Уязвимость обнаружил эксперт по кибербезопасности Олег Калабухин. В своем блоге он подробно описывает детали опасного кода и предупреждает об отсутствии реакции из банка.
Оказалось, что в веб-версию "Сбербанк-Онлайн" вшиты коды счетчиков нескольких поисковых систем, среди которых – Google-analytics, Rutarget, Doubleclick и "ЯМетрика". Они имеют доступ к личной информации клиента, которую тот вводит на сайте. Таким образом логины и пароли пользователей легко перехватить в момент ввода, что теоретически позволяет управлять чужими счетами и распоряжаться находящимися на них финансами.
"Суть происходящего – в следующем: 1) скрипты могут быть использованы для сбора любой информации о платежах, картах, паролях и других вводимых и отображаемых данных; 2) скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь; 3) скрипты могут быть использованы для подмены вводимой информации", – пишет эксперт.
Калабухин предупреждает о найденной уязвимости и предлагает включать блокировщик рекламы для обеспечения минимальной безопасности. Впрочем, по его мнению, полностью защитить от угроз этот метод не может. В Сбербанке Олегу ответили, что не видят опасности в использовании сторонних скриптов.