"Как Сбербанк Онлайн сливает данные пользователей"

Цитата (carat99 @ 29.05.2017 - 23:37)

Цитата (lnx @ 29.05.2017 - 20:27) тс, не параной в сбере в it далеко не дураки сидят. бояться нужно чтобы на тебя налоговую не навели если в серую работаешь с копипастой общаешься ?

ага

Цитата (Dryg @ 29.05.2017 - 20:28)

Не описать, как моя жена радовалась! Она искала хлебопечку. А на следующий заход в интернет со всех сторон, "прям как нельзя кстати!" предложения хлебопечек!

зря радовалась, не самое лучшее ей там предлагается

Цитата (rm2811 @ 29.05.2017 - 20:47)

Цитата (Zimm @ 29.05.2017 - 20:27) Цитата Лучший способ избежать утечки данных - не пользоваться этим говнобанком вообще. Я вам больше скажу - вообще не пользоваться банками и безналом а также смартами и интернетом. можно вообще в лес уйти ну или в монахи. тогда на вашу анонимность точно никто не покуситься, параноики вы наши.

Я как человек далекий от информационных технологий, люто плюсую.

Вот раньше как просто было.

Летом - бегуну, зимой - лыжнику, пизды дать в парке, ноклу и 100 рублей отжать и за пивком.

Схема простая.
Натягиваем меж сосен веревочку.
Клиент спотыкается. И тут гоп-стоп.
Собираешь филки и сваливаешь.

А теперь все по безналу работают, и айфоны всякие с кодировкой и следилками.

Наш гоп-стоп голосует за налик.

Цитата (Матис @ 29.05.2017 - 20:53)

Цитата (rm2811 @ 29.05.2017 - 20:47) Цитата (Zimm @ 29.05.2017 - 20:27) Цитата Лучший способ избежать утечки данных - не пользоваться этим говнобанком вообще. Я вам больше скажу - вообще не пользоваться банками и безналом а также смартами и интернетом. можно вообще в лес уйти ну или в монахи. тогда на вашу анонимность точно никто не покуситься, параноики вы наши. Я как человек далекий от информационных технологий, люто плюсую. Вот раньше как просто было. Летом - бегуну, зимой - лыжнику, пизды дать в парке, ноклу и 100 рублей отжать и за пивком. Схема простая. Натягиваем меж сосен веревочку. Клиент спотыкается. И тут гоп-стоп. Собираешь филки и сваливаешь. А теперь все по безналу работают, и айфоны всякие с кодировкой и следилками. Наш гоп-стоп голосует за налик.

Да стопудова!

Сбер разве наш банк, как и центробанк?


Отправлено с мобильного клиента YAPik+

Цитата (Reindeer @ 29.05.2017 - 20:32)

Цитата (Доволен @ 29.05.2017 - 20:24) Лучший способ избежать утечки данных - не пользоваться этим говнобанком вообще. Ушел от них в другой банк и проблем не знаю З.Ы: Что еще ожидать от банка, во главе которого стоит пидорас (во всех смыслах этого слова)

А у нашей организации в Сбере зарплатный проект. И дохера у кого так, особенно у бюджетников. Ну и лично я особых проблем со Сбером не имел. Есть ещё счета в Альфе, там многое удобно и намного проще, но в Сбере реально дешевле.

А по теме - я уже несколько лет пользуюсь Огнелисом с адблоком и носкриптом, а если лезу в банк, то вообще запускаю его под линуксом.

Цитата (Avertin @ 29.05.2017 - 20:09)

Цитата (Reindeer @ 29.05.2017 - 20:32) Цитата (Доволен @ 29.05.2017 - 20:24) Лучший способ избежать утечки данных - не пользоваться этим говнобанком вообще. Ушел от них в другой банк и проблем не знаю З.Ы: Что еще ожидать от банка, во главе которого стоит пидорас (во всех смыслах этого слова) А у нашей организации в Сбере зарплатный проект. И дохера у кого так, особенно у бюджетников. Ну и лично я особых проблем со Сбером не имел. Есть ещё счета в Альфе, там многое удобно и намного проще, но в Сбере реально дешевле. А по теме - я уже несколько лет пользуюсь Огнелисом с адблоком и носкриптом, а если лезу в банк, то вообще запускаю его под линуксом.

Беги! эту программу упоминать низя!

нуу не знаю,ничего доказывать не буду,пользуюсь им очень давно и онлайном сразу как появился,пока ни разу проблем не было...три раза тьфу через плечо..

Цитата (Remesis @ 29.05.2017 - 21:47)

Кроме того, что это вброс далеко не свежий, так еще и для малограмотных. Можно подробнее узнать как это получилось, что метрики передавались не на сервер метрик, а на личный пк? Как я понимаю, это что-то связано с подменой либо скрипта, либо адреса сервера метрик. Но в этом случае удаленно это все не подменить, если только не будет перенаправления через hots. А это уже уязвимость не сберонлайна, а пк, с которого был вход, не?

Как человек близкий к теме, не слишком малограмотный, скажу:

1. Подменить метрику можно. Сразу несколькими способами. Даже без зараженного компьютера, и без hosts. Уязвимыми являются домашний роутер, сама абонентская линия, трафик абонента у провайдера, трафик у магистрала, перед самим Сбером и так далее. Да и зараженный компьютер - это скорее правило, чем исключение. Если даже у вас не криптуются файлы, но стоит ломанная винда... хм. Даже https, по которому они работают - не гарантия. Как отразится в браузере подмена сертификата у скрипта, не являющегося целевой страницей? Покажет что-то юзеру или нет? И как он отреагирует, не жмакнет ли "добавить" или что-то подобное?

2. Еще одна серьезная уязвимость в том, что компании, владеющие метриками, которые по сути своей являются JS-скриптами, выполняющимися на стороне пользователя, в любой момент могут подменить скрипт с метрикой на похожий, но... с "расширенным функционалом". Например, с перехватом нажатий, да и подменой контента даже. Причем, с помощью умной CDN могут это сделать не глобально, что может быть проще обнаружено, а целенаправленно, для выборочных пользователей. В конце-концов, они сейчас о нас знают более чем дофига, чтобы использовать и персонализированные атаки. Ни следов, ни внешних проявлений, проникновение и охват - 100%. Я бы делал именно так.

3. Сбербанку, чтобы исключить подобный вид атак, нужно тупо прекратить вызывать чужие скрипты со страниц своего сайта. Статистика это, конечно, зашибись, но уязвимость и зависимость от буржуинской системы - совсем не клево. Вот нафига давать гуглу знать, сколько у Сбера клиентов, полную привязку к геотаргетингу, частоту использования и еще кучу всего? Гугл, сцуко, умный, умеет пользоваться крохами, высасывая из них гору информации и делая существенные выводы.

Это сообщение отредактировал taper - 29 мая 2017 г. в 21:23

Цитата (ShamanIEA @ 29.05.2017 - 21:00)

Сбер разве наш банк, как и центробанк?

видео конечно покруче Дружко, но на сайте Центробанка про сша ничего не написано...

пользуюсь AdGuard (покупал по случаю лицуху пожизненную по акции какой-то и удачно так. ну да не суть) и глюков на СБОЛ нет никаких. браузер вивальди.

оО хакер счетчики уже путает со сливом
вводишь названия банка в гугле и если не находишь там своего банка значит у него счетчики не стоят, я бы такому не доверял

Это сообщение отредактировал XIMERA123 - 29 мая 2017 г. в 21:31

симку тоже сбербанк контролирует?

тс ты пиздабол

Не рекламы ради, а также не знаю, работает ли так как хотелось бы, но исользую вот это. Да и рекламы у меня в бро нет...

Вот че пишет у меня при посещении Япа (развернуто). Не реклама...

Попробую предложить выход такой. Платить с телефона с приложения Сбербанк. Хотя не знаю, что скажут профессионалы?

Цитата (ЕвгенИвыныч @ 29.05.2017 - 20:25)

Если захотят про тебя что то узнать, узнают. Так что я давно не заморачиваюсь по подобным вопросам.

Вот на это и рассчет. Большинству внушили, что их данные всюду можно получить лешко и беззаботно в разных ведомствах и в сети активно удаляются истории, где даже надлежащие ведомства лажают с данными нужного им клиента, нету у них их и все тут.

Верьте, верьте, что вы все равно прозрачный...

Заходя на сбер-онлайн кашмарский перехватывает управление, и пропускает все через себя, показывая голую страничку без мониторов, счетчиков, итд, примерно как предидущий пост с дохтуром-паутиной!

эти счетчики - это настолько мелочь по сравнению с остальными фишечками, которые пользователи по своему знанию или незнанию включают в своих браузерах...
и "перебивать" адреса сайтов со счетчиками - это не так выгодно, как подменять сами сайты сбербанков, вконтактов, соц. сетей, почтовиков...
другими словами, если вы пользуетесь большими суммами в онлайне - следите за безопасностью!
в любом банке.

Цитата

А у нашей организации в Сбере зарплатный проект. И дохера у кого так, особенно у бюджетников. Ну и лично я особых проблем со Сбером не имел. Есть ещё счета в Альфе, там многое удобно и намного проще, но в Сбере реально дешевле.

Я тоже перешел на Альфу (не реклама)
Дороже на 200р (но за то геморря меньше)

Мне кажется или это скриптовый фишшинг? Дык тут пох сберу - скажет, что это вина лишь пользователя, который проебал вспышку антивиря.

А я вот все жду, когда хацкеры уронят корневые DNS. Это будет эпично)

Блин, шапку из фольги себе купи, не надо сцать, ничего у тебя не украдут. Для достоверности хоть другие бы проверил. Держи под подушкой деньги, разоблачатель фигов... Простите, но достали эти "желтые страницы"

Ебанутый эникейщик-детектив. Всякие формы оплаты, переводов и т.п. подгружаются во фреймах, доступ к которым сторонним скриптам запрещён, они могут только общую инфу получить. Это система безопасности на уровне браузеров по международным спецификациям.

А вот всякие свистелки-перделки, которые к браузерам подключают (расширения/плагины т.е.) вполне могут чё-нибудь спереть.

Это сообщение отредактировал hostchel - 29 мая 2017 г. в 21:51

самое пакостное, что по умолчанию касперский переводит сбол в защищенный браузер , где все антирекламные , антишпионские дополнения не запускаются

Люди привязывают телефон к карте, карту к гуглю, фейсбуку, мейлу, оплачивают ей покупки на али и порнхабах, подключают автоплатежи и разве только пин на бумажке в кошельке не носят - а потом сторонний скрипт на сбере виноват в утечке... Хосподя.

Дело в том, что безопасности в нашем мире нет. Это миф. Ну введут расчеты на основе блокчейнов. И что? Долго простоит гарантом безопасности блокчейн? Ровно столько, сколько он будет мешать пиздить деньги. Я не защищаю сбер - та еще контора. Просто эти скрипты - такая мелочь, по сравнению хотя бы со сливом баз номеров опсосов...