«Красный сион» в Телеграм пишет:
Появился состав утекшей из Сбербанка информации, он поражает воображение своей подробностью.
Эта информация должна храниться в размазанном по сотням источников виде. Чтобы оно собралось в подобную выгрузку, нужно или безумное раздолбайство админов/разработчиков базы, проебавших мониторинг за загрузкой серверов (а они могли бы растопить Антарктиду от такой нагрузки), или же ушла устаревшая резервная копия базы с места, за которым никто особо не следит.
У меня складывается ощущение, что данные могли быть утрачены где-то около разработчиков любимого Грефом ИИ. Какая-нибудь копия базы полугодичной данности, устаревшая, но хранящая массу интересного, отданная для экспериментов аналитикам и разработчикам ИИ.
Подобные данные, согласно ФЗ-152, должны обрабатываться в обезличенной форме, и только в целях, указанных в письменном согласии на обработку персональных данных, но мы ведь знаем как у нас все делается?
Eshu Marabo
Продавец даже указал дату опердня, когда был сделан “слепок” БД – это 24 августа 2019 года. База разбита на 11 частей по количеству территориальных банков Сбербанка. За каждую запись продавец просит 5 рублей, т.е. 300 млн рублей за всю базу.
Из присланных «на пробу» 240 записей стало ясно, что они – актуальные. При этом, украденная БД содержит 81 поле, включая ФИО, адрес, номер карты, состояние счета, а также все служебные поля, например «Сост. карты по WAY4», «N договора WAY4». Судя по этим специфическим названиям, можно предположить, что данная база является сохраненной копией базы данных продукта WAY4 — платформы для электронного банкинга, процессинга платежных и неплатежных карт и удаленного банковского обслуживания.
Предположение про в4 не верное. Поля всего лишь ссылаются на данные в базе в4. Она сама не пострадала.
П.с. жив чертяка!? )
У меня вчера 1500 рублей сняли с карты. Карту блокирнул, остатки перевел в другой банк. Написал им там в личном кабинете. Сегодня пришла смс, что могу придти в банк с паспортом и вернуть деньги.
Да чего удивляться??
У одной моей знакомой с карты увели около 10т.р. Я решил поразбираться в вопросе. Я не ручаюсь за достоверность информации которую я собрал, но сам лично склонен ей верить. В общем вот что я узнал.
1. Деньги сперли у 5% пользователей мобильного приложения.
2. Деньги перли не через мобильное приложение (ага… попробуй взломай мобильное приложение не имея рут прав), а через безальтернативно подключаемый смс-банкинг.
3. Банк не признал это своим косяком.
А вот мое имхо: если все так, как есть. То это грубейшая ошибка безопасности — делать на смартфоне авторизацию к управлению карточным и банковским счетом просто по смс. Да еще и подключать ее всем, кто попросил мобильное приложение, и это при том, что 99% из пользователей мобильного приложения смс банкингом не пользуются.
И еще мне непонятен момент… Я так подозреваю, что в период активности вирусов более половины платежных поручений через смс банкинг были вызваны вирусами. И вот тут вопрос — с одной стороны карты блокируют по подозрениям, а с другой стороны половина запросов в смс банкинг от вирусов, а их принимают.
Все, что выше написано, мое очень субъективное мнение, основанное на непроверенной информации подчерпнутой из непроверенных, но свободных источников (увы, не помню каких, где-то на просторах интернета нарыл), вообще без каких либо претензий на объективность.
И вот после такого, я совершенно не удивлен. Скорее ожидал.
Деньги сперли у 5% пользователей мобильного приложения.
2. Деньги перли не через мобильное приложение (ага… попробуй взломай мобильное приложение не имея рут прав), а через безальтернативно подключаемый смс-банкинг.
А я не пользуюсь мобильным приложением, а вирусов у меня на смартфоне точно нет (я маньяк, все проверяю и на любой чих делаю сброс системы), но деньги таки ушли. Тут что-то другое. Ну не могли же у меня смску перехватить...
смс-банкинг не является безальтернативным. при заключении договора на обслуживание карты, нужно просто поставить галки в нужных местах.
Для мобильного банка никакого СМС не нужно. Приложение прекрасно регистрируется через терминал.
Авторизация через СМС на сайте — это часть двухфакторной авторизации, на сегодня самая безопасная система авторизации.
Я слышал иное мнение.
И когда мне, правда уже в другом банке, подключали мобильный банк (через приложение), мне безальтернативно подключили и смс банкинг, хотя я просил не подключать мне смс банкинга. Единственное, в том банке, красном, в отличии от зеленого, у смс банкинга были сильно ограничены возможности
Про двухфакторную смс авторизацию речи не было.
Я не слышал, я имею опыт. За последние пару лет, поменял несколько карт, как от сбербанка, так и других банков. На бланках заявления о выпуске карты, есть соответствующие поля дополнительных услуг. Мобильное приложение, на новом телефоне с новой симкой, подключал, просто по паролю выписанному банкоматом.
Но сегодня, они уровень безопасности несколько снилизи. Если раньше использовались 2 временных пароля + СМС. То сейчас используются постоянные логин/пароль + СМС.
Но и этого в большинстве случаев более чем достаточно. Что бы взломать такое, нужен перехват интернет трафика жертвы с подменой сертификатов и перехват GSM трафика. Без специализированного оборудования и физического доступка к устройству жертвы — это не возможно.
А можете сделать фоточку вашего экземпляра (с затиранием ваших данных), от Сбера, из последних 4-х лет, чтобы там было видно, что мобильный банк, интернет банк, и смс банк — имеют разные галки да/нет. А не что-то типа «мобильный и смс банк». Потому как я отчетливо помню, правда в другом банке, что я просил смс банк мне не подключать, а мне сказали, что они не могут подключая мобильный банк не подключить смс банк. Что касаемо Сбера, я сильно сомневаюсь, что много кто, добровольно подключал бы смс банк.
Судя по информации на сайте Сбера ( 
www.sberbank.ru/ru/person/dist_services/inner_mbank )
, и ответу от консультанта Ирина (фото выше), у меня сложилось впечателние, что СМС-Банк и Мобильный Банк в Сбербанке это одна услуга. Как вы могли подключить их отдельно, я не понимаю.
76 миллионов клиентов шлют смс-ки для управления картой? да ну..
да я сам ошибся, мобильным банком назвал приложение. Хотя, да, мобильный банк и есть услуга по работе со счётом через смс.
Если покопаться в FAQ Сбербанка, то становится понятным, что для того, чтобы включить приложение, услуга СМС-банкинг должна быть обязательно подключена (а вместе с ней и дыра в безопасности).
Вроде там потом можно ее отключить. Но это таки надо запариться с этим вопросом. И я так подозреваю 99% пользователей этого не делают, и Банк тоже этого сам не делает.
Не могло быть у вас возможности выбрать в договоре приложение без смс-банкинга, потому как техническая реализация такова, что подключение приложения без подключения смс банкинга, если верить faq от Сбера, невозможно.
Не могу, не сохранилось. Ну как я и ответил ниже, мобильный банк, и есть смс. Что вам оператор и ответил.
ага… И на странице мобильного банка есть упоминание о приложении, и о том, что через него идет 4 млн транзакций в день (будем реалистами, через смс от силы 1 млн транзаций в месяц проходит, а все остальные 4 млн транзакций в день идут через приложение).
А вот 3 млн транзакций в день, декланируемые на странице с интернет банкингом, это как раз те транзакции, что идут через сайт, тоже вполне правдоподобно.
Тоесть у клиентов Сбербанка, несколько лет назад, через смс увели кучу денег, при том, что смс-ками реально очень мало кто пользуется, а они до сих пор не пофиксили это. В то же время Андроид-вирусам доступна отправка смс, но недоступен взлом самого приложения работающего под Андроид.
Ну… понимаете… я после такого, вообще не удивлен, если там у Сбера кто-то все данные спер и вывалил куда-то. Если они даже такую очевиднейшую дыру безопасности, которая несет минимум пользы (да почти никто не шлет запросы в банк через смс, все шлют через приложение), до сих пор не пофиксили.
Сбер это самый крупный банк, вызывающий максимум доверия. У меня после этого нулевой уровень доверия к банковской системе РФ, в принципе нулевой. К биткоину и то больше.
так вы путаете услугу Мобильный Банк, и Интернет банк (в том числе через приложение). Услуга мобильного банка, не включает в себя интернет банк, и предполагает взаимодействие с банком через смс
Вы заинтересованное лицо в банковской инфраструктуре?
Зашел на страницу Интернет Банка — 3 млн транзакций в день.
Зашел на страницу Мобильного банка — 4 млн транзакций в день.
Исходя из этих цифр, ваша гипотеза о том, что Мобильный банк это смс-онли, а Интернет банк, это еще и приложение, не верна. Ну просто потому, что через приложение раз так в 100-10000 больше операций, чем через смс.
Так что видимо Интернет банк это только через браузер. А Мобильный это еще и через приложение.
Плюс к этому в пользу моей версии говорит то, что на странице с Мобильным банком есть упоминание о приложении, а на странице с Интернет банком такого упоминания нет.
Я понял, что вы лицо заинтересованное, но как бы.... толку то… Чем больше вы меня пытаетесь убедить, тем больше я изучаю тему. и больше нахожу подтверждений того, что так все и есть, как я подозревал.
Нет. Лицо я не заинтерисованное. Да по логике вы правы. Вот только у меня не работает нихрена ничего. Ни СМС, ни USSD. С чем связано, я хз
по спрашивал я тут у коллег. возможность отправки смс и ussd регулируется тарифом, который можно выбрать в банкомате (ну и при оформлении договора на обслуживание, по идее).
