Die Sberbank ist heute eine der bekanntesten Marken im Zusammenhang mit der neuen "Transformation": Digital, Banking, Universal. Ich erinnere mich, wie dieses Unternehmen vor 10 Jahren begann, eine große Anzahl hochqualifizierter IT-Spezialisten in seinen Staat zu locken. Seitdem hat sich viel geändert, und IT-Spezialisten sind bei der Auswahl eines Arbeitgebers selektiver geworden. Neue Dienstleistungen kommen nacheinander aus den Labors der Sberbank. Und im Streben nach "Bequemlichkeit" des Benutzers werden oft nicht nur Fallstricke verborgen, sondern auch Eisberge, die irgendwann jedes Unternehmen legal versenken können. Besonders wenn sie dein Geld behält.
Heute werden wir drei Beispiele für schwerwiegende IT-Fehler analysieren, die an der Oberfläche zu liegen scheinen und die einfach unmöglich waren. Aber Sberbank hat es geschafft und ist aus heiterem Himmel gestolpert.
Beispiel 1. E-Mail-Banking-Benachrichtigungen
Viele von uns haben eine solche E-Mail, die wir für verschiedene Registrierungen und andere Spam-Mails verwenden. Normalerweise gehe ich alle 2-3 Monate in eine solche Kiste (die Kiste selbst lebt seit 1999), sauber und schließe bis zu besseren Zeiten. Aber dann bemerkte ich eines Tages Briefe, die im Auftrag von Sberbank in den Spam-Ordner fielen. Der Betreff des Schreibens lautete der aussagekräftige "Bericht auf der Visa-Karte * 0612 für den Zeitraum von xx.xx.xx bis yy.yy.yy". Es ist klar, dass es in letzter Zeit viele Betrüger gegeben hat (wir werden etwas später in einem separaten Artikel darüber sprechen), die vom Namen einer großen Bank profitieren. Aber dieser Brief hat mich interessiert.
Der Absender war Sberbank of Russia newreport_card@sberbank.ru. Nachdem ich die Überschriften untersucht hatte, stellte ich fest, dass es sich bei dem Brief nicht um Phishing handelt - der Absender ist in der Tat Sberbank. Da ich nie eine * 0612-Karte hatte, musste ich sehen, welche Art von Bericht mir die Sberbank geschickt hat.
Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
id 1jlnqp-0002hE-LG
for @MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
for <@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
by 127.0.0.1
for <@MAIL.RU>;
Thu Jun 18 09:16:39 2020
Wenn ich sagen wollte, dass ich von dem, was ich sah, überrascht war, um nichts zu sagen. Ich bin o ***** l. Sberbank schickte mir in aller Ernsthaftigkeit einen Bericht über die Bankkarte eines anderen, in dem der Name, das Patronym und der Anfangsbuchstabe des Nachnamens mit allen Debit- / Kredittransaktionen, Beträgen darauf, Barguthaben zu Beginn und am Ende des Zeitraums, Aufteilung in Bargeld und Sachwerte sowie andere Statistiken angegeben waren.
Kurz gesagt, die Sberbank hat mir Informationen zum Bankgeheimnis geschickt. Artikel 26 des Bundesgesetzes vom 02.12.1990 N 395-1 (in der Fassung vom 27.12.2019) "Über Banken und Bankgeschäfte" lautet:
, , , , , . , , , , .(Ich werde nichts über die Schreibweise von "operativen und recherchierenden" Aktivitäten im Text des Bundesgesetzes sagen - diejenigen, die dies wünschen, können den vollständigen Text des Gesetzes selbst finden und sehen).
…
, , , - , , , , 9 12 1995 N 144- « - », , , , , , .
In den letzten zwei Jahren haben wir für verschiedene Unternehmen Telekommunikationsprüfungen durchgeführt und Stärken / Schwächen innerhalb des Unternehmens ermittelt, die Richtigkeit der Beziehungen zu Gegenparteien überprüft, verschiedene Verstöße festgestellt und beseitigt. Daher verfügen wir über ein ziemlich starkes Team von Anwälten, die die Feinheiten der IT- und Telekommunikationsbeziehungen verstehen. Insbesondere die Grenzen der rechtlichen Verantwortung im Bereich der Informationssicherheit. Das erste, was ich tat, war, zur Klärung zu ihnen zu gehen.
Wir begannen zu analysieren, warum und wie dies passieren könnte, ob die Bank für diese Situation verantwortlich ist. Zunächst haben wir auf den Namen und das Patronym des Kontoinhabers geachtet (die Sberbank selbst legt diese Informationen im Bericht offen). Und wir haben eine mögliche Ähnlichkeit zwischen dem Namen meines E-Mail-Kontos und der E-Mail-Adresse des tatsächlichen Eigentümers des Bankkontos festgestellt. Der Unterschied besteht in einem Buchstaben: r und n. Sie sind wirklich ähnlich, wenn sie handgeschrieben sind.
Wir gehen von zwei Optionen aus, warum dies alles passieren könnte:
- - Der Kontoinhaber hat einen elektronischen Fragebogen ausgefüllt, in dem er selbst bei der Eingabe seines Namens einen Fehler gemacht hat.
- - Der Kontoinhaber füllte eine Art Papierfragebogen aus, in dem er illegal seine E-Mail-Adresse angab - und der Bankangestellte gab die Daten mit einem Fehler in das System ein.
In dieser Situation sehen wir die Schwächen der Designer der Informationssysteme der Sberbank. Wenn es um einen so sensiblen Bereich wie Geld geht, sollte die Bank doppelt vorsichtig sein. Beim Entwerfen der meisten Autorisierungs- / Benachrichtigungssysteme geht der Entwickler vom "Fehler" des Benutzers aus. Daher war die Sberbank meiner Meinung nach verpflichtet, die Notwendigkeit zu überprüfen, die eingegebene E-Mail zu überprüfen (auch wenn der Kunde dies selbst angegeben hat), indem sie eine E-Mail-Benachrichtigung mit einem Vorschlag zur Bestätigung der angegebenen E-Mail schickte. Dies ist nicht nur bei E-Mails, sondern auch bei Telefonnummern üblich. Darüber hinaus muss dies in Verbindung mit dem Konto erfolgen (damit niemand sonst diese Aktivierung versehentlich durchführen kann).
Und wenn im ersten Fall, wenn der Benutzer selbst bei der Eingabe seiner E-Mail einen Fehler gemacht hat, Sberbank nur für einen Fehler im System verantwortlich gemacht werden kann, sollte im zweiten Fall alles, was passiert ist, gründlich untersucht werden. Schließlich trägt die Bank als Kreditorganisation in dieser Situation nicht nur administrative, sondern auch strafrechtliche Verantwortung.
Aber die Tatsache bleibt - Sberbank sendet mir regelmäßig Daten anderer Personen, die durch das Bankgeheimnis geschützt sind... Jemand könnte sagen, dass ich jetzt selbst zur Rechenschaft gezogen werde (wie es in solchen Situationen bei "hochkarätigen" Ermittlungen im Bankensektor häufig der Fall war). Aber ich beeile mich, alle zu beruhigen: In dieser Situation wurde meinerseits nichts unternommen, was zur Offenlegung von Bankgeheimnissen führte. Die Bank selbst schickt mir freiwillig solche Berichte. Ich denke, dass die Sberbank lieber Fragen von Aufsichtsbehörden haben sollte, wenn ein solches Problem massiv sein kann. Leider ist es unwahrscheinlich, dass wir davon erfahren.
Die Hauptschlussfolgerung aus diesem Fall:
Als Kunde von Sberbank wissen Sie möglicherweise nicht einmal, dass Ihre Bankdaten "herausschauen", wenn plötzlich jemand von Sberbank-Mitarbeitern einen Fehler bei der manuellen Eingabe Ihrer Kontaktinformationen machen könnte.
Wenn jemand denkt, dass der Sicherheitsdienst der Sberbank nach diesem Material alles überprüfen, alle Mängel beseitigen, den Schuldigen finden (vielleicht sogar bestrafen), dann kann ich hier die Leser enttäuschen. Mit hoher Wahrscheinlichkeit wird nichts davon passieren. Aus persönlicher Erfahrung bin ich auf die Tatsache gestoßen, dass die Sberbank einfach keine Protokolle über Änderungen des Status Ihrer Daten führt.
Und hier kommen wir zum zweiten Fall.
Beispiel 2. Die Telefonnummer eines anderen ohne Ihr Wissen
Viele Menschen wissen, dass bei Sberbank fast alles um ein Ökosystem mit einer Mobiltelefonnummer herum aufgebaut ist. Ich arbeite seit fast 20 Jahren in der Telekommunikation. Und seit 2007, als wir aktiv mit der Einführung der VoIP-Kommunikation begannen, warnen wir alle Kunden vor der Telefonsicherheit, und bei der Autorisierung anhand der Telefonnummer ist ein Schutz erforderlich. All diese Spiele mit Anrufer-ID-Erkennung und enger Integration in CRM- und ERP-Systeme führten zu dem, worüber ich vor vielen Jahren gesprochen habe - dem Schacht des Telefonbetrugs. Insbesondere auf den Seiten von Habr konnte ich die Gemeinschaft der Telekommunikationsspezialisten und Telekommunikationsbetreiber auf den Betrug mit dem "Abfluss" von 8-800 Verkehr aufmerksam machen .
Heute werden wir jedoch darüber sprechen, dass ich im Oktober 2019 beim Betrachten der Einstellungen für personenbezogene Daten beim nächsten Update der mobilen Sberbank-Anwendung festgestellt habe, dass meine Kontaktinformationen eine zusätzliche Telefonnummer enthalten. Was offensichtlich nichts mit mir zu tun hat - ich habe es nie angegeben. Kürzlich in der Presse haben viele darauf aufmerksam gemacht, aber ich kann sagen, dass diese ganze Geschichte mit der Hinzufügung von "ausländischen" Zahlen seit 2019 weitergeht. Und vielleicht sogar früher.
Kehren wir zum Konto zurück. Im Wesentlichen hat jemand ohne mein Wissen die Telefonnummer eines anderen zu meinen Anmeldeinformationen genommen und hinzugefügt. Ich habe der Sberbank längst alle meine Ersparnisse entzogen (auch aus Sicherheitsgründen und wegen so vieler IT-Ausfälle), sodass ich mir keine besonderen Sorgen um die Sicherheit meiner Finanzen machte. Aber es wurde mir wichtig, diese Situation bis zum Ende zu verstehen.
Spoiler: Sberbank hat den Fehler nicht zugelassen und erklärt, dass keine Protokolle über Änderungen der Kundenanmeldeinformationen gespeichert werden.
Damit. Ich rufe den persönlichen Manager von Sberbank-Premier mit einer Benachrichtigung über das Vorhandensein einer Sicherheitsanfälligkeit in meinem Konto an. Der Manager ignorierte meine Nachricht vollständig (hier geht es um den "Premium" -Dienst) und empfahl, eine schriftliche Anfrage zu stellen.
Am 10. November 2019 schreibe ich einen Aufruf zur Unterstützung der Sberbank:
ID « » +7 *** *** **-**. .
, . .
, , .
. , .
- ( ) ID.
Ich wiederhole noch einmal: Ich fordere eine Klärung, wer, wann und unter welchen Umständen die Nummer eines anderen in meine Kontaktinformationen eingegeben hat.
Bitte beachten Sie, dass ich Sberbank-Mitarbeitern in meiner Berufung untersage, Änderungen an meinem Konto vorzunehmen.
Am 27. November 2019, also 17 (!) Tage nach Kontaktaufnahme mit dem Konto SECURITY, geht eine solche Antwort ein. Und die Berufung ist geschlossen.
… № xxxx-yyyy-xxx 10.11.2019 . , +7****** -**-** 2012 . , , , . , . . .
Das heißt, bis 2019 habe ich diese Nummer in keiner Einstellung gesehen, aber es stellt sich heraus, dass sie seit 2012 dort ist. Tolle. Und die Kirsche an der Spitze: Trotz meines Verbots, meine Daten in Sberbank ohne mein Wissen zu ändern , ENTFERNT Sberbank die "umstrittene" Nummer ohne Benachrichtigung oder Genehmigung von meinem Konto. Obwohl mir für diese Operation empfohlen wurde, einen Reisepass bei der Abteilung zu beantragen.
Ich wiederhole noch einmal: Sberbank-Mitarbeiter BEARBEITEN einfach Ihre Kontaktinformationen in Bezug auf die Sicherheit Ihres Kontos (Login für die Verwaltung aller Ihrer Finanzen), OHNE Benachrichtigung des Kunden.
Als Antwort auf diese Aktionen verfasse ich eine weitere Anfrage:
.
**-**. , . , .
, ! , , , , .
, .
Die Antwort ist einfach bezaubernd:
... Ihre Berufung Nr. xxx-yyy-zzz vom 27.11.2019 wurde geprüft. Sie haben zuvor über die Sberbank online eine Beschwerde Nr. Xxx-yyy-zzz bezüglich der Angabe der Telefonnummer +7 ********** in der Sberbank-Online-Mobilanwendung hinterlassen. In der Berufung haben Sie angegeben, dass diese Nummer Ihnen nicht gehört. Die Bank hat Maßnahmen ergriffen, um diese Nummer von Ihren Kontaktinformationen auszuschließen. Die Antwort auf die Beschwerde Nr. Xxx-yyy-zzz wurde an Ihre E-Mail-Adresse ****@***.*** gesendet oder Sie wenden sich an das Büro der Bank, um eine Antwort zu erhalten. Sie können eine Telefonnummer in der mobilen Sberbank-Anwendung online hinzufügen. Sberbank.
Die Ausgabe dieses Beispiels ist sehr einfach:
Die Sberbank kann nicht nur einseitig die Bedingungen für Bankdienstleistungen ändern (Zinssatz für die Einlage senken, Zinssatz für den Kredit erhöhen - aber nicht umgekehrt), sondern auch einseitig das Verfahren für den Zugriff auf Ihr Geld ändern, Handynummern für die Verwaltung hinzufügen / entfernen Konto und speichern Sie keine Protokolle. Übernehmen Sie dementsprechend keine Verantwortung für Ihre Finanzen. Nun, oder zögern Sie zumindest nicht, Kunden davon zu erzählen.
Und wozu dies alles führt, werden wir im nächsten Artikel besprechen, in dem wir Fälle mit Telefonbetrug analysieren werden. Warum dies besonders die Sberbank betraf, wurde aus dem aktuellen Material vielen klar. Lassen Sie uns unter anderem über Fraud 2.0 sprechen - eine neue Version, über die noch niemand in den Medien geschrieben hat. Und es wird viele interessante Dinge geben.
Beispiel 3. Telefonnummer geänderter Benutzer
Infolge der ersten beiden Fälle entsteht eine Situation, mit der Tausende von Sberbank-Kunden konfrontiert sind. Wie oben erwähnt, ist die Handynummer der zentrale Teil der gesamten Verbindung zwischen der Sberbank und dem Kunden. Formal ist der Kunde dafür verantwortlich, welche Telefonnummer er angegeben hat. Aber was passiert in der Praxis?
Wie viele wissen, gehört die Telefonnummer weder dem Teilnehmer noch dem Telekommunikationsbetreiber. Ja, dies ist ein weit verbreiteter Mythos: Wenn Sie eine Nummer haben, gibt es einen Vertrag dafür, dann sind Sie deren Besitzer. Es ist nicht so. Eine Telefonnummer ist eine begrenzte Ressource der Regierung. Und es weist Telekommunikationsbetreiber an, diese Ressource zu warten. Abonnenten (Benutzer) erhalten vorübergehend eine Reihe von Nummern für die Dauer des Vertrags. Nicht mehr. Gleichzeitig kann dieser Nummernsatz aufgrund des Bundesgesetzes "Über Kommunikation" einseitig durch einen Abonnenten mit einem Federstrich des Leiters der Bundeskommunikationsagentur ersetzt werden. Jetzt passieren solche Geschichten immer weniger, aber in meiner Praxis gab es mehrere Kampagnen, um die Nummerierung bestehender Abonnenten, einschließlich Mobilfunk, zu ändern. Und der Abonnent ist gegen diese Änderungen nicht immun. Sie ändern nur seine Nummer mit einer Benachrichtigung.Handynummer, die den zentralen Kern vieler digitaler Systeme darstellt. Einschließlich innerhalb der mobilen Bank.
Und in letzter Zeit ist eine solche Situation entstanden. Wir haben ein Unternehmen geprüft, das etwa 2.000 Nummern für seine Mitarbeiter verwendet: Wir haben Kostenabgleich, Kostensenkung und Optimierung durchgeführt und Geld für „bezahlte Abonnements“ und andere auferlegte Dienste von Mobilfunkbetreibern zurückerstattet. Und irgendwann stellten sie fest, dass einige der Nummern mit den mobilen Banken von Einzelpersonen verbunden waren. Das heißt, die Mitarbeiter haben diese Nummern früher verwendet und dann gekündigt. Und jetzt nutzen es andere Mitarbeiter. Wir haben ehemalige Mitarbeiter angerufen. Es stellte sich heraus, dass sie nach der Entlassung angeblich die Telefonnummer geändert hatten, um online in die Sberbank einzutreten. Und sie waren überrascht, dass der Zugang zu ihren Finanzen über die "alten Zahlen" möglich ist. Es stellte sich heraus, dass beim "Ändern" der Nummer die neue Nummer nicht durch die alte ersetzt, sondern nur hinzugefügt wurde.Der alte war noch in Sberbank-online aktiv.
Jetzt hat die Sberbank das Verfahren geändert, aber für alte Benutzer bleibt alles gleich. Und es gibt mindestens mehrere Zehntausend Bürger (und vielleicht noch mehr), die nicht einmal wissen, dass Informationen über ihre Finanzen Dritten zur Verfügung stehen. Nachdem die Telefonnummer einmal verknüpft wurde, erwartet die Bank, dass sie für immer bestehen bleibt. Leider zeigt die Praxis, dass dies nicht der Fall ist.
Es kann natürlich argumentiert werden, dass dies das Problem der Menschen selbst ist. Aber Sie sehen, wie die Menschen heute mit digitalen Produkten umgehen, insbesondere mit der älteren Generation: Für sie wird alles unverständlich und nicht offensichtlich. Wenn es früher Systemadministratoren gab, die beim Einrichten eines Computers geholfen haben, könnte dieser Beruf jetzt wiedergeboren werden - ein Anpassungsprogramm für Programme für Smartphones. Dies sind alles Witze, aber das Problem ist wirklich wichtig, da es eine große Anzahl von Benutzern betrifft. Es ist nicht mehr möglich, diese Produkte nicht zu verwenden. Es gibt jedoch auch keine ordnungsgemäße Beschreibung und Bereitstellung von Informationen zur Verwendung.
Ich bin der Meinung, dass hier eher einige Vorschriften eingeführt werden sollten, die das Verfahren für die Verwendung von Mobiltelefonnummern in Bankprodukten bestimmen. Nein, ich bin kein Befürworter der universellen Regulierung. Es gibt jedoch Punkte, die sehr sorgfältig untersucht werden müssen. Und hier sollte es eine gemeinsame Arbeit von Banken, Telekommunikationsbetreibern und Aufsichtsbehörden geben. Die Lösung sollte jedoch für alle Teilnehmer bequem, funktional und verständlich sein. Andernfalls werden wir weiterhin die Kosten für die "Bequemlichkeit" von Bankprodukten bei der Zunahme der Anzahl betrügerischer Systeme und Computerkriminalität beobachten.
UPD (16. Juli, 13:20 Uhr):
Die Sberbank beschloss, noch weiter zu gehen. Und erst gestern hat er mir zu meinem Geburtstag "Glückwünsche" geschickt. Das heißt, es reichte ihm nicht aus, das Bankgeheimnis zu verletzen - die Sberbank beschloss auch, das Bundesgesetz "Über personenbezogene Daten" vom 27.07.2006 N 152-FZ zu verletzen. Wie weit wird die Sberbank gehen?