«Красный сион» в Телеграм пишет:

Появился состав утекшей из Сбербанка информации, он поражает воображение своей подробностью.

Эта информация должна храниться в размазанном по сотням источников виде. Чтобы оно собралось в подобную выгрузку, нужно или безумное раздолбайство админов/разработчиков базы, проебавших мониторинг за загрузкой серверов (а они могли бы растопить Антарктиду от такой нагрузки), или же ушла устаревшая резервная копия базы с места, за которым никто особо не следит.

У меня складывается ощущение, что данные могли быть утрачены где-то около разработчиков любимого Грефом ИИ. Какая-нибудь копия базы полугодичной данности, устаревшая, но хранящая массу интересного, отданная для экспериментов аналитикам и разработчикам ИИ.

Подобные данные, согласно ФЗ-152, должны обрабатываться в обезличенной форме, и только в целях, указанных в письменном согласии на обработку персональных данных, но мы ведь знаем как у нас все делается?

Eshu Marabo

Про ии просто натянули для хайпа. Обычный дамп спи… ли

Продавец даже указал дату опердня, когда был сделан “слепок” БД – это 24 августа 2019 года. База разбита на 11 частей по количеству территориальных банков Сбербанка. За каждую запись продавец просит 5 рублей, т.е. 300 млн рублей за всю базу.

Из присланных «на пробу» 240 записей стало ясно, что они – актуальные. При этом, украденная БД содержит 81 поле, включая ФИО, адрес, номер карты, состояние счета, а также все служебные поля, например «Сост. карты по WAY4», «N договора WAY4». Судя по этим специфическим названиям, можно предположить, что данная база является сохраненной копией базы данных продукта WAY4 — платформы для электронного банкинга, процессинга платежных и неплатежных карт и удаленного банковского обслуживания.

Предположение про в4 не верное. Поля всего лишь ссылаются на данные в базе в4. Она сама не пострадала.

П.с. жив чертяка!? )

У меня вчера 1500 рублей сняли с карты. Карту блокирнул, остатки перевел в другой банк. Написал им там в личном кабинете. Сегодня пришла смс, что могу придти в банк с паспортом и вернуть деньги.

Естественный результат истерии вокруг ИИ при отсутствии признаков наличия ЕИ.

Да чего удивляться??


У одной моей знакомой с карты увели около 10т.р. Я решил поразбираться в вопросе. Я не ручаюсь за достоверность информации которую я собрал, но сам лично склонен ей верить. В общем вот что я узнал.
1. Деньги сперли у 5% пользователей мобильного приложения.
2. Деньги перли не через мобильное приложение (ага… попробуй взломай мобильное приложение не имея рут прав), а через безальтернативно подключаемый смс-банкинг.
3. Банк не признал это своим косяком.


А вот мое имхо: если все так, как есть. То это грубейшая ошибка безопасности — делать на смартфоне авторизацию к управлению карточным и банковским счетом просто по смс. Да еще и подключать ее всем, кто попросил мобильное приложение, и это при том, что 99% из пользователей мобильного приложения смс банкингом не пользуются.

И еще мне непонятен момент… Я так подозреваю, что в период активности вирусов более половины платежных поручений через смс банкинг были вызваны вирусами. И вот тут вопрос — с одной стороны карты блокируют по подозрениям, а с другой стороны половина запросов в смс банкинг от вирусов, а их принимают.

Все, что выше написано, мое очень субъективное мнение, основанное на непроверенной информации подчерпнутой из непроверенных, но свободных источников (увы, не помню каких, где-то на просторах интернета нарыл), вообще без каких либо претензий на объективность.

И вот после такого, я совершенно не удивлен. Скорее ожидал.

Деньги сперли у 5% пользователей мобильного приложения.
2. Деньги перли не через мобильное приложение (ага… попробуй взломай мобильное приложение не имея рут прав), а через безальтернативно подключаемый смс-банкинг.

 А я не пользуюсь мобильным приложением, а вирусов у меня на смартфоне точно нет (я маньяк, все проверяю и на любой чих делаю сброс системы), но деньги таки ушли. Тут что-то другое. Ну не могли же у меня смску перехватить...

смс-банкинг не является безальтернативным. при заключении договора на обслуживание карты, нужно просто поставить галки в нужных местах.

Для мобильного банка никакого СМС не нужно. Приложение прекрасно регистрируется через терминал.

Авторизация через СМС на сайте — это часть двухфакторной авторизации, на сегодня самая безопасная система авторизации.

Я слышал иное мнение.

И когда мне, правда уже в другом банке, подключали мобильный банк (через приложение), мне безальтернативно подключили и смс банкинг, хотя я просил не подключать мне смс банкинга. Единственное, в том банке, красном, в отличии от зеленого, у смс банкинга были сильно ограничены возможности

Про двухфакторную смс авторизацию речи не было.

Я не слышал, я имею опыт. За последние пару лет, поменял несколько карт, как от сбербанка, так и других банков. На бланках заявления о выпуске карты, есть соответствующие поля дополнительных услуг. Мобильное приложение, на новом телефоне с новой симкой, подключал, просто по паролю выписанному банкоматом.

Но сегодня, они уровень безопасности несколько снилизи. Если раньше использовались 2 временных пароля + СМС. То сейчас используются постоянные логин/пароль + СМС.

Но и этого в большинстве случаев более чем достаточно. Что бы взломать такое, нужен перехват интернет трафика жертвы с подменой сертификатов и перехват GSM трафика. Без специализированного оборудования и физического доступка к устройству жертвы — это не возможно.

А можете сделать фоточку вашего экземпляра (с затиранием ваших данных), от Сбера, из последних 4-х лет, чтобы там было видно, что мобильный банк, интернет банк, и смс банк — имеют разные галки да/нет.  А не что-то типа «мобильный и смс банк». Потому как я отчетливо помню, правда в другом банке, что я просил смс банк мне не подключать, а мне сказали, что они не могут подключая мобильный банк не подключить смс банк. Что касаемо Сбера, я сильно сомневаюсь, что много кто, добровольно подключал бы смс банк.

Мда...

Судя по информации на сайте Сбера ( www.sberbank.ru/ru/person/dist_services/inner_mbank )
, и ответу от консультанта Ирина (фото выше), у меня сложилось впечателние, что СМС-Банк и Мобильный Банк в Сбербанке это одна услуга. Как вы могли подключить их отдельно, я не понимаю.




76 миллионов клиентов шлют смс-ки для управления картой? да ну..

да я сам ошибся, мобильным банком назвал приложение. Хотя, да, мобильный банк и есть услуга по работе со счётом через смс.

Если покопаться в FAQ Сбербанка, то становится понятным, что для того, чтобы включить приложение, услуга СМС-банкинг должна быть обязательно подключена (а вместе с ней и дыра в безопасности).

Вроде там потом можно ее отключить. Но это таки надо запариться с этим вопросом. И я так подозреваю 99% пользователей этого не делают, и Банк тоже этого сам не делает.

Не могло быть у вас возможности выбрать в договоре приложение без смс-банкинга, потому как техническая реализация такова, что подключение приложения без подключения смс банкинга, если верить faq от Сбера, невозможно.

Не могу, не сохранилось. Ну как я и ответил ниже, мобильный банк, и есть смс. Что вам оператор и ответил.

ага… И на странице мобильного банка есть упоминание о приложении, и о том, что через него идет 4 млн транзакций в день (будем реалистами, через смс от силы 1 млн транзаций в месяц проходит, а все остальные 4 млн транзакций в день идут через приложение).

А вот 3 млн транзакций в день, декланируемые на странице с интернет банкингом, это как раз те транзакции, что идут через сайт, тоже вполне правдоподобно.

Тоесть у клиентов Сбербанка, несколько лет назад, через смс увели кучу денег, при том, что смс-ками реально очень мало кто пользуется, а они до сих пор не пофиксили это. В то же время Андроид-вирусам доступна отправка смс, но недоступен взлом самого приложения работающего под Андроид.

Ну… понимаете… я после такого, вообще не удивлен, если там у Сбера кто-то все данные спер и вывалил куда-то. Если они даже такую очевиднейшую дыру безопасности, которая несет минимум пользы (да почти никто не шлет запросы в банк через смс, все шлют через приложение), до сих пор не пофиксили. 

Сбер это самый крупный банк, вызывающий максимум доверия. У меня после этого нулевой уровень доверия к банковской системе РФ, в принципе нулевой. К биткоину и то больше.

так вы путаете услугу Мобильный Банк, и Интернет банк (в том числе через приложение). Услуга мобильного банка, не включает в себя интернет банк, и предполагает взаимодействие с банком через смс

Вы заинтересованное лицо в банковской инфраструктуре?

Зашел на страницу Интернет Банка — 3 млн транзакций в день.
Зашел на страницу Мобильного банка — 4 млн транзакций в день.

Исходя из этих цифр, ваша гипотеза о том, что Мобильный банк это смс-онли, а Интернет банк, это еще и приложение, не верна. Ну просто потому, что через приложение раз так в 100-10000 больше операций, чем через смс.

Так что видимо Интернет банк это только через браузер. А Мобильный это еще и через приложение.

Плюс к этому в пользу моей версии говорит то, что на странице с Мобильным банком есть упоминание о приложении, а на странице с Интернет банком такого упоминания нет.


Я понял, что вы лицо заинтересованное, но как бы....  толку то… Чем больше вы меня пытаетесь убедить, тем больше я изучаю тему. и больше нахожу подтверждений того, что так все и есть, как я подозревал.

Нет. Лицо я не заинтерисованное. Да по логике вы правы. Вот только у меня не работает нихрена ничего. Ни СМС, ни USSD. С чем связано, я хз

Так вы же не вирус)))). Вот и не работает)))

joke)

по спрашивал я тут у коллег. возможность отправки смс и ussd регулируется тарифом, который можно выбрать в банкомате (ну и при оформлении договора на обслуживание, по идее).

))) полагаю 95% пользователей выбирая тариф об этом моменте не знают)

У меня вообще долларовый счет в минус ушел. Так как в аккурат на всех сбербанковских счетах был 0 на данный момент.