Все новости

Клиент Сбербанка нашел уязвимость на его сайте

Лента новостей

Дата публикации: 12.12.2016 15:40

11 970

10 Время прочтения: 1 минута

Источник

Banki.ru

Темы

Сбербанк

На сайте Сбербанка есть нерешенная проблема, которая может подвергнуть его клиентов опасности быть обманутыми кибермошенниками, сообщил порталу Банки.ру клиент банка с логином kvn1775.

По его словам, уязвимость была обнаружена в разделе для корпоративных клиентов. Для того чтобы удостовериться в этом, он предлагает зайти на сайт банка в данный раздел, выбрать строку меню «Обслуживание ВЭД и валютный контроль» и там нажать кнопку «Вход в личный кабинет». Эта кнопка ведет по уже неработающему адресу: ved-cabinet.ru.

«Этот адрес уже не принадлежит банку или его партнеру. Допущена ошибка, потому что ответственный человек забыл продлить домен, а ссылка на сайте в разделе для бизнеса осталась. Этим могли воспользоваться злоумышленники, которые могли свободно зарегистрировать домен и разместить произвольный контент на сайте», — рассказал клиент банка.

Он сообщил, что отправил в службу поддержки банка письмо о том, что на сайте имеются проблемы, но в течение четырех месяцев проблема не была решена.

Отметим, в настоящее время на сайте банка нет кнопки «Вход в личный кабинет», по ссылке ved-cabinet.ru можно увидеть надпись: «Сотрудники не могут решить проблему более четырех месяцев... В чем дело? kvn1775@gmail.com».

Получить комментарий от Сбербанка на момент написания материала не удалось.

Читать в Telegram

О банке

ПАО «Сбербанк России»

Лицензия № 1481 ОГРН 1027700132195

Ипотечный кредит года - 2022

Адрес

117997, г. Москва, ул. Вавилова, д. 19

Телефон

900

Офисы в городе Москвы

Сайт

www.sberbank.ru

Продукты банка

Расчетно-кассовое обслуживание

Подробнее о банке

Ну так какие претензии к Сбербанку? Ссылки на личный кабинет на сайте Сбера больше нет, то есть её давно убрали, а домен ved-cabinet.ru больше не принадлежит Сбербанку, то есть ни физически ни юридически он не имеет ни возможности ни права что-либо менять на этом домене.

nikolayv81

12.12.2016 16:52

Свободомыслящий Анархист пишет:
Ну так какие претензии к Сбербанку? Ссылки на личный кабинет на сайте Сбера больше нет, то есть её давно убрали, а домен ved-cabinet.ru больше не принадлежит Сбербанку, то есть ни физически ни юридически он не имеет ни возможности ни права что-либо менять на этом домене.

Ссылка как раз с сайта сбербанка на данный неработающий, а технология простая, выкупается домен, на нём создаётся похожая не сбер морда с предложением ввести логин и пароль.

p.s. а вот список того, что заблокировано адблоком на странице логина в онлайн кабинет для физиков:

https://sb.scorecardresearch.com/beacon.js
https://www.googletagmanager.com/gtm.js?id=GTM-NRDX7Z
https://ibbe.group-ib.ru/api/fl//AtK7cuLB6iqOQNfC77HMB9Z7IkOlrjqjxkjifb9yN1wi4TNYAYsQDveUvQkQ1-J9OZZdId4U7Q1BXViOhMp4Hg%3D%3D?u=77c2231801&fpt=16&mpt=1&spt=38&sst=6&sss=1482&pgt=1&ec=0&ed=b:0,t:0
https://ibbe.group-ib.ru/api/fl//id2
https://ibjs.group-ib.ru/vaultonline-2.js
https://ssl.google-analytics.com/ga.js

Ладно group-ib.ru - вроде как они должны были подписывать соглашения как подрядчики, но вот google думаю сберу лично ничего не обещал.

Там есть ещё списочек, который пропускает адблок, в нём к примеру scorecardsearch.com вы знаете кто-это? давали им права на вашу информацию?

Nickolaeris

12.12.2016 17:39

Николай (nikolayv81) пишет:

Свободомыслящий Анархист пишет:
Ну так какие претензии к Сбербанку? Ссылки на личный кабинет на сайте Сбера больше нет, то есть её давно убрали, а домен ved-cabinet.ru больше не принадлежит Сбербанку, то есть ни физически ни юридически он не имеет ни возможности ни права что-либо менять на этом домене.

Ссылка как раз с сайта сбербанка на данный неработающий, а технология простая, выкупается домен, на нём создаётся похожая не сбер морда с предложением ввести логин и пароль.

p.s. а вот список того, что заблокировано адблоком на странице логина в онлайн кабинет для физиков:

https://sb.scorecardresearch.com/beacon.js
https://www.googletagmanager.com/gtm.js?id=GTM-NRDX7Z
https://ibbe.group-ib.ru/api/fl//AtK7cuLB6iqOQNfC77HMB9Z7IkOlrjqjxkjifb9yN1wi4TNYAYsQDveUvQkQ1-J9OZZdId4U7Q1BXViOhMp4Hg%3D%3D?u=77c2231801&fpt=16&mpt=1&spt=38&sst=6&sss=1482&pgt=1&ec=0&ed=b:0,t:0
https://ibbe.group-ib.ru/api/fl//id2
https://ibjs.group-ib.ru/vaultonline-2.js
https://ssl.google-analytics.com/ga.js

Ладно group-ib.ru - вроде как они должны были подписывать соглашения как подрядчики, но вот google думаю сберу лично ничего не обещал.

Там есть ещё списочек, который пропускает адблок, в нём к примеру scorecardsearch.com вы знаете кто-это? давали им права на вашу информацию?

Вы статью читали, или хотя бы пробовали найти эту кнопку?

Отметим, в настоящее время на сайте банка нет кнопки «Вход в личный кабинет»

И ее действительно там нет. Можете даже проверить код сайта - даже скрытых упоминаний нет.
Модель мошенничества понятна, но каких действий вы и kvn1775 ждете от Сбербанка, если он просто удалил кнопку, и теперь ничто его не связывает с тем доменом? Конечно, было бы банально вежливо с их стороны написать мейл с благодарностью - но оставим это на совести сотрудника, отвечающего за сайт.