аккаунта для исключения подтверждения злоумышленником. То есть двухэтапно. Можно к смс или звонку еще привязать. Неважно. Главное — что это должно быть. А не просто внесение данных (в том числе с ошибкой).
                                                                                                  0
                                                                                                  То есть двухэтапно.

                                                                                                  ок, принято, спасибо, что развили свою мысль


                                                                                                  А не просто внесение данных (в том числе с ошибкой).

                                                                                                  полностью согласен. Хорошо. Тогда вопрос. Требуется изменение данных в банке. Например, ошибочных. Чего делаем? Как строим алгоритм? Звонка в техподдержку с идентификацией себя по кодовому слову/паспорту/anything else не будет достаточно? Потому что в этой парадигме надо отбирать у техподдержки и операторов (включая сотрудников клиентской зоны) все возможные права. Ну, разве что оставить возможность блокировки карты… Хотя даже ею можно кому-то навредить...

                                                                                                    0
                                                                                                    В офисе: девушка вносит данные. Распечатывает форму из программы с изменениями. Вы подписываете. Одновременно с этим Вам поступает email с ссылкой для подтверждения (девочка при вас нажимает кнопку для формирования проверочной ссылки). Вы переходите по ней. На третьем шаге можете ввести код из смс/звонка/пуша (какой тип авторизации и информирования выбран).

                                                                                                    Удаленно: в ЛК изменяете данные. Далее по алгоритму после формирования ссылки.
                                                                                                      0

                                                                                                      В офисе — согласен, нравится.


                                                                                                      Удаленно — не нравится, нет ЛК, нет интернета. Давайте более конвенциональный способ (ну, хз, через автоматизированную систему по телефону — как у ситибанка, например)

                                                                                                        0
                                                                                                        Если у вас нет интернета, то и email вам ни к чему) как появится — тогда и приходите для верификации. Без интернета как вы email активируете?
                                                                                                          0

                                                                                                          Рассмотрите вариант — я нахожусь в деревне, где 3g еле-еле душа в теле. Хотя и почта рабочая у меня есть, и я ею активно пользуюсь в городе. Но взломать-то мой счет могут в любой момент (?), а смс уведомления пролезают. Ну, или что-то подобное — у старшего поколения тоже есть e-mail, но при этом с собой они носят телефоны уровня нокии ) без интернета и почтового клиента. И только не апеллируйте к тому, что в офисе банка обязательно есть компьютер с открытым банк-клиентом ))))

                                                                                                            +1
                                                                                                            Вы хотите отнять весь хлеб у архитекторов Сбербанка?
                                                                                                            Без верификации email подтвердить email нельзя. Это аксиома.
                                                                                                              0
                                                                                                              Почта работает и на 300 бод.
                                                                                                              А учитывая мобильные-клиенты, можно и на 2g верифицировать.
                                                                                                                0
                                                                                                                Почта работает и на 300 бод.

                                                                                                                уже нет. Вы где видели голый SMTP/IMAP (даже пускай и с шифрованием)? Да, я знаю, что в том же GMAIL или Яндекс можно включить эти конвенциональные протоколы, но все крупные SaaS сервисы не рекомендуют это делать (1) и по этим протоколам все работает просто омерзительно (2). Я, честно, думал, что смогу настроить произвольный почтовый клиент и удобно пользоваться GMAIL, так пес там был — у них там очень хитрая история с "метками", которые криво маппятся в "папки", ну, и дальше пошло-поехало — начина от странных глюков с отображением непрочитанных прочитанных (и их количества) и кончая глюками при перетаскивании писем между папками. А то, что при отправке письма, его надо одновременно слать по SMTP и IMAP, чтобы оно оказалось в папке "отправленные" — это ваааааще пять
                                                                                                                В остальном — да, почта, конечно, работает и на 300 бод… Я уж не говорю, что там обычно какой-нибудь uucp надо использовать, а то smtp/imap, я как-то не помню, чтобы поддерживали докачку при обрыве связи

                                                                                                                  0
                                                                                                                  ~$ mail
                                                                                                                    +1
                                                                                                                    даю на водку:
                                                                                                                    arxont@kurwastar ~ $ mail
                                                                                                                    No mail for arxont

                                                                                                                    При этом почта на меня есть, но mail её никогда не сможет увидеть. И да, почта не виртуальная ни разу.
                                                                                                                    Вопрос: в какой формат хранения почты mail не умеет?
                                                                                                                      +1
                                                                                                                      Вы видимо занимаетесь буквоедством, не пытаясь понять сути.

                                                                                                                      Если вы регулярно бываете в такой жопе, где связь 1200 бод, и вы называете себя айтишником, вы можете настроить себе такую почту, которая будет работаьт на 1200 бод. Для этого нужно просто постараться.

                                                                                                                      Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap. Тот же mutt уже давно Imap поддерживает.

                                                                                                                      А если он работает по imap, то им можно пользоваться изредка, не мешая работе любого другого клиента, которым вы пользуетесь в обычной ситуации.
                                                                                                                      Сделал себе виртуалку с mutt, подключился по ssh, почитал.
                                                                                                                        0
                                                                                                                        Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap.

                                                                                                                        Вы все на свете смешали в кучу. Если есть имап, то клиент может быть любой — хоть текстовый, хоть графический. Это уже не столь важно. Но если имап работает не очень, то, повторюсь, придется забирать почту другим способом. Но это уже забытое знание практически )
                                                                                                                        Или Вы предлагаете на удаленном хосте, скажем, по ssh, через текстового клиента оперировать? Но Вы же понимаете разницу между локальной почтой и почтой "где-то"?


                                                                                                                        Сделал себе виртуалку с mutt, подключился по ssh, почитал.

                                                                                                                        Дополнили-таки ответ, ну, ок. См выше замечание про "локальную" и "удалённую" почту.

                                                                                                                          0
                                                                                                                          Но Вы же понимаете разницу между локальной почтой и почтой «где-то»?

                                                                                                                          В офисе: девушка вносит данные. Распечатывает форму из программы с изменениями. Вы подписываете. Одновременно с этим Вам поступает email с ссылкой для подтверждения (девочка при вас нажимает кнопку для формирования проверочной ссылки). Вы переходите по ней. На третьем шаге можете ввести код из смс/звонка/пуша (какой тип авторизации и информирования выбран).


                                                                                                                          Давайте поймем разницу, зачем вообще вам понадобилась почта. Не так часто возникает необходимость воспользоваться такой услугой.
                                                                                                                          Но для единоразового получения кода подтверждения?
                                                                                                                          ssh на удаленный сервер, чтобы посмотреть код подтверждения БОЛЕЕ чем достаточно.
                                                                                                                          Также для такой нечастой операци, можно временно посетить места, где интернет получше.
                                                                                                                            0

                                                                                                                            Если вы подписываете документы в офисе, то причем тут ситуация с 3000 бод? Мы же этот вариант подтверждения рассматривали? Вряд ли подтверждение имейла будет действительно более пяти минут, часа, суток?
                                                                                                                            Если же надо заблочить карту или как-то ещё дать понять банку, что экстренная ситуация, то там попросту не до почты? И нужен обычный способ подтверждения.


                                                                                                                            Смотрите. Чего это я вас донимаю. Я именно тот везучий человек, на котором регулярно ломаются скрипты. В результате попадаю в какую-то тупиковую ветку и приходится тратить очень много энергии на решение проблемы (ситуации) с техподдержкой, иногда вплоть до эскалации на ЛПР. Ну, нет цели у сервисов обеспечивать цельный, удобный, качественный сервис.


                                                                                                                            Касательно почты у меня появилась идея, что все не так страшно. Банк же может слать выписку архивом под паролем. Следовательно, с одной стороны — письмо улетает, да и пофиг, но третье лицо содержимое прочесть не может. Профит?

                                                                                                                          0
                                                                                                                          Кхем, вы когда-нибудь пытались пользоваться интернетом, когда скорость около 2400 Бод при потерях 30-40% трафика? Я пользовался и прекрасно знаю что это такое.
                                                                                                                            0
                                                                                                                            я пользовался когда скорость была 300 бод, медленнее модемов не помню.
                                                                                                                            Именно в то время и приходило понимание, что лучше шеллом посмотреть письма на удаленном сервере, на котором связь хорошая, чем долго качать себе письма, с обрывами и ретрайнами.
                                                                                                      +1
                                                                                                      "клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты"

                                                                                                      Какое SMS? Этот способ "авторизации" давно удавить пора.
                                                                                                      Сообщением в приложении: "для подтверждения приложите вашу карточку к телефону и введите пароль из присланного на email письма"


                                                                                                      Карточка и телефон, разумеется, NFC уметь должны. И то и то сейчас уже стало достаточно дешевым. А если не умеют — предложить клиенту ридер карты/генератор одноразовых паролей. Тоже стоимость при массовом производстве рублей 200.

                                                                                                        0
                                                                                                        Какое SMS? Этот способ "авторизации" давно удавить пора.

                                                                                                        согласен, но у нас тут речь за какую-то гибкость. Чтобы даже бабушка с нокией могла относительно безопасно пользоваться услугами банка. Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне? Или вживлять NFC чипы в руку?


                                                                                                        Насчет того, что SMS не является вторым фактором в курсе — об этом и моя приписка в скобках.

                                                                                                          0
                                                                                                          Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне?

                                                                                                          Так в контексте банков большая часть токена (защищенное хранилище и микропроцессор) уже есть — это чип на карточке. Карточки без NFC тоже постепено пропадают и заменяются. Так что нужно именно ридер в форм факторе калькулятора для общения со всем этим. Который да, именно раздать можно. Тем более что при должной стандартизации он один на все карточки потребуется.

                                                                                                          0
                                                                                                          Сообщением в приложении

                                                                                                          Спасибо не нужно мне их вирусное приложение.
                                                                                                            +1

                                                                                                            Ну вирусное, что поделать.
                                                                                                            Давно уже понятно, что банковские приложения должно жить на собственном смартфоне, где кроме них ничего нет. Сам телефон без SIM-ки и включается только тогда, когда этими приложениями пользуешься.
                                                                                                            При таком использовании от этой вирусности вреда мало.

                                                                                                              0
                                                                                                              Да походу почти каждое приложение пора переселять на отдельный смартфон.
                                                                                                                +1

                                                                                                                Кубернетес для кластеров телефонов потом ещё запилить.

                                                                                                                  0
                                                                                                                  Башевское облако в штанах скоро походу станет реальностью.
                                                                                                        +1

                                                                                                        Название сервера интересное.
                                                                                                        "Цероклис — божество злаков и урожая.
                                                                                                        В материалах XVII века говорится о жертвоприношениях этому богу животных — черного быка, курицы, поросёнка, а также об обычае оставлять в лесу у дуба два куриных яйца и при еде бросать на землю первый кусок и проливать немного питья. С культом Цероклиса связывают обычай выпечки большого хлеба в форме змея с открытой пастью и поднятым хвостом, а также хлеба в форме свиньи или собаки."

                                                                                                          0

                                                                                                          Ну а вообще в сбере много долгоиграющих косяков.


                                                                                                          1. Возможность востановить доступ в сбол по просроченной или заблоченной карте.
                                                                                                          2. Косяки с синхронизацией настроек между сбол и мобильной версией. Например лимиты на операции.
                                                                                                          3. Логически дырявая идентификация пользователя по повсеместно навязываемой биометрии.
                                                                                                          4. Во время "технических" работ все профиля настройки могут сами сбросится на час и более, потом вернутся. Вы об этом узнаете случайно.
                                                                                                            +2

                                                                                                            Как давний обладатель прикольного имени на мейл.ру, подтверждаю: глупые человеки часто указывают левую почту при разных критических операциях. Иной раз руки чешутся отменить кому-нибудь билет или вернуть товар продавцу.

                                                                                                              +2
                                                                                                              asdasd@mail.ru, это ты?
                                                                                                                0

                                                                                                                Ха, не. У меня имя — я тезок собираю в основном.

                                                                                                              +1
                                                                                                              Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной.

                                                                                                              Нет, всё гораздо хуже — Сбербанк регулярно пересылает сведения, охраняемые банковской тайной, ПО ОТКРЫТОМУ КАНАЛУ (надеюсь, на хабре никому не надо объяснять, что email именно таковым и является) — а тот факт, что эти данные оказались у Вас — это уже частность/следствие.

                                                                                                                0
                                                                                                                Если пользователь сам согласился, чтобы ему отправляли отчёты на емейл это его право. Чисто технически мне вообще ничего не мешает каждый день делать скриншот в мобильном банке и постить в «стори» в инстаграмме, а на страничку во ВКонтакте/фейсбуке выложить скан своей медицинской карты с информацией о любых заболеваниях. И это не будет нарушением банковской и медицинской тайны соответственно.

                                                                                                                У меня есть несколько карт в сбербанке, на одну из них мне приходит зарплата. Никаких емейлов с информацией о движении средств нет. Скорее всего в договоре была какая-нибудь хитрая галочка, которую поставил/забыл поставить клиент при получении карты. А это равносильно тому, что описано в предыдущем абзаце. Да, можно рассуждать о старшем поколении и т. д., но скорее всего формально банк ничего не нарушил.
                                                                                                                  +1
                                                                                                                  Чисто технически мне [...] И это не будет нарушением банковской и медицинской тайны соответственно.

                                                                                                                  Ключевое слово — "мне". Вы можете со свой информацией делать что угодно, а вот банк — нет. Мне время от времени приходят (настоящие) емейлы от моего банка — "мы Вам тут безопасное сообщение прислали, зайдите в свой ЛК на сайте банка, чтобы прочитать".

                                                                                                                  +1
                                                                                                                  надеюсь, на хабре никому не надо объяснять, что email именно таковым и является

                                                                                                                  Вроде как давно есть шифрование при пересылке. И если сервер свой, то это достаточно безопасно. Любой публичный да, будет читать почту как минимум алгоритмами антиспама, а скорее рекомендательными для рекламы.
                                                                                                                    0
                                                                                                                    Вроде как давно есть шифрование при пересылке.

                                                                                                                    Как у нас говорят, "Вроде. Числе и падеже." Заголовки письма — это чистейший незашифрованный текст (а иначе как к ним новые строки добавлять?); тело письма — передаётся один в один как есть (ну, с небольшими исключениями — типа, оно должно состоять из печатных символов; для всяких уникодов и передачи аттачментов придуманы MIME-обёртки, uue, base64). То есть если отправитель его зашифровал — то да, но я ни одного из таких отправителей за 20 лет не встречал.

                                                                                                                      0
                                                                                                                      я дурак или размышлизмы

                                                                                                                      Я вообще думал, что это на уровне протокола должно было быть )
                                                                                                                      Типа есть домен получатель (MX) и сервер отправитель. В домене, привязанном к серверу получателя, публикуется ключ шифрования (ну, хз, как TXT запись). На самих серверах домена получателя раскидан ключ расшифровки. Сервер отправитель зашифровывает ТЕЛО письмо открытым ключом, отправляет — все безопасно, никто не может тело расшифровать. Сервер получатель раскрывает тело и своему пользователю отдает уже расшифрованное письмо. Сплошной профит, не ?

                                                                                                                        0

                                                                                                                        Протокол SMTP не менялся года так с 1990 — только наращивался дополнительными надстройками, вроде тех же MIME — потому что DHS не велит обратная совместимость.


                                                                                                                        Сервер отправитель [...] Сервер получатель

                                                                                                                        Нет таких понятий как "сервер-отправитель" и "сервер-получатель", есть только одноранговые сервера, каждый передаёт следующему (определяя тем или иным способом, кто будет "следующим", то есть имеет наилучшие шансы доставить письмо именно тому, кому надо — у некоторых есть для этого таблицы; некоторые берут из DNSовских MX, и т.п.), пока один из "следующих" не скажет "о, да это же мне"! (в смысле зарегистрированному на мне юзеру). Именно для этого каждый и должен иметь возможность прочитать заголовок (и дописать в него строчку "это вася.ком, это письмо пришло ко мне в 12:34:55, и я его передаю пете.ком в 12:35:12").


                                                                                                                        P.S. Кстати, именно из-за конфликтов конфигурации иногда (в последнее время — исчезающе редко) возникали ситуации, когда письмо отлупляется по превышению количества хопов — "вася.ком: я не знаю точно, кому это письмо, перешлю-ка я его пете.ком; петя.ком: я не знаю точно, кому это письмо, перешлю-ка я его васе.ком", "и так восемь раз".

                                                                                                                          0

                                                                                                                          Да, я про mx в курсе. Про заголовки — так я же сказал — шифруем только тело, без заголовков, чтобы не ломать маршрутизацию. Я уж не говорю про то, что протокол в таком виде, как описываете, не позволяет проверить аутентичность отправителя. А шифрование на уровне клиентов, Вы опять правы, не очень популярно. Как минимум, потому что оно неудобное. Имеем то, что имеем (((

                                                                                                                        0
                                                                                                                        Эм, а ничего, что все эти незашифрованные тексты сто лет как передаются по зашифрованному TLS?
                                                                                                                        Я вот начал с заголовков в рандомном письме из моего ящика и закончил чтением RFC 3848. Выглядит вполне себе надёжно, хоть и не топчик:
                                                                                                                        using TLSv1.2 with cipher ECDHE-RSA-AES128-SHA256 (128/128 bits)
                                                                                                                        То есть канал вполне себе закрытый, сообщение видят только оконечные узлы.
                                                                                                                          0

                                                                                                                          Это вам не хттпс ) я так понимаю, что в почте тлс только между клиентом-сервером и, если повезёт, между серверами тоже. Но вот каждая передача идёт между каждой парой узлов со своими шифрами. Поэтому такое себе.

                                                                                                                            0
                                                                                                                            Думаю сейчас все адекватные сервера шифруют передачи между собой вполне надёжными протоколами уровня TLSv1.2. Хотя нет, я посмотрел ещё парочку писем, техподдержка R01 присылает письма с TLSv1, а один уникум с личного судя по всему сервера прислал в TLSv1.3.
                                                                                                                            Выделилась только Почта России, присылая письма по гольному SMTP, даже без E.
                                                                                                                            Но вот каждая передача идёт между каждой парой узлов со своими шифрами.

                                                                                                                            А разница?
                                                                                                                            Кстати, а путь прохождения ведь отпечатывается в заголовках письма? Просто везде, где бы я не смотрел, по сути письмо путешествует (у некоторых) по внутренней сети, приходит на внешний гейт почтового сервера, и путешествует уже там. В итоге передача через интернет только одна, всё остальное происходит во внутренних сетях.
                                                                                                                              0
                                                                                                                              Просто везде, где бы я не смотрел, по сути письмо путешествует (у некоторых) по внутренней сети, приходит на внешний гейт почтового сервера, и путешествует уже там.

                                                                                                                              это правильная архитектура, ага, просто "внутренняя сеть" точно так же может быть не очень доверенным периметром, в частности, когда вы стоите в каком-нибудь чужом ЦОДе. И вообще термин "внутренняя сеть" это очень опасно ) NAT & firewall не являются достаточными условиями надежной защиты — я тут случайно ликнул роуты у себя и привет безопасность — внутренняя сеть вылилась наружу вообще без каких-либо проблем ((( Глупая, детская ошибка.


                                                                                                                              Кстати, а путь прохождения ведь отпечатывается в заголовках письма?

                                                                                                                              так точно, но это по стандарту. По факту почтовики могут заголовки менять и резать.

                                                                                                                                0
                                                                                                                                в частности, когда вы стоите в каком-нибудь чужом ЦОДе

                                                                                                                                Везде, где я смотрел, это именно внутренняя сеть, яндекса там, или какого сервиса. Явно не общие сервера в ЦОД.
                                                                                                                                внутренняя сеть вылилась наружу вообще без каких-либо проблем (((

                                                                                                                                Ну так и конечный сервер может дать доступ к базе писем снаружи без пароля. Только PGP защитит от такого.
                                                                                                                                Но для большинства задач почта защищена достаточно. Хотя да, я бы не стал вписывать туда банковскую тайну, у самого письма с финансами переливаются во внутренний каталог почтового клиента.
                                                                                                                            +1
                                                                                                                            То есть канал вполне себе закрытый, сообщение видят только оконечные узлы.

                                                                                                                            Вы хоть понимаете, что Вы прочитали? Хорошо, переведу на старинные термины. Вы пишете письмо, вкладываете его в железный контейнер, закрываете на замок, отдаёте курьеру, говорите, "а отвези-ка это, голубчик, на станцию X". На станции X открывают своим ключом контейнер, читают письмо, где во первЫх строках написано "To: ИвануИванову@Такая-то.станция", понимают, что дотуда ближе от станции Y, упаковывают ваше письмо в другой контейнер с замком, вызывают курьера, просят отвезти контейнер на станцию Y, и так несколько (иногда — но далеко не всегда — один) раз. Да, курьер не может открыть контейнер и прочитать Ваше письмо — но станция (сервер) МОЖЕТ, чёрт подери! То есть из (N + (N+1)) (где N — число промежуточных серверов) потенциальных точек прослушки вы убрали (N+1), поздравляю, но N-то осталось! ;)

                                                                                                                              +1
                                                                                                                              См. выше про пути письма. Про то, что сервера могут читать письма, я не спорил. Но это их работа, и это сервера либо отправителя, либо получателя, которые так и так могут прочитать письмо.
                                                                                                                              Ну или покажите реальный пример, как письмо в XXI веке путешествует по совершенно левым серверам в поисках счастья.
                                                                                                                                0
                                                                                                                                Ну или покажите реальный пример, как письмо в XXI веке путешествует по совершенно левым серверам в поисках счастья.

                                                                                                                                подмена DNS? mitm? Давайте развивать дальше ) Т.е. это не "левые" прям "левые" сервера ) но точно не те, которые должны были бы быть.

                                                                                                                                  0
                                                                                                                                  подмена DNS? mitm?

                                                                                                                                  Это всё активные действия, целевая атака на пользователей какого-либо сервиса. Больно заморочно для кражи распечатки трат, даже с привязкой к имени.
                                                                                                                              +2
                                                                                                                              Процитирую гугла:
                                                                                                                              Красный (не зашифровано) Без шифрования. Сообщение не защищено. Система предполагает наличие или отсутствие шифрования на стороне получателя по ранее отправленным в его домен письмам

                                                                                                                              И этот красный замочек я периодически в своей почте вижу. Даже не в папке спам.
                                                                                                                            0

                                                                                                                            Как держатель нескольких почтовых серверов подтверждаю: почта — это открытый канал. Включить в нем безопасное шифрование невозможно.

                                                                                                                              0
                                                                                                                              Возможно, если вы можете безопасно обменятся с получателем открытыми ключами (что довольно затруднительно для массовой почты)

                                                                                                                              в банках пользуются PGP для связи через почту таким образом
                                                                                                                                0

                                                                                                                                Так да, работать будет.

                                                                                                                          0
                                                                                                                          Ведь банк как кредитная организация в этой ситуации несет ответственность не только административную, но и уголовную.

                                                                                                                          Банк, как организация, уголовную ответственность нести не может.
                                                                                                                            0
                                                                                                                            Корректное замечание (в 2015 году не приняли эту норму по отношению к юридическим лицам). Я подразумевал здесь представителей банка, конечно же.
                                                                                                                            0
                                                                                                                            «Про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу» — вообще-то в чередовании роз-раз буква о пишется в ударном слоге (рОзыск), а — в безударном (разЫскивать); правильное с точки зрения справочника Розенталя написание — именно «разыскной». В законодательстве написание менялось, можете поискать в том же «Консультанте» — видимо, в зависимости от предпочтений министра внутренних дел.

                                                                                                                            PS тоже считаю правильным «розыскной» :)
                                                                                                                              0
                                                                                                                              правильное с точки зрения справочника Розенталя написание — именно «разыскной».

                                                                                                                              Розенталь уже устарел — теперь правильным считается справочник под ред. Лопатина.

                                                                                                                              В законодательстве написание менялось, можете поискать в том же «Консультанте» — видимо, в зависимости от предпочтений министра внутренних дел.

                                                                                                                              Нет, в зависимости от того, приняты были новые нормы или еще нет. До 2004 года писали по Розенталю, после 2004 — должны уже писать по-новому, но думаю, что писали и так и сяк.
                                                                                                                                +1
                                                                                                                                Многие слова проверяются по словарям.

                                                                                                                                Толковый словарь Ожегова

                                                                                                                                РОЗЫСК

                                                                                                                                РОЗЫСК, -а, м. 1. см. разыскать. 2. обычно мм. Поиски, разыскиваниекого-чего-н. Отправиться на розыски (отправиться искать). 3. Деятельностьспециальных органов по установлению местонахождения уклоняющихся от судаобвиняемых, осужденных лиц, а также лиц, пропавших без вести (спец.).Объявить?.. Преступник находится в розыске. 4. Предшествующее суду дознание, собирание улик (спец.).* Уголовный розыск — милицейская служба, занимающаясяраскрытием и пресечением уголовных преступлений. II прил. розыскной, -ая,-ое (к 3 знач.). Розыскное дело. Розыскная собака.

                                                                                                                                По современным правилам, как тут выяснилось у лингвистов, по формальным правилам действительно пишут «разыскной». Вопрос этимологии слова: многие лингвисты считают, что обе формы являются корректными. После реформы г-на Лопатина многие исключения подвели под правила.
                                                                                                                                  0
                                                                                                                                  После реформы г-на Лопатина многие исключения подвели под правила.

                                                                                                                                  позвольте уточнить Ваше мнение по этой реформе (кажется, я опять все проспал)

                                                                                                                                    +1
                                                                                                                                    Резко отрицательное. Средний род кофе, дОговор и йогУрт я не могу ему простить :)
                                                                                                                              0
                                                                                                                              Несмотря на то что статья написано про Сбер, все 100% этих вещей описанных в статье применимы… ну может ко «всем банкам РФ» слишком громко, но к 90% банков РФ точно

                                                                                                                              Как минимум ошибочные почтовые адреса я лично (более 5 лет назад, не в сбере, но крупном банке) от нечегоделать выдирал из логов почтовика реджекнутые письма с выписками и адресами типа vasya@гмейл.ком и отправлял в отдел который за это отвечает… и могу сказать им было больше на это плевать чем мне потому что список особо не уменьшался месяц от месяца

                                                                                                                              Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке

                                                                                                                              Последние 2 года мы занимаемся телеком-аудитом для различных компаний

                                                                                                                              я работал в нескольких компаниях напрямую связанных с банковским процессингом, и каждый раз, при каждом аудите, задавал вопросы аудиторам и высказывал собственные потенциальные векторы атак и проблемы в безопасности, и могу сказать что аудиторам не то чтобы плевать они элементарно не понимают и не верят что так может быть, потому что дословно:
                                                                                                                              «система соответствует стандарту, значит такое невозможно, не выдумывайте» (с)
                                                                                                                              «Сотрудник который работает на этом рабочем месте подписал договор, если такое произойдет — он будет виноват, он это понимает и так делать не будет, зачем чтото ещё менять?» ©

                                                                                                                              И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.
                                                                                                                                0
                                                                                                                                И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.

                                                                                                                                что доказывает, что цель аудита не сделать безопасность, а прикрыть свой зад… (((((((

                                                                                                                                  0
                                                                                                                                  Мы под аудитом понимаем не просто формальные тесты на предмет соответствия каким-то регламентам, а в том числе корректируем сами регламенты и даем рекомендации. Чтобы это было и безопасно, и корректно с юридической точки зрения. Плюс смотрим финансовые траты. Как люди «внутри» отрасли, мы понимаем что и сколько должно стоить, где какая маржинальность. И в этой связи часто двигаем поставщиков наших клиентов по цене с очень четкой и понятной аргументацией.
                                                                                                                                    0
                                                                                                                                    Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке

                                                                                                                                    А вот это очень интересный вопрос: действительно ли регулятор утверждает такие нормативы безопасности?
                                                                                                                                      +1
                                                                                                                                      Аудит — проверяет на соответствие стандарту. (а не безопасность в каком-то идеальном смысле). Примерно как задача суда — не выносить справедливые решения, а выносить законные.

                                                                                                                                      Многие крупные взломы и финансовых и оборонных сетей — это были взломы сетей, которые построены в соответствии со стандартами безопасности.

                                                                                                                                      Стандарт — обеспечивает некоторый _минимум_ безопасности. Нижнюю планку. Смысл стандарта в том, что стандарт могут обеспечить даже рядовые исполнители, с базовыми навыками, которых легко найти на рынке труда. (рок-звезд — всегда единицы, а банковских IT-шников нужны сотни тысяч).

                                                                                                                                      Плохо, если руководство не понимает разницы, между соответствием минимальным требованиям стандарта, и реальной защищенностью. Считает, что соблюдение стандарта — уже достаточно.
                                                                                                                                      0