Comments 69
К 2023 году, пока они создадут такую систему, все биты информации уже будут вынесены.
А если серьёзно, мне не понятно, почему Роскомнадзор мешкает с серьёзным наказанием операторов ПДн. Я считаю, что даже за утечку данных ста клиентов нужно их сильно бить по рукам.
Не буду тыкать пальцем в небо, в поисках возможно не связанных совпадений: https://74.ru/text/gorod/66491803/
Причина по которой я отказался от кредки (а мне так усердно её предлагали), плюс карту в банке выдают без конверта (уже скомпрометированную), а потом предлагают застраховать карту… Совпадение?!
Развязка истории известна или пока нет?
Мне больше интересно, как так Сбер исхитрился, что в СберОнлайне регистрируются с одного номера, но уведомления идут на другой, однако при этом почему-то на этот другой не приходят коды для авторизации в СберОнлайн.
Это у Сбера так, или у всех, давайте обсудим, а?
Это у Сбера так, или у всех, давайте обсудим, а?
Могу предположить, что к мобильному банку было привязано 2 номера (СИМ-карты), второй старый, который получил злоумышленник… Но опять же как злоумышленник узнал номер карты или логин? Или имея базу данных с номерами телефонов и карт, можно проверить наличие (уже освободившихся) номеров в любом салоне сотовой связи…
В Сбере есть возможность привязать дополнительный телефон, но Сбер говорит, что он будет использоваться только для связи в случаях, когда основной номер недоступен (и отдельно указывает, что уведомления на него приходить не будут).
Тогда, если верить вышенаписанному, отсутствие СМС с кодом для входа в СберОнлайн с нового устройства видится очень странным. Можно предположить, что в этом замешан ОПСОС (насколько я помню, были прецеденты, когда перехватывались СМСки с кодами для входа в Телегу), но лично я сомневаюсь, что кто-то бы пошел на такое ради не очень большой, по всей видимости, суммы денег (какой там мог быть лимит для кредитки, тысяч 50?).
Второе предположение — кто-то в Сбере мог изменить привязанный номер телефона и получить СМС с кодом на него. Но тогда получается, что после получения кода номер привязанного телефона был изменен на предыдущий (уведомления же приходили уже на него). В таком случае, появляется логичный вопрос — зачем возвращать старую привязку перед списаниями?
Также странным видится следующее: " Я начала звонить на номер 900 и параллельно хотела зайти в мобильный банк, но пароль уже был изменён, — рассказывает 74.RU Дарья Чиркова." Неужели, если войти в Сбер с нового устройства и задать другой код для входа (не такой, как на первом устройстве), код для входа обновляется и на первом устройстве? Возможно, она имела в виду онлайн-банк (с десктопа), но тогда получается, что злоумышленник имел доступ и к нему (иначе как бы он изменил там пароль?).
Короче, история, как по мне, очень непонятная. Попробую сегодня поэкспериментировать и проверить некоторые предположения.
Тогда, если верить вышенаписанному, отсутствие СМС с кодом для входа в СберОнлайн с нового устройства видится очень странным. Можно предположить, что в этом замешан ОПСОС (насколько я помню, были прецеденты, когда перехватывались СМСки с кодами для входа в Телегу), но лично я сомневаюсь, что кто-то бы пошел на такое ради не очень большой, по всей видимости, суммы денег (какой там мог быть лимит для кредитки, тысяч 50?).
Второе предположение — кто-то в Сбере мог изменить привязанный номер телефона и получить СМС с кодом на него. Но тогда получается, что после получения кода номер привязанного телефона был изменен на предыдущий (уведомления же приходили уже на него). В таком случае, появляется логичный вопрос — зачем возвращать старую привязку перед списаниями?
Также странным видится следующее: " Я начала звонить на номер 900 и параллельно хотела зайти в мобильный банк, но пароль уже был изменён, — рассказывает 74.RU Дарья Чиркова." Неужели, если войти в Сбер с нового устройства и задать другой код для входа (не такой, как на первом устройстве), код для входа обновляется и на первом устройстве? Возможно, она имела в виду онлайн-банк (с десктопа), но тогда получается, что злоумышленник имел доступ и к нему (иначе как бы он изменил там пароль?).
Короче, история, как по мне, очень непонятная. Попробую сегодня поэкспериментировать и проверить некоторые предположения.
Там под статьей был один злой комментарий на тему, что «понаставят на эти свои андроиды всякого барахла, а потом удивляются». Может и правда, дама соблазнилась каким-нибудь аппом, а тот помог угнать мобильный банк?
Да, думаю, это вполне возможно. Однако я не уверен, что Андроид в принципе позволяет именно перехватывать СМСки (т.е. делать так, чтобы стандартное приложение вообще их не получало), а не просто читать. Потому что вредонос, читающий СМСки и отсылающий их содержимое злоумышленнику, не объясняет отсутствие СМСки с кодом в стандартном приложении.
Потестил работу приложения.
Привязал дополнительный телефон — на него действительно (по крайней мере штатно) не приходят никакие уведомления, в том числе и СМС с кодом, даже если основная симка не работает.
При этом выяснилось, что код для входа действительно обновляется на всех устройствах, поэтому девушка не имела возможности зайти в приложение после того, как в него зашли с нового устройства.
Привязал дополнительный телефон — на него действительно (по крайней мере штатно) не приходят никакие уведомления, в том числе и СМС с кодом, даже если основная симка не работает.
При этом выяснилось, что код для входа действительно обновляется на всех устройствах, поэтому девушка не имела возможности зайти в приложение после того, как в него зашли с нового устройства.
>>что в этом замешан ОПСОС
Предлагаю вариант — для сбера берем симку в… Сбере! (В некоторых регионах есть Сбермобайл).
И, в случае чего:
— Вот где симку получали, туда и ид… (здесь картинка с БСОД)
Предлагаю вариант — для сбера берем симку в… Сбере! (В некоторых регионах есть Сбермобайл).
И, в случае чего:
— Вот где симку получали, туда и ид… (здесь картинка с БСОД)
Во всех банка кроме Сбера где мне приходилось пользоваться мобильным приложением и ИБ такого — нет, если номер привязан — значит он привязан, надо сменить — меняйте. Если наоборот НАДО на другом устройстве получать коды и уведомления то либо пуши в мобильном приложении (в которое зайти один раз) (если есть для данного типа сообщений) либо что-то вроде Pushbullet'а ставить на устройства.
если я не ошибаюсь, то можно зарегистрировать карту на человека и привязать ее к своему номеру телефона. так получить доступ в онлайн-банк и там будут все карты. натыкался на нечто подобное у себя, но не уверен что правильно помню.
Не знаю как это работает, знакомой приходят смс по движениям средств одного товарища. Она в курсе когда ему деньги перечисляют и когда он что-то оплачивает. Симка МТС подключение в августе прошлого года. Номер же должен быть после «отстойника»
О как. Вообще, отстойник сам по себе не является гарантией чего-либо. Это только чтобы отвалились знакомые, временно потерявшие контакт. А вот для коллекторов и банков отстойник ничего значит.
Другое дело, что у банков (не у всех, правда), есть привычка проверять смену SIM. Получается, что Сбер этого не делает.
Но приходят только сведения об операциях? А коды подтверждения платежей приходят?
Другое дело, что у банков (не у всех, правда), есть привычка проверять смену SIM. Получается, что Сбер этого не делает.
Но приходят только сведения об операциях? А коды подтверждения платежей приходят?
Немножко офтопика.
Мне на мыло регулярно приходят электронные чеки из ОФД. По покупкам, которые я не делал.
Сначала паниковал, а потом понял, что какая-то альтернативно одаренная гражданка просто указала email для чеков от балды. Что интересно, для удаления адреса из базы пробовал обращаться в интернет-магазин (нет, идите в ОФД) и в ОФД (нет, идите в магазин). Замкнутый Уроборос, одним словом.
Зато теперь каждый месяц наслаждаюсь списком белья и косметики, которая эта дама покупает. С ценами и размерами :) Главное, чтобы жена эти письма в ящике не увидела — не поймет…
Мне на мыло регулярно приходят электронные чеки из ОФД. По покупкам, которые я не делал.
Сначала паниковал, а потом понял, что какая-то альтернативно одаренная гражданка просто указала email для чеков от балды. Что интересно, для удаления адреса из базы пробовал обращаться в интернет-магазин (нет, идите в ОФД) и в ОФД (нет, идите в магазин). Замкнутый Уроборос, одним словом.
Зато теперь каждый месяц наслаждаюсь списком белья и косметики, которая эта дама покупает. С ценами и размерами :) Главное, чтобы жена эти письма в ящике не увидела — не поймет…
кодов для входа и подтверждения операций не приходит.
Зато есть оповещения о приходе средств, покупках в магазинах, снятии в банкоматах. А еще приходило смс с предложением оплатить счет за газ, для этого в смс был код.
Если не путаю, то номер блокируется оператором через 6 месяцев неактивности. Потом еще какое то время он выводится из пула доступных адресов. И за все это время товарищ не не отвязал старый номер?
Зато есть оповещения о приходе средств, покупках в магазинах, снятии в банкоматах. А еще приходило смс с предложением оплатить счет за газ, для этого в смс был код.
Если не путаю, то номер блокируется оператором через 6 месяцев неактивности. Потом еще какое то время он выводится из пула доступных адресов. И за все это время товарищ не не отвязал старый номер?
Из текста и скриншотов я не понял, как отключение Мобильного банка приостановило переводы через Сбербанк.Онлайн (к тому же с кредитки нельзя переводить деньги)?
Т.е. как — в Сбере с кредитки нельзя делать переводы? Это вообще тогда хит сезона.
ps. отключение мобильного банка могло помочь, так как, судя по всему, орудовали личности, не знакомые с десктопом — вы ж видите, что регистрировались из мобильного аппа на айфоне. Как только перекрыли кислород мобильному банку, тут все и сдулось.
ps. отключение мобильного банка могло помочь, так как, судя по всему, орудовали личности, не знакомые с десктопом — вы ж видите, что регистрировались из мобильного аппа на айфоне. Как только перекрыли кислород мобильному банку, тут все и сдулось.
а вот кстати интересно, что там смс «оплата». не перевод
Не известно. Больше про эту женщину ничего не писали.
У РКН совершенно другие цели и не для этого он создавался
Вот если бы с какого-нибудь мелкого сайта утечка произошла, то Роскомнадзор был бы тут как тут, но тут-то Сбер: надо молчать в тряпочку и поддакивать Грефу.
Роскомнадзор не нашел у Ozon утечки персональных данных
Роскомнадзор не нашел утечки данных клиентов «ОТП банка», «Альфа-банка» и «ХКФ банка»
РКН не стал проверять канал «Товарищ майор», в котором появились личные данные людей, которых автор публикации назвал «сторонниками Навального»
LinkedIn направлена на блокировку операторам связи из-за нарушений закона о персональных данных
Роскомнадзор не нашел утечки данных клиентов «ОТП банка», «Альфа-банка» и «ХКФ банка»
РКН не стал проверять канал «Товарищ майор», в котором появились личные данные людей, которых автор публикации назвал «сторонниками Навального»
LinkedIn направлена на блокировку операторам связи из-за нарушений закона о персональных данных
Обычно информация об утечках появляется во времена медийного прессинга Грефа. Например, как средства публично «подсветить» его косяки перед оппонентами, для использования в межклановой борьбе. РКН просто туда не лезет, не их война. Это и мешает :)
Сбер не купил у Оганесяна его замечательную бесполезную шнягу под названием DeviceLock.
С тех пор Оганесян мочит Сбер через жёлтушный КоммерсандЪ, а теперь ещё — через Известия.
Совпадение?
Кстати, вот вам ещё одно совпадение.
Вот уже 25 лет масс-медиа (реклама, сериалы, шоу и пр.) усиленно долбят людям мозг образом успешного человека: главное — сколько у тебя бабла, и неважно, как ты его получил. Нет денег — ты лошара.
Детишки, впитавшие всё это, уже выросли и пришли на работу. В том числе — и к тем, кто усиленно воспитывал их, как тупых и жадных до денег потребителей. Хорошо ещё, что не все родители отдали воспитание детей телевизору и Интернету.
А теперьрекламодатели работодатели офигенно удивляются: почему это стадо эти люди не включают на работе режим умного, добросовестного и лояльного сотрудника?
И ведь в голову этим «хозяинам жизни»не приходит, что люди, которых они воспитали, требуют не только гораздо больших вложений в инфобез, но и другого принципа работы с данными. Тут всю систему менять надо. (С)
С тех пор Оганесян мочит Сбер через жёлтушный КоммерсандЪ, а теперь ещё — через Известия.
Совпадение?
Кстати, вот вам ещё одно совпадение.
Вот уже 25 лет масс-медиа (реклама, сериалы, шоу и пр.) усиленно долбят людям мозг образом успешного человека: главное — сколько у тебя бабла, и неважно, как ты его получил. Нет денег — ты лошара.
Детишки, впитавшие всё это, уже выросли и пришли на работу. В том числе — и к тем, кто усиленно воспитывал их, как тупых и жадных до денег потребителей. Хорошо ещё, что не все родители отдали воспитание детей телевизору и Интернету.
А теперь
И ведь в голову этим «хозяинам жизни»не приходит, что люди, которых они воспитали, требуют не только гораздо больших вложений в инфобез, но и другого принципа работы с данными. Тут всю систему менять надо. (С)
Давайте на секунду представим, что это правда и я «обиделсо» на Сбер. Значит ли это, что баз клиентов Сбера нет в продаже и их клиентам не звонят постоянно мошенники?
А теперь представим (и это правда, в отличии от первого утверждения), что наш продукт не купили еще в 100500 компаниях по всему миру. Порождает ли это еще какие-то «совпадения» в Вашей голове?
А теперь представим (и это правда, в отличии от первого утверждения), что наш продукт не купили еще в 100500 компаниях по всему миру. Порождает ли это еще какие-то «совпадения» в Вашей голове?
Разумеется, не значит. Негодяи есть в любой организации, их не с Марса завозят.
Ещё как «обиделсо», и два минуса разом с двух аккаунтов (в том числе, и в карму) говорят мне, что Вас легко обидеть.
Вторая часть моего комментария — не о Вашей компании, а обо всей капиталистической системе, воспитывающей алчных и безмозглых потребителей. Но Вы этого не поняли, ибо обидка глаза застит.
Ещё как «обиделсо», и два минуса разом с двух аккаунтов (в том числе, и в карму) говорят мне, что Вас легко обидеть.
Вторая часть моего комментария — не о Вашей компании, а обо всей капиталистической системе, воспитывающей алчных и безмозглых потребителей. Но Вы этого не поняли, ибо обидка глаза застит.
Потому что штрафы прописаны в КоАП. Штрафы за нарушение 152-ФЗ просто мизерные (50 тыс. руб. для юр.лиц), на РКН можно просто класть болт, не понимаю, чего его все боятся:
Ответственность за нарушение закона о персональных данных
www.garant.ru/actual/persona/otvetstvennost
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
как оштрафовать сбербанк за утечку, если «нельзя хранить и получать доказательства»?
последнее предложение забавное — значит до 2023 «можно вынести и не один бит информации не санкционировано»
последнее предложение забавное — значит до 2023 «можно вынести и не один бит информации не санкционировано»
Вот в Киеве — вводят электронный ученический (попутно проездной) билет. С функцией слежки за перемещением дитяти с использованием муниципального транспорта, фоточкой и прочим. И всем по барабану, радостные «предки» с готовностью всё присылают. И ещё «первый раз бесплатно», а потом нехило нажиться на потерянных — вполне план :).
А в чём, собственно, проблема, вы можете уточнить?
Поддержу вопрос.
В РФ тоже есть, скажем, льготные пенсионерские проездные. Статистику с которых тоже можно отслеживать. Т.е. рисовать граф поездок, например. Мне интересно: кому кроме Московского метро (для регулировки трафика) нужна эта инфа?
Допустим, киевские родители могут видеть, через какой турникет в данный момент прошел их ребенок. Ну норм. А что дальше?
В РФ тоже есть, скажем, льготные пенсионерские проездные. Статистику с которых тоже можно отслеживать. Т.е. рисовать граф поездок, например. Мне интересно: кому кроме Московского метро (для регулировки трафика) нужна эта инфа?
Допустим, киевские родители могут видеть, через какой турникет в данный момент прошел их ребенок. Ну норм. А что дальше?
UFO just landed and posted this here
С проездными катаются и ничего
Да небось, как у нас с питанием сделают — Mifare Ultralite заюзают.
Клонируем на китайскую карту, оригинал храним дома.
Клонируем на китайскую карту, оригинал храним дома.
Ну так в Москве уже давно…
И не только проезд но и пересечение турникета в школе, вот с физкультурой только как то не продумали, выход там через другую дверь :)
Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано»
А зачем выносить? Прямо оттуда будут продавать;-))
А зачем выносить? Прямо оттуда будут продавать;-))
«Хороший банк» — терминалы лагают, не все купюры принимают, зачисление денег происходит спустя некоторое время. (Сбербанк Казахстан, думаю что в РФ так же)
Это уже даже и не смешно, к сожалению…
Больше настораживает фраза о выгрузке дополнительно 10к записей в неделю. Доступ к телу продолжается, я так понял?
Думается мне, с апреля 2020 до середины 2021 года Сбербанк будет очень даже неслабо лихорадить от всяких сообщений об утечках, сбоях, кражах и прочих убытках. А потом всё станет очень хорошо.
Ибо закроют сделку с ЦБ и начнут приватизацию Сбера. А нужные люди не хотят много денег тратить на покупку и к этому моменту надо будет Сбер обесценить.
Ибо закроют сделку с ЦБ и начнут приватизацию Сбера. А нужные люди не хотят много денег тратить на покупку и к этому моменту надо будет Сбер обесценить.
большинство пострадавших от этой утечки являются пенсионерами
Торговать данными уязвимых (в силу возраста и необразованности в вопросах безопасности) людей, которых и без того государство нагибает, как может… По-моему, это очередное пробитое дно морали.
Сбербанк уже ответил, что это старая утечка.
Лишний раз нам намекают в какой банк лучше не соваться.
Вот это дыра. Никогда такого не было и вот опять.
Sign up to leave a comment.
В Сбербанке снова утечка данных — новая информация о клиентах банка выставлена на продажу