Между банальностями и враньём: Сбербанк не признаётся в утечке данных
«Сами виноваты». Так прокомментировал главную угрозу кибербезопасности Сбербанк. Специалисты Сбера рассказали, что якобы 80% фиксируемых попыток мошенничества — это атаки на смартфоны пользователей и социальная инженерия. Так ли это на самом деле, и что скрывает банк от своих клиентов?
На днях специалист по поисковой оптимизации Павел Медведев на фоне скандала с Google Docs решил проверить, как обстоят дела с информационной безопасностью в отечественных структурах. Оказалось, что по простейшим поисковым запросам можно получить самые что ни на есть персональные данные. Но если раньше этим страдали мелкие интернет-магазины, то сегодня попались Дептранс Москвы, агрегаторы авиабилетов и всеми любимый Сбербанк.
Как так получилось? Как выяснилось, специалисты Сбербанка неправильно настроили простейший файл robots.txt, в котором содержатся команды поисковым системам, что индексировать, а что — нет. С другой стороны, чтобы облегчить доступ клиентам, доупрощались до крайне ненадежной системы. Чтобы не запоминать или не записывать сложные пароли, в Сбере внедрили длинные ссылки с уникальными адресами.
Назло кондуктору пойду пешком: Booking.com продолжает сопротивляться директивам ЕС
Работает это так: вам приходит приватная ссылка на доступ к персональным данным, личным кабинетам и т. п. Она очень длинная, перебором ее не подобрать. Но никто не предупреждал, что этой ссылкой нельзя делиться. Вот часть клиентов и делится. На форуме, в сообщениях, публикует без злого умысла. В результате поиск видит, что есть целый поддомен с большим количеством открытых ссылок. И бросает усилия на индексацию этого поддомена, так как запрет не указан в robots.txt. И эти открытые по вине специалистов банка данные попадают в Сеть.
Самый цирк начался, когда Сбер стал утверждать, что банковская тайна не пострадала, и опасаться нечего. Я, конечно, все понимаю, но, похоже, у нас какое-то разное определение банковской тайны. Данные о том, кто, куда, сколько и когда платил — это же банковская тайна? А тут доступ к персональным данным. И даже возможность их изменения.
Фото: www.globallookpress.com
Вместо того чтобы признать ошибку, спецы из банка начали сыпать банальностями. «Киберпреступность в первую очередь ассоциируют с хакерами и взломом ИТ-систем. Но на самом деле, взламывают чаще не машину, а человека. Четыре из пяти попыток мошенничества, которые фиксируется в Сбербанке, приходятся на так называемую социальную инженерию», — рассказали в банке.
Это к вопросу зафиксированных попыток. А что, если окажется, что количество зафиксированных попыток взлома не равно 100% от их общего числа? На самом деле, это именно так. Тогда может оказаться, что и сам Сбер пропускает подобные атаки. К тому же даже в агрессивной среде Андроида компания что-то пыталась делать, устанавливать вместе с приложением Сбербанка тот же антивирус. Но, похоже, это не особо помогло.
Бургеры-шпионы: Burger King оказался королем слежки
Также спецы из Сбера советуют не проводить транзакции через публичные беспроводные сети, ставить антивирусы на компьютеры и смартфоны, внимательно читать почту, чтобы не нарваться на фишинг (по их данным, минимум каждое третье такое письмо открывается).
Безусловно, это нужно соблюдать. Но почему вы умолчали о главной дыре в безопасности? Называется она «запрет передоверенности». Самое уязвимое место сегодня в информационной безопасности — это сим-карта. Дело в том, что на эти SMS из банка завязано все. Стоит только получить доступ к симке, и можно уводить деньги со счета. С точки зрения банка это будет полностью легальная операция. Сим-карта же на тебя оформлена, ты ей и пользовался. А если не ты — сам виноват.
Такой нехитрой формулировкой и пользуются мошенники. С помощью нечистых на руку и другие части тела сотрудников сотовых операторов, особенно в ритейле, по фальшивым доверенностям сим-карты клиентов перевыпускаются без их ведома. В результате клиент обнаруживает, что связи нет, сим-карта заблокирована, а деньги уплыли на чей-то счет. В банке же заявят, что вы сами «прокололись», и нужно расследование. Поэтому запрет передоверенности на сим-карту — первейшая необходимость. Но даже это не убережет клиента на 100%. Ведь от криворуких оптимизаторов не спасет никакой антивирус.
Фото: www.globallookpress.com
Что же тогда делать бизнесу, разработчикам сайтов и сервисов? Во-первых, любые данные закрывать максимально за авторизацией. Простейший, но пароль. И раздавать его пользователям сразу, генерируя относительно короткие, но безопасные пароли. Пользователи за вас этого не сделают. Во-вторых, запрещать поисковикам индексировать любую конфиденциальную информацию и проверять это. Достаточно простая история, но она требует того, чтобы в ней один раз разобраться и проверять регулярно, на всех поисковиках это работает.
А то вдруг окажется, как в случае со Сбербанком, что специалисты компании совершили ошибку, из-за которой персональные данные наших сограждан попали, например, в США? И в-третьих, пристальнее смотреть за поисковой оптимизацией. Она на месте не стоит, поэтому придется уделять ей время.