[Из песочницы] В Сбербанк онлайн уязвимостей нет

logo.png
Позавчера на GeekTimes вышла статья, в которой на видео демонстрируется якобы существующая уязвимость веб-версии Сбербанк Онлайн. Мы расскажем, почему ваши данные находятся в безопасности и что на самом деле показано на этом видео.

Уверены, что читателям GeekTimes не нужно рассказывать, что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями. Мы используем их в Сбербанк Онлайн для сбора статистики о переходах клиентов между страницами, чтобы оптимизировать и повысить качество наших онлайн-сервисов. Анонимность собираемой информации гарантируется политиками безопасности и конфиденциальности компаний Яндекс и Google. Подробнее о них: пользовательское соглашение Яндекс.Метрики, пользовательское соглашение Google Analytics. Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Для защиты обслуживания Сбербанк Онлайн использует набор современных инструментов, включая TLS, двухфакторную авторизацию, риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов. Наиболее чувствительная клиентская информация (такая как фамилии, номера карт и счетов и т.д.) вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками». Чтобы дополнительно убедиться в безопасности нашего сервиса, мы при каждом обновлении проводим обширное penetration-тестирование, которое включает все известные виды атак.

Примем на веру утверждение автора, что вводимая на странице Сбербанк Онлайн информация передается на удаленный компьютер. Это возможно только в случае модификации страницы Сбербанк Онлайн.

На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных. В случае подмены контента на промежуточном сервере браузер классифицирует изменения как MITM-атаку и не дает загрузить содержимое на страницу. Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.

Что же доказывает видео olegon-ru? Только то, что вы можете запрограммировать свой компьютер на передачу данных вовне. Но это никак не влияет на безопасность обслуживания других клиентов.

© Geektimes