Разбираем факты раскрытия банковской тайны в Сбербанке в связи с допущенными ошибками проектирования системы информационной безопасности.
Сбербанк на сегодняшний день является одним из самых упоминаемых брендов в связи с новомодной «трансформацией»: цифровой, банковской, всеобщей. Я помню, как лет 10 назад эта компания начала переманивать в свой штат огромное количество высококвалифицированных IT-специалистов. С тех пор многое изменилось, айтишники стали разборчивее в выборе работодателя. Новые сервисы выходят из лабораторий Сбербанка один за одним. И в погоне за «удобством» пользователя очень часто скрываются не просто подводные камни, а айсберги, которые в определенный момент могут юридически потопить любую компанию. Особенно если она хранит ваши деньги.
Сегодня мы разберем 3 примера фатальных IT-ошибок, которые, казалось бы, лежат на поверхности и допустить их было просто невозможно. Но Сбербанк умудрился это сделать, споткнувшись на ровном месте.
Пример 1. Уведомления о банковских операциях на email
У многих из нас есть такой email, который мы используем под различные регистрации и прочий спам. Я в такой ящик захожу обычно раз в 2-3 месяца (сам ящик живет с 1999 года), чищу и закрываю до лучших времен. Но вот однажды я обратил внимание на письма, которые попадали в папку спам от имени Сбербанк. В теме письма значилось многозначительное «Отчет по карте Visa *0612 за период с xx.xx.xx по yy.yy.yy». Понятно, что в последнее время развелось много мошенников (об этом мы поговорим в отдельном материале чуть позже), наживающихся на имени крупного банка. Но меня это письмо заинтересовало.
Отправителем значился Сбербанк России newreport_card@sberbank.ru. Изучив заголовки, я понял, что письмо не является фишинговым – отправитель действительно Сбербанк. Поскольку у меня никогда не было карты *0612, полез смотреть, что же за отчет мне прислал Сбербанк.
Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
id 1jlnqp-0002hE-LG
for имя@MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
for <имя@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
by 127.0.0.1
for <имя@MAIL.RU>;
Thu Jun 18 09:16:39 2020
Если сказать, что я был удивлен от увиденного, не сказать ничего. Я о*****л. Сбербанк на полном серьезе прислал мне отчет по чужой банковской карте с указанием имени, отчества и первой буквы фамилии со всеми расходными/приходными операциями, суммами по ним, остатками денежных средств на начало и конец периода, разделение на наличные и безналичные и прочей статистикой.
Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну. Статья 26 Федерального закона от 02.12.1990 N 395-1 (ред. от 27.12.2019) «О банках и банковской деятельности» гласит:
Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
…
Справки по операциям и счетам юридических лиц и индивидуальных предпринимателей, по операциям, счетам и вкладам физических лиц выдаются на основании судебного решения кредитной организацией должностным лицам органов, уполномоченных осуществлять оперативно-разыскную деятельность, при выполнении ими функций по выявлению, предупреждению и пресечению преступлений по их запросам, направляемым в суд в порядке, предусмотренном статьей 9 Федерального закона от 12 августа 1995 года N 144-ФЗ «Об оперативно-розыскной деятельности», при наличии сведений о признаках подготавливаемых, совершаемых или совершенных преступлений, а также о лицах, их подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела.
(про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу – желающие могут сами найти полный текст закона и увидеть это).
Последние 2 года мы занимаемся телеком-аудитом для различных компаний и выявляем сильные/слабые стороны внутри бизнеса, смотрим корректность взаимоотношений с контрагентами, находим и устраняем различные нарушения, поэтому у нас довольно сильный штат юристов, разбирающихся в тонкостях IT и телеком отношений. В частности, границ юридической ответственности в сфере информационной безопасности. Первым делом я отправился к ним для разъяснений.
Мы начали разбирать, почему и как это могло произойти, виноват ли банк в этой ситуации. Первым делом мы обратили внимание на имя и отчество владельца счета (Сбербанк сам раскрывает эту информацию в отчете). И обнаружили возможное сходство имени моего электронного ящика с email’ом реального владельца банковского счета. Отличие может составлять в одной букве: r и n. Они действительно похожи при ручном написании.
Мы предполагаем 2 варианта, почему все это могло произойти:
- — собственник счета заполнял какую-то электронную анкету, где сам ошибся при вводе своего имени;
- — собственник счета заполнял какую-то бумажную анкету, где неразборчиво указал адрес своего email – и сотрудник банк внес данные в систему с ошибкой.
И в этой ситуации мы видим слабые места проектировщиков систем информирования Сбербанка. Когда вопрос касается такой чувствительной сферы как деньги, банк должен быть вдвойне аккуратен и подстраховать своего клиента. При проектировании большинства систем авторизации/уведомлений разработчик исходит из «ошибки» пользователя. Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email. Это частая практика не только с email, но телефонными номерами. Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).
И если в первом случае, когда пользователь сам ошибся при вводе своего email, винить Сбербанк можно только в недоработке системы, то во втором случае все произошедшее должно быть тщательным образом расследовано. Ведь банк как кредитная организация в этой ситуации несет ответственность не только административную, но и уголовную.
Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной. Кто-то может сказать, что сейчас меня самого привлекут к ответственности (как часто случалось в таких ситуациях с «громкими» расследованиями в банковской сфере). Но спешу всех успокоить: в данной ситуации с моей стороны не было не сделано ничего, что привело к раскрытию банковской тайны. Банк сам добровольно присылает мне такие отчеты. Я думаю, здесь скорее к Сбербанку должны быть вопросы со стороны надзорных органов, если такая проблема может носить массовый характер. А об этом, к сожалению, мы вряд ли узнаем.
Главный вывод из этого кейса:
Вы как клиент Сбербанка можете даже и не знать о том, что ваша банковская информация «смотрит» наружу, если вдруг кто-то из сотрудников Сбербанка мог ошибиться при ручном вводе ваших контактных данных.
Если кто-то думает, что после этого материала служба безопасности Сбербанка ринется все проверять, устранять все недостатки, найдут виновного (может даже накажут), то здесь я читателей могу разочаровать. С большой долей вероятности ничего этого не будет. Потому что на личном опыте столкнулся с тем, что Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.
И здесь мы переходим ко второму кейсу.
Пример 2. Чужой номер телефона без вашего ведома
Многие знают, что в Сбербанке почти все построено вокруг экосистемы с номером мобильного телефона. Телекомом я занимаюсь почти 20 лет. И, начиная с 2007 года, когда мы активно начали внедрять VoIP-коммуникации, мы всех клиентов предупреждаем о телефонной безопасности и необходимо иметь защиту при авторизации по номеру телефона. Все эти игры с распознаванием АОНа и плотной интеграцией с CRM и ERP-системами привели к тому, о чем я говорил много лет назад, — вал телефонного мошенничества. В частности, именно на страницах Хабра мне удалось обратить внимание сообщество телеком-специалистов и операторов связи на мошенничество со «сливом» трафика 8-800.
Но сегодня мы поговорим о том, что в октябре 2019 года при просмотре настроек личных данных при очередном обновлении мобильного приложения Сбербанка я обнаружил, что в контактных данных у меня появился дополнительный телефонный номер. Который явно не имеет ко мне никакого отношения – я никогда его не указывал. Недавно в прессе многие обратили на это внимание, но я могу сказать, что вся эта история с добавлением «чужих» номеров тянется с 2019 года. А может и раньше.
Вернемся к аккаунту. По сути, кто-то взял и добавил без моего ведома чужой номер телефона в мои учетные данные. Я уже давно вывел из Сбербанка все сбережения (в том числе из соображений безопасности и такого количества ИТ-фейлов), поэтому особо не переживал за сохранность финансов. Но мне стало важно разобраться в этой ситуации до конца.
Спойлер: Сбербанк не признал ошибку и сообщил, что никаких логов изменений учетных данных клиентов он не хранит.
Итак. Я звоню персональному менеджеру Сбербанк-Премьер с уведомлением о наличии уязвимости в моем аккаунте. Менеджер полностью проигнорировал мое сообщение (это к вопросу о «премиальности» обслуживания) и рекомендовал сделать письменно запрос.
10 ноября 2019 года я составляю обращение в поддержку Сбербанка:
В настройках Сбербанк ID в поле «дополнительный телефон» указан номер +7 *** *** **-**. Скриншот во вложении.
Данный номер мне не принадлежит, я его не использую. Я его в данном поле не указывал.
Поскольку данный вопрос относится к теме безопасности, требую провести проверку, кто при каких обстоятельствах из сотрудников Сбербанка указал номер третьего лица в качестве моих контактных данных.
Данный номер используется для связи в случае невозможности связаться по основному номеру. Это крайне чувствительная информация и напрямую влияет на безопасность финансов, размещенных в Сбербанке.
Без проведения проверки и предоставления исчерпывающей информации по моему запросу я запрещаю вносить какие-либо изменения (включая удаление этого номера) в настройки Сбербанк ID.
Еще раз повторюсь: требую разъяснения кто, когда при каких обстоятельствах внес «чужой» номер в мои контактные данные.
Прошу обратить внимание, что в своем обращении я запрещаю сотрудникам Сбербанк вносить какие-либо изменения в мой аккаунт.
27 ноября 2019 года, то есть спустя 17 (!) дней после обращения по вопросу БЕЗОПАСНОСТИ аккаунта приходит такой ответ. И закрывается обращение.
… ваше обращение № xxxx-yyyy-xxx от 10.11.2019 рассмотрено. В ходе проверки выявлено, что номер телефона +7****** -**-** был зарегистрирован в ваших контактных данных в системе банка в 2012г в Московском банке. В соответствии с порядком, действующим в банке, срок хранения бумажных и электронных документов составляет пять лет, в соответствии с чем запрашиваемую вами информацию и документы предоставить невозможно. Для исключения данного номера телефона из ваших контактных данных вы можете обратиться в отделение банка с документом, удостоверяющим личность. Приносим извинения за неудобства. Сбербанк.
То есть до 2019 года я этот номер ни в каких настройках не видел, а он, оказывается, был там с 2012 года. Потрясающе. И вишенка на торте: несмотря на мой запрет изменения моих данных в Сбербанке без моего ведома Сбербанк УДАЛЯЕТ «спорный» номер из моего аккаунта без какого-либо уведомления и согласования. Хотя для этой операции мне рекомендовано обратиться с паспортом в отделение.
Еще раз повторюсь: сотрудники Сбербанка просто РЕДАКТИРУЮТ Ваши контактные данные, завязанные на безопасность аккаунта (логин для управления всеми вашими финансами), БЕЗ какого-либо УВЕДОМЛЕНИЯ клиента.
В ответ на эти действия я составляю очередной запрос:
Добрый день.
В мобильном приложении у меня был привязан дополнительный номер с окончанием**-**. Я обнаружил, что по неизвестной причине этот номер оттуда неожиданно исчез. Я не просил его удалять, сам я эти действия не производил.
Прошу провести служебную проверку и предоставить разъяснение, кто при каких обстоятельствах и на каком основании внес изменение в мои личные данные без моего согласия! Прошу назвать фамилию, имя, отчество и должность сотрудника, осуществившего несанкционированные действия с моими личными данными для привлечения к ответственности, предусмотренной действующим законодательством.
О результатах проверки уведомить меня ответным сообщением для подготовки материалов в надзорные органы для проведения проверки в отношении Сбербанка России, нарушившего условия банковского обслуживания.
Ответ просто фееричен:
… ваше обращение № xxx-yyy-zzz от 27.11.2019 рассмотрено. Вами ранее было оставлено обращение № xxx-yyy-zzz через Сбербанк онлайн по вопросу отражения номера телефона +7********** в мобильном приложении Сбербанк онлайн. В обращении вами указано, что данный номер вам не принадлежит. Банк провел мероприятия по исключению данного номера из ваших контактных данных. Ответ на обращение № xxx-yyy-zzz направлен на Ваш электронный адрес ****@***.*** или обратитесь в офис банка для получения ответа. Добавить номер телефона Вы можете в мобильном приложении Сбербанк онлайн. Сбербанк.
Вывод этого примера очень простой:
Сбербанк в одностороннем порядке может не только менять условия банковского обслуживания (снижать процентную ставку по вкладу, повышать процентную ставку по кредиту – но никак не наоборот), но и в одностороннем порядке менять вам порядок доступа к вашим деньгам, добавлять/удалять мобильные номера для управления аккаунтом и не хранить никаких логов. Соответственно, не нести за ваши финансы никакой ответственности. Ну или хотя бы не стесняться говорить об этом клиентам.
А к чему все это приводит, мы поговорим в следующем материале, где разберем кейсы с телефонным мошенничеством. Почему это затронуло в особенности Сбербанк, я думаю, из текущего материала стало многим очевидно. В том числе поговорим про мошенничество 2.0 – новую версию, о которой пока в СМИ никто не писал. И там будет много любопытного.
Пример 3. Номер телефона сменил пользователя
Как следствие из первых двух кейсов возникает ситуация, с которой сталкиваются тысячи клиентов Сбербанка. Как было сказало выше, мобильный номер – это центральная часть всей связки Сбербанка и клиента. Формально клиент отвечает за то, какой номер телефона он указал. Но что происходит на практике.
Телефонный номер, как многие знают, не принадлежит ни абоненту, ни оператору связи. Да, это распространенный миф – что если у вас есть номер, есть договор на него, то вы его владелец. Это не так. Номер телефона – это ограниченный ресурс, которым владеет государство. И оно поручает операторам связи обслуживать этот ресурс. Абоненты (пользователи) получают во временное распоряжение набор цифр на период действия договора. Не более того. При этом этот набор цифр в силу ФЗ «О связи» может быть в одностороннем порядке заменен у абонента одним росчерком пера руководителя Федерального агентства связи. Сейчас такие истории случаются все реже, но на моей практике было несколько кампаний по смене нумерации у действующих абонентов, в том числе мобильной. И абонент от этих изменений никак не застрахован. Ему просто изменяют номер с уведомлением. Мобильный номер, который является центральным ядром многих цифровых систем. В том числе внутри мобильного банка.
И недавно возникла такая ситуация. Производили аудит одной компании, которая использует порядка 2000 номеров для своих сотрудников: делали сверку расходов, проводили сокращение затрат и оптимизацию, возвращали деньги за «платные подписки» и прочие навязанные услуги со стороны мобильных операторов. И в какой-то момент обнаружили, что на части номеров «привязаны» мобильные банки физических лиц. То есть сотрудники пользовались этими номерами ранее, потом уволились. И сейчас пользуются другие сотрудники. Мы созвонились с бывшими сотрудниками. Оказалось, что они после увольнения якобы меняли номер телефона для входа в Сбербанк-онлайн. И были удивлены, что доступ к их финансам возможен через «старые номера». Оказалось, когда они проходили процедуру «изменения» номера, новый номер не заменялся старым, а всего лишь добавлялся. Старый по-прежнему был активен в Сбербанк-онлайне.
Сейчас Сбербанк изменил процедуру, но для старых пользователей это все осталось по-прежнему. И есть как минимум несколько десятков тысяч граждан (а может и больше), которые и знать не знают, что информация об их финансах доступна третьим лицам. Привязав один раз номер телефона, банк ожидает, что это навсегда. Увы, практика показывает, что это не так.
Можно, конечно, утверждать, что это проблема самих людей. Но вы посмотрите, как люди относятся сейчас к цифровым продуктам, особенно старшее поколение: для них это все становится непонятным и неочевидным. Если раньше были системные администраторы и помогали с настройкой компьютера, то сейчас может быть перерождение этой профессии – настройщик программ для смартфонов. Это все шутки, но проблема действительно важная, ведь она затрагивает огромное количество пользователей. Не пользоваться этими продуктами уже невозможно. Но должного описания и донесения информации как пользоваться – тоже нет.
Я считаю, что здесь скорее должны быть введены в действие какие-то регламенты, определяющие порядок использования мобильных номеров в банковских продуктах. Нет, я не сторонник всеобщей регуляции. Но есть моменты, которые нужно очень внимательно изучать. И здесь должна быть совместная работа и банков, и операторов связи, и надзорных органов. Но решение должно быть удобным, функциональным и понятным для всех участников. Иначе мы и дальше будет наблюдать издержки «удобства» банковских продуктов в росте количества мошеннических схем и компьютерных преступлений.
Автор: Ярослав Дубовиков