Сбербанк-онлайн
На Geektimes рассказывают всякие страсти про сбербанк-онлайн - "Как Сбербанк Онлайн сливает данные пользователей".
Цитата.
Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).
...
Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.
Суть происходящего в следующем:
1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.
Скажите, кто пользуется "Сбербанк-онлайн" (я не пользуюсь, у меня карты Сбера нет) - там вот реально такая кошмарная дыра в безопасности? Они реально используют всякие посторонные скрипты - гугл.аналитики, яндекс.метрики и рутаргеты?
Автор статьи Олег Кулабухов от Сбера по этому поводу получил совершенно потрясающий ответ, цитирую:
Прям даже не верится, что там все может быть НАСТОЛЬКО запущено.
