"Как Сбербанк Онлайн сливает данные пользователей"

страховку за 2000 в год покупаешь и не паришь себе мозг вообще
бабки возвращают по первому щелчку

Цитата (SereneMind @ 29.05.2017 - 20:20)

думаю в банках люди намного умнее, чем любители-дилетанты диванных войск

довелось как то пообщаться
более тупых и зашуганных айтишников я не встречал нигде

Цитата (Denisdnk @ 30.05.2017 - 03:17)

Любители заговоров ща зелени накидают... а не любители - мне шпал

При чем здесь любители заговоров?
Он показывает, как просто подменяет скрипт, на сборщик паролей, т.е. для команды хакеров - собрать данные, скажем в период получения зарплат - вообще не проблема, и ограбить пол страны.

Ежики плакали кололись но продолжали жевать кактус. Не могу понять нахуй этот сбербанк вообще обосрался. Наебалово же всегда там было. Как спиздили у народа все накопления в начале 90-х так и продолжают пиздить. Положил туда свое бабло и все, ты ему уже не хозяин. Но народный спорт по бегу по граблям продолжается. Все ругаются вот мол хуево, но один хрен несут деньги ворам. И смех и грех.

Побуду немного занудой...
Из уже ставших "стандартными" заголовков сервера, которые отдает сбербанк, есть только X-Frame-Options. Это вкратце означает, что данные, которые сервер выдает во фреймах, не уходят никуда на сторону.
Минимальное тестирование безопасности их сервера показывает отсутствие явных ошибок. Есть недочеты, но они связаны со стремлением к работоспособности личного кабинета во всех браузерах.
Сервер делает кучу соединение, из них, в основном, к своим серверам. Из сторонних я насчитал 4 штуки, все они - использование метрики. Сложно достаточно достаточно подменить эти скрипты, думаю, что только в случае целевой атаки.
Есть еще куча моментов, которые не озвучил и которые родились в голове сразу после прочтения, но, по сути, пост - вброс, пустышка. Кому как удобней считать. Можно еще зайти в личный кабинет и любым удобным для вас отладчиком посмотреть, что там подгружается и какие-откуда скрипты выполняются. Затем загрузить эти скрипты и посмотреть что они выполняют. И снова ничего ужасного, никаких секретных данных не передается...

Это сообщение отредактировал kini - 30 мая 2017 г. в 04:17

kini
Ни хуя не понял, но точно знаю-НАЕБУТ!

Если преступники уведут деньги с вашей карты , сбербанк хрена лысого их вернёт .Поэтому и насрать им на безопастность , раз ничем не отвечают перед клиентом.

Отправлено с мобильного клиента YAPik+

Цитата (Доволен @ 29.05.2017 - 20:24)

Лучший способ избежать утечки данных - не пользоваться этим говнобанком вообще.

ага, особенно, когда контора в которой работаешь ни в какую на другие банки работников не переводит, ибо не хотят заморачиваться.

Щас бы в 2017 году в сбол с браузера заходить.

Отправлено с мобильного клиента YAPik+

если у этих отпедикюренных хипстеров до сих пор на банкоматах венда, выпадающая в файлманагер при перегреве, то какая, в жопу, безопасность?
Греф официально отказался исполнять российские законы, официально работая на Запад.

Цитата (Доволен @ 29.05.2017 - 20:24)

Лучший способ избежать утечки данных - не пользоваться этим говнобанком вообще.

А каким пользоваться? Если по работе надо? Если большинство народу в стране на нём сидит? Если банкоматы на каждом углу в отличии от..? Это совет из категории не пользоваться смартфонами.. А что делать если у меня контактов одних 2500 шт
Можно хоть усраться в сарказме и йуморе, но сбер так и останется при этом САМЫМ надёжным банком в стране.

Это сообщение отредактировал TrackDriver - 30 мая 2017 г. в 07:28

А я из Китая онлайн банк пользую, тут гугель забанен)))

Хотя то, что они идиоты - согласен

ТС, в Центробанк накатай бумажку, интересно что ответят

Цитата (scream81 @ 29.05.2017 - 20:21)

скрипты хуипты .что делать обычным пользователям? особенно возрастным

Держать деньги в тумбочке, не пользоваться онлайн сервисами, совсем.

Технолоджи

Цитата

Держать деньги в тумбочке, не пользоваться онлайн сервисами, совсем.

Если честно, с начала 2016 года все больше и больше такое желание возникает...

Ммм.. занятно. Попробовал этот скриптик повторить. Теперь осталось прикрутить к нему логгирование и выпихнуть "в массы". Единственный вопрос - как обойти получение СМС с подтверждением.

object.addEventListener(«keydown», function(event) { console.log(event.keyCode) });

можете тож поиграться :)

Это сообщение отредактировал Покусакус - 30 мая 2017 г. в 07:44

Пока никто не взламывал меня. Что я делаю не так? И Хде реклама? Не нашёл её.
В Сбере деньги не храню по некоторым причинам. В том числе и по причине того, что есть долги и их могут легко снять с моей карты сбербанка через суд без моего ведома. Другая причина это игромания. Уж очень легко пользоваться Сбербанком и как только положу что-то на эту карту, есть не нулевая вероятность, что переведу всё на игровой счёт и ... возможно проиграю (иногда выигрываю). Так что лучше пусть будет пустая карта. Только пара сотен для пополнения телефона в автоматическом режиме.

Цитата (Molchun74 @ 30.05.2017 - 05:10)

Если преступники уведут деньги с вашей карты , сбербанк хрена лысого их вернёт .Поэтому и насрать им на безопастность , раз ничем не отвечают перед клиентом. Отправлено с мобильного клиента YAPik+

Не совсем так. Есть у них услуга страхования вкладов, но её нужно оформлять отдельно. Она платная.

А еще всякие приложения для он-лайн банкинга получают доступ к вашим контактам в смартфоне. Поэтому перед тем, как перестать платить кредит - удалите нафиг это приложение банка. Иначе ваши контакты повесятся от коллекторов.

Цитата (Матис @ 29.05.2017 - 20:22)

3. Данные обезличены.

Никаких проблем, ваши логин и пароль, записанные вебвизором яндекс метрики обезличены.

В закладки будем разбираться с знакомым програмистом.Сам не пользуюсь сбербанк онлайн но карта есть.Жена пользуется надо видимо отключать эту функцию.

Не поверите но у меня нет пластиковой карты от слова совсем

опять дырявый спермбанк.. заебали он уже...

К вопросу о бананобаннерорезках...
Правда, AdGuard последнее время глюкавый какой-то стал...

Это сообщение отредактировал Михайла - 30 мая 2017 г. в 09:16

Цитата (Матис @ 29.05.2017 - 20:22)

Шо, опять Сбербанк плохой? 1. Все сайты собирают о тебе информацию. 2. Rutarget - дочерняя компания Сбербанка. 3. Данные обезличены. Проще говоря если ты через СБОЛ что-то покупаешь, то в ЭТОМ БРАУЗЕРЕ, где ты зашел будет показываться реклама того, что тебе интересно. Погугли: таргетная реклама UPD "Рутаргет" будет собирать и передавать Сбербанку информацию об интересах и поведении его клиентов в интернете, сказал Хмель. Так банк сможет делать значительно более таргетированные предложения своим клиентам. ИНТЕРФАКС

Опустим то, что это проделки сбера, это говно воняет каждый раз, когда его трогаешь.
Мне вот интересно, если я купил себе холодильник, то зачем мне эта "таргетированная реклама" будет годами показывать другие холодильники? Что за хрень в мозгах тех, кто страдает этой фигней?
Возможно это полезно, если я еще не купил, но тогда причем тут платежное приложение банка? Что за дурацкая идея после покупки бомбить человека рекламой уже ненужных вещей?
Особенно тупо и бездарно работает "таргетированная реклама", когда покупаешь запчасти к своему европейскому авто, а тебе показывают корейские "распродажи"! Тупицы!!! На хрена мне лобовое стекло от Соляриса?!!! Что за уроды пишут эти говноскрипты!!!

А, насчет обезличенных данных - сказки для детского сада. Достаточно узнать ID клиента, последние 10 цифр его счета, номер телефона, чтобы накопленные данные тут же привязать к конкретному человеку. База клиентов сбера в помощь. Потом будут происходить удивительные вещи. Типа такого:

Цитата

Звонит телефон: - Пиццерия GOOGLE, добрый день, слушаю вас! - Пиццерия чего? - Пиццерия GOOGLE. Что будете заказывать? - Но... Разве это не пиццерия «Синьор Помидор»? - Увы, была, GOOGLE её купил и теперь объём наших услуг стал полным. - Прекрасно. Примете заказ? - Естественно! Хотите повторить ваш обычный заказ? - Обычный заказ? Откуда вы знаете, какой? - У нас установлен идентификатор заказчиков, и мы знаем, что последние 53 раза с этого номера заказывали пиццу «Везувий», с двойным сыром и ветчиной, плюс бутылка хорошо охлажденного пива «Балтика». - Надо же, я и не думал…! Хорошо, давайте. - Простите, могу вам дать совет? - Конечно. - У вас есть наше полное меню? - Нет. - Это самое полное меню, и я хотела бы посоветовать вам пиццу с творогом и зеленью, и бутылку минеральной воды с малым содержанием солей. - Творог? Зелень? Соли? Вы с ума сошли? Я всё это ненавижу! - Понимаю, но это только на пользу вашему здоровью. Кроме того, у вас очень высокий холестерол... - Откуда вы это знаете? - Наша фирма располагает самой большой базой данных на нашей планете. Через номер телефона мы знаем ваше имя, и поэтому имеем доступ к вашим анализам в поликлинике. - Плевать на вашу базу данных! Я не хочу пиццу с творогом и зеленью! Я принимаю медикаменты, и поэтому могу есть всё, что мне вздумается, понятно? - Сожалею, но вы не принимали таблетки в последнее время. - Какого чёрта, откуды вы знаете? Шпионите за мной каждый день? - Нет, нет! Просто мы располагаем базой данных всех аптек в городе, и последний раз вы там были 3 месяца тому назад. А в одной упаковке только 30 таблеток. - Блин, это правда. И откуда ты это знаешь? - Из вашей кредитки... - Чего? - Да, вы, когда платите в своей аптеке кредиткой банка МММ, получаете скидку. В нашей базе данных все ваши расходы по кредитке. И за последние 3 месяца вы там ничего не покупали, но покупали в других магазинах, что означает, что вы кредитку не потеряли. - Зараза... А что, я не могу заплатить наличными? А? Что? Что теперь скажете? - Это невозможно. Вы платите наличными только US$ 100 в неделю своей служанке, всё остальное платите только кредиткой. - Сволочи! Откуда вам известно, сколько я плачу служанке? - Но она же платит соцстрах ... - Да пошли вы! - Как хотите. Сожалею, но вся эта информация у меня на дисплее и я хочу только помочь вам. Думаю, что вы должны зайти за своим врачем и взять анализы, которые вы сделали в прошлом месяце, чтобы уточнить дозировку медикаментов. - Послушай, ты... ! Вы мне все осточертели, и ты, и компьютеры, и базы данных, и интернет, и GOOGLE, и FACEBOOK, и TWITER, и отсутствие личной жизни в XXI-м веке, и это проклятое государство... - Пожалуйста, не расстраивайтесь. Это не в ваших интересах… - Заткнись! Завтра же уеду куда-нибудь дальше от всего этого дерьма. Поеду на острова Фиджи, или куда угодно, где нет интернета, компьютеров, телефона, ни людей, которые будут за мной всё время подглядывать... - Я вас понимаю... - В последний раз воспользуюсь кредиткой, чтобы купить билет на самолёт и улететь на конец света! - Прекрасно... - Снимите заказ на пиццу. Я её не хочу. - Хорошо…, уже снят. Если мне только позволите…, одна маленькая деталь... - КАКОГО ЧЕРТА ЕЩЁ! ? - Хочу только напомнить, что ваш паспорт просрочен…