- PVSM.RU - https://www.pvsm.ru -
Позавчера на GeekTimes вышла статья [1], в которой на видео демонстрируется якобы существующая уязвимость веб-версии Сбербанк Онлайн. Мы расскажем, почему ваши данные находятся в безопасности и что на самом деле показано на этом видео.
Уверены, что читателям GeekTimes не нужно рассказывать, что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями. Мы используем их в Сбербанк Онлайн для сбора статистики о переходах клиентов между страницами, чтобы оптимизировать и повысить качество наших онлайн-сервисов. Анонимность собираемой информации гарантируется политиками безопасности и конфиденциальности компаний Яндекс и Google. Подробнее о них: пользовательское соглашение Яндекс.Метрики [2], пользовательское соглашение Google Analytics [3]. Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Для защиты обслуживания Сбербанк Онлайн использует набор современных инструментов, включая TLS, двухфакторную авторизацию, риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов. Наиболее чувствительная клиентская информация (такая как фамилии, номера карт и счетов и т.д.) вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками». Чтобы дополнительно убедиться в безопасности нашего сервиса, мы при каждом обновлении проводим обширное penetration-тестирование, которое включает все известные виды атак.
Примем на веру утверждение автора, что вводимая на странице Сбербанк Онлайн информация передается на удаленный компьютер. Это возможно только в случае модификации страницы Сбербанк Онлайн.
На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных. В случае подмены контента на промежуточном сервере браузер классифицирует изменения как MITM-атаку [4] и не дает загрузить содержимое на страницу. Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.
Что же доказывает видео olegon-ru [5]? Только то, что вы можете запрограммировать свой компьютер на передачу данных вовне. Но это никак не влияет на безопасность обслуживания других клиентов.
Автор: SCST
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/256700
Ссылки в тексте:
[1] вышла статья: https://geektimes.ru/post/289577/
[2] пользовательское соглашение Яндекс.Метрики: https://yandex.ru/legal/metrica_termsofuse/
[3] пользовательское соглашение Google Analytics: https://www.google.com/analytics/terms/ru.html
[4] MITM-атаку: https://ru.wikipedia.org/wiki/%25D0%2590%25D1%2582%25D0%25B0%25D0%25BA%25D0%25B0_%25D0%25BF%25D0%25BE%25D1%2581%25D1%2580%25D0%25B5%25D0%25B4%25D0%25BD%25D0%25B8%25D0%25BA%25D0%25B0
[5] olegon-ru: https://geektimes.ru/users/olegon-ru/
[6] Источник: https://geektimes.ru/post/289661/
Нажмите здесь для печати.