СМИ: «Сбербанк Онлайн» содержит приложения, способные перехватывать пароли и данные клиентов
Но в Сбербанке заявили, что пользователь, заявивший о якобы обнаруженной им возможности, "неверно трактовал свой опыт работы со Сбербанк Онлайн".
«Сбербанк Онлайн» может оказаться не безопасным для пользователей. При подмене скрипта, принадлежащего иностранным компаниям, можно получить доступ к данным пользователяй, паролям, номерам карт и прочее закрытой информации, а также украсть деньги со счетов, считает эксперт Олег Кулабухов, сообщает АН.
По его словам, в систему «Сбербанка Онлайн» помещены сторонние приложения, а также счетчики Google, Doubleclick, Rutarget, ЯМетрика, имеющие доступ к личной информации клиентов. Скрипты, не принадлежащие Сбербанку, в результате, оказываются помещены на страницы, где пользователи вводят свои личные данные, пароль и логин.
Служба поддержки Сбербанка сообщила Кулабухову, что счетчики не имеют доступа к содержимому страниц, включая данные о счетах и картах. Однако, эксперт показал, как с помощью подмены скрипта в «Сбербанк Онлайн» можно перехватить данные пользователя, в том числе и данные о номере карты и платежах, отмечает «Открытая Россия».
По мнению специалиста, данная программа не является безопасной для клиентов. Кулабухов советует пользователям чаще включать блокировщик рекламных сообщений, который поможет частично защитить от возможной утечки информации.
«В публикации описана вымышленная угроза подмены скриптов на стороне провайдеров счетчиков. Автор со своего устройства подменил в браузере скрипты на свои собственные и на этом основании утверждает, что аналитические системы похищают данные пользователей. Это не соответствует действительности.
Автор подменил скрипты на свои собственные с устройства, на котором он обладает административными правами, и так получил доступ к своей же информации. При этом, абсолютно не описан способ совершения аналогичных действий в реальной среде при отсутствии доступа к компьютеру пользователя или инфраструктуре Банка. Таким образом, вероятность описанной угрозы равноценна ситуации, когда владелец карты банка отдает ее злоумышленнику с записанным на пластике пин-кодом, а после снятия с карты денег утверждает, что похитить деньги с карты очень легко.
В веб-версии Сбербанк Онлайн в сервисы “Яндекс.Метрика” и “Google Analytics” передаются исключительно обезличенные данные согласно политике безопасности и конфиденциальности как Сбербанк Онлайн, так и самих сервисов», - заявили в пресс-службе Сбербанка.