СМИ: «Сбербанк Онлайн» содержит приложения, способные перехватывать пароли и данные клиентов

Но в Сбербанке заявили, что пользователь, заявивший о якобы обнаруженной им возможности, "неверно трактовал свой опыт работы со Сбербанк Онлайн".

«Сбербанк Онлайн» может оказаться не безопасным для пользователей. При подмене скрипта, принадлежащего иностранным компаниям, можно получить доступ к данным пользователяй, паролям, номерам карт и прочее закрытой информации, а также украсть деньги со счетов, считает эксперт Олег Кулабухов, сообщает АН.

По его словам, в систему «Сбербанка Онлайн» помещены сторонние приложения, а также счетчики Google, Doubleclick, Rutarget, ЯМетрика, имеющие доступ к личной информации клиентов. Скрипты, не принадлежащие Сбербанку, в результате, оказываются помещены на страницы, где пользователи вводят свои личные данные, пароль и логин.

Служба поддержки Сбербанка сообщила Кулабухову, что счетчики не имеют доступа к содержимому страниц, включая данные о счетах и картах. Однако, эксперт показал, как с помощью подмены скрипта в «Сбербанк Онлайн» можно перехватить данные пользователя, в том числе и данные о номере карты и платежах, отмечает «Открытая Россия».

По мнению специалиста, данная программа не является безопасной для клиентов. Кулабухов советует пользователям чаще включать блокировщик рекламных сообщений, который поможет частично защитить от возможной утечки информации.

Однако, в Сбербанке считают, что Кулабухов неверно трактовал свой опыт работы со Сбербанк Онлайн и на основе ошибочных выводов написал статью, информация в которой не соответствует действительности.

«В публикации описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков. Автор со своего устройства подменил в браузере скрипты на свои собственные и на этом основании утверждает, что аналитические системы похищают данные пользователей. Это не соответствует действительности.

Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутствии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко.

В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов», - заявили в пресс-службе Сбербанка.


Опубликовано: 31.05.2017 в 10:13 
Просмотров: 2509 

comments powered by HyperComments