Раскрыта серьезная уязвимость "Сбербанк Онлайн"

Фото: GLOBAL LOOK press/Anton Gyngazov
Эксперт обнаружил серьезную прореху в коде веб-версии сайта Сбербанка. "Вшитые" в него скрипты возможно подменить на фишинговые и таким образом перехватить личные данные клиентов, получив доступ к их счетам.

Уязвимость обнаружил эксперт по кибербезопасности Олег Калабухин. В своем блоге он подробно описывает детали опасного кода и предупреждает об отсутствии реакции из банка. 

Оказалось, что в веб-версию "Сбербанк-Онлайн" вшиты коды счетчиков нескольких поисковых систем, среди которых – Google-analytics, Rutarget, Doubleclick и "ЯМетрика". Они имеют доступ к личной информации клиента, которую тот вводит на сайте. Таким образом логины и пароли пользователей легко перехватить в момент ввода, что теоретически позволяет управлять чужими счетами и распоряжаться находящимися на них финансами.

"Суть происходящего – в следующем: 1) скрипты могут быть использованы для сбора любой информации о платежах, картах, паролях и других вводимых и отображаемых данных; 2) скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь; 3) скрипты могут быть использованы для подмены вводимой информации", – пишет эксперт. 

Калабухин предупреждает о найденной уязвимости и предлагает включать блокировщик рекламы для обеспечения минимальной безопасности. Впрочем, по его мнению, полностью защитить от угроз этот метод не может. В Сбербанке Олегу ответили, что не видят опасности в использовании сторонних скриптов. 

Шоу-бизнес в Telegram