Сбербанк Онлайн сливает данные пользователей

[Lame]

Нашел вот статейку https://geektimes.ru/post/289577/ . Кто-нибудь может сказать, это реально? Вот так сливать данные миллионов пользователей из крупнейшего государственного банка?

[Hajim]

Кстати, да.

У меня есть карта, для так сказать, интернет покупок, зарегистрированная на отельный мобильный телефон. 

На данный номер, кроме карты ничего не зарегано. Периодически, получаю рекламные звонки и смски на него.

Сливают инфу... сливают. 

[ReyAnd]

Ныне организации должны подавать сведения по всем своим покупкам продажам, что-то типа книги покупок-продаж.

То есть все данные по сделкам с другими организациями.

Эти сведения из налоговой продаются, довольно недорого.

Представляете, запросто можно узнать всю базу клиентов, которых вы нарабатывали годами.

Или нашли вы дешёвое сырьё или эксклюзивный товарчик. А любой нечистоплотный товарищ, легко вас вычисляет и влазит в вашу тему.

 

Или совсем комплексно. Идёт к вашему поставщику, берёт у него объёмы и начинает демпинговать ваших покупателей, вытесняя вас с рынка.

Изменено 30 мая, 2017 пользователем ReyAnd

[antiz]

@Lame, сбер лидер и по наиболее удобному онлайн банку и по объему.

Его в первую очередь и  "ломают" и поливают.

 

@Hajim, кстати да - давно так было ,а последние полгода-год не припомню ниодного случая.

Но на всякий случай застраховал карту - 2килорублей год стоит, только сумма покрытия не помню. 

[Элис]

Сама статья - глупость, конечно. Таким способом как он описывает ваши данные не стырить. Его эксперимент с собственным скриптом - вообще смешно. Это аналогично подглядыванию через плечо в момент, когда вы вводите данные ) но ведь вы ж сами должны впустить соглядатая к себе домой, да ? Вот и тут также.


Ну это, конечно, не отменяет возможности купить ваши данные у нечестных сотрудников которые имею к ним доступ, да.

Изменено 31 мая, 2017 пользователем Элис

[mzpcrvwv]

@Элис,

Их стырить намного проще, начиная от халявных вайфаев, заканчивая впн.

Продемонстированный скрипт отлично показывает суть.

Нагуглить программу которая будет читать ( перехватывать пакеты) не зашифрованные данные дело 5 минут, зашифрованные немного подольше ( если на халяву). Или можно сразу купить.

Оставляем в Макдональдсе ( или любой дргуой халявный вай фай) аппарат с запущенным перехватом - вечером чекаем данные кучи пользователей.

Не зря банки перешли на логин только через звонок или смс.

Изменено 31 мая, 2017 пользователем mzpcrvwv

[Элис]

@Элис,

Продемонстированный скрипт отлично показывает суть.

Если суть в том, что легко обвести вокруг пальца людей и устроить из пустого места антирекламу чему угодно, то безусловно да.  Просто ради любопытства проследи за его мышью ) Этот гений связал два компа (хотя видим-то мы всего один, кстати), отправляет данные с одного на другой и убеждает нас, что это делается через сбербанк онлайн

ну-ну.

моя ставка - лог ввода с клавиатуры

 

Еще раз. Есть куча способов стырить данные, но

     конкрено эта статья - фигня полная.

 

Моя контора пользуется этими самыми гугл аналитиками и проч. 

И если я задамся целью что-то стырить, то эти самые скрипты также удобно использовать как удалять гланды внуку через сами-знаете-какое-место его покойного прадедушки. К тому же зафигачить на сайт твоего работодателя вражеский скрипт, это как ограбить чужую квартиру и оставить там свой паспорт - чтоб никто не догадался.

Изменено 31 мая, 2017 пользователем Элис

[Элис]

@Элис,

Нагуглить программу которая будет читать ( перехватывать пакеты) не зашифрованные данные дело 5 минут, зашифрованные немного подольше ( если на халяву). Или можно сразу купить.

Верю.

Какая связь между этими программами, сбербанком-онлайн и скриптами google-analitics?

 

З.Ы. тема разговора - Сбербанк Онлайн сливает данные пользователей

Изменено 31 мая, 2017 пользователем Элис

[mzpcrvwv]

@Элис,

Зачем "подсовывать" скрипты на свой сайт ?

 

Демонстрация способа показывает как это работает , не важен этот механизм . Я говорил о сути , ввод данных на одной машине - лог с данными на другой .

 

Если обычный рядовой пользователь может заморочится и заниматься этим соло ( практически оставаясь невидимкой , для таких же пользователей ) даже в качестве "хозяина сайта" ,то что говорить о любых "официальных" сайтах которые так же официально собирают эту информацию .

 

Этим занимаются ( разбазариванием данных ) ВСЕ кто может их собирать , от банков до вшивых интернет магазинов и андроид приложений. Кто то в меньших размерах кто то в больших .

 

Разве никому в годах 2007-2008 не показалось странным массовых сбор такой информации у всех и всеми возможными способами ( мб до меня дошло только в это года ) ? Стало возможным - и началось . 

Сейчас это уже вошло в норму . Или никто не получает непонятно откуда смссок рекламного хар-ра и т.п. ? Второй в пост в теме как раз об этом

 

Ответ по теме - да сливают ( по секрету - банк даже не государственный , внезапно . Вы еще скажите что государство деньги печатат xD. Все ответы на этот счет - в википедии ).

 

Писать хотелось бы больше но выйдет слишком много . Думаю в моей каше можно понять то что я хотел сказать.

 

 

* Программа = скрипт .

Изменено 31 мая, 2017 пользователем mzpcrvwv

[Kartez]

Сейчас это уже вошло в норму . Или никто не получает непонятно откуда смссок рекламного хар-ра и т.п. ?

Самое забавное, что я и сбером онлайн пользуюсь активно, да и в целом карта в инете засвечена, но никаких СМС с рекламой не получаю. В то же время бабуле шлют всякую ересь и подключают услуги, хотя она даже смс читать не умеет, только позвонить/ответить, по интернетам тем более не лазила. Точнее это продолжалось до смены оператора, после очередного такого подключения левых услуг пчелайн был послан на хер, и теперь на тот же номер, но у другого оператора никакой ереси не идет, так что может не на то грешим?)))

 

 

 

Ответ по теме - да сливают ( по секрету - банк даже не государственный , внезапно . Вы еще скажите что государство деньги печатат xD.

На вики даже не пойду, ибо источник редактируемый хер пойми кем за авторитет не канает. Эмитентом валюты РФ является Центробанк и, как я понял, вы считаете, что государство к нему не имеет никакого отношения))) Сбер является коммерческим банком, но вот незадача, контрольный пакет акций все у того же Центробанка(который, как мы уже выяснили, частная шарага, к государству никакого отношения не имеющая))

 

Относительно основного вопроса темы: да, большой брат следит за вами...чтобы знать, что вас интересует, ибо при капитализме(диком) живем и сбор инфы о потребностях собственно потребителя один из движков торговли(да и экономики в целом). В том же сболе единственное, что можно "украсть" - инфа о ваших операциях или о суммах на ваших счетах, да и то, если "вор" будет смотреть на окно сбола(из-за спины или удаленно, что нереально), а так там каждый чих через СМС подтверждение(если это не операции по перегону между своими счетами), да и сам вход в сбол без смс не случится. Даже если облазить сбол вдоль и поперек, залезая в детализацию ваших карт и счетов, то там инфа, которой хватит на то, чтобы что то перечислить на ваши счета, но никак не снять. У вас больше шансов просрать свои деньги:

1) пользуя карту в банкоматах(в том числе сберовских), которые установлены в торговых центрах или, тем более, на улицах(рекомендую делать это только в отделениях банка), 

2) делая покупку в инете на мутных сайтах,

3) расплачиваясь той же картой засвечивая все данные, включая CVC. То есть посидеть в ресторане и расплатиться картой, отдав ее в руки официанту - так себе идея.

 

P.S. статья заказана Тиньковцами

Изменено 31 мая, 2017 пользователем Kartez

[Элис]

@mzpcrvwv, тролль детектед
 http://mirkosmosa.ru/images/sonnik/23/587.jpg 

[White_Hunter]

@Элис,

Их стырить намного проще, начиная от халявных вайфаев, заканчивая впн.

Продемонстированный скрипт отлично показывает суть.

Нагуглить программу которая будет читать ( перехватывать пакеты) не зашифрованные данные дело 5 минут, зашифрованные немного подольше ( если на халяву). Или можно сразу купить.

Оставляем в Макдональдсе ( или любой дргуой халявный вай фай) аппарат с запущенным перехватом - вечером чекаем данные кучи пользователей.

Не зря банки перешли на логин только через звонок или смс.

 

По части банков и прочего. Если нет подмены сертфиката(о чем браузер предупреждает), то после перехвата, имеем на руках кучу зашифрованных пакетов, от которых пользы ровно 0. Https придумали не идиоты.

SMS перехватить намного проще, если что.

 

Сбербанк как и остальные конторы, конечно, сливает данные, но ваши деньги через КОНКРЕТНО ЭТОТ слив никто красть не может.

[Lame]

Всё равно как-то стрёмно . Что, нельзя было обойтись без этой фигни на страницах личного кабинета? Думаю, можно.

[Элис]

Эта фигня считает какими страничками сайта народ пользуется чаще, чем другими. И на этом отдел маркетинга делает выводы какие функции востребованы, а какие - выкинуть нах. Можно ли этого не делать - вопрос не к ITшниками, скорее экономистам, маркетологам и кто-там-еще спец в этих вопросах.

 

 

Всё равно как-то стрёмно

Не бось, твои данные и без этих скриптов продадут, если приспичит.

[mzpcrvwv]

Я вел речь о данных клиента ( не о паролях )

Конкретно о первом посте - так никто воровать не будет ( зачем воровать у самих себя? Да и все ваши данные уже у тех кто им интересуется, давно )

Это не имеет смысла т. к. Банк( сайт, приложение, все куда вводите данные) уже имеет все ваши данные, влом вычитывать и кидать пруфы но везде есть пунктик насчет клиентских данных и третьих лиц.

Все данные сливаются заинтересованным лицам ( частенько и сливать не нужно - одному собственнику, оао и т. п. может принадлежать пол страны). Начало слива начинается с покупки стартового пакета ( в тех странах где нет привязки к паспорту идет серьезная война с "фродом" ( когда номер не принадлежит никому))

Мне очень близка эта тема в связи с некоторыми обстоятельствами, и скажу так - ВСЕ поголовно уже сидят "на крючке" купив номер, не говоря о банках и тд. уже все давно о вас известно, вопрос только в том кто этим воспользуется.

Отталкиваясь от того что данные уже находятся у того кто им интересуется сейчас по всему миру активно вводятся системы распознавания лиц клиентов, и даже внедренны в больших компаниях. Вы заходите в магазин - и продавец уже знает о вас все, по мелочи - страницы в соц. сетях, вашего номера телефона. по крупному - состояние вашего счета.

Зная что ваши данные уже в нужных руках именно такое распознавание имхо является "страшным "

 

Немного не понимаю почему я тролль, ведь совсем немного поофтопил конкретно не расписав суть моего посыла.

 

 

Воруют - да, я могу заморочится и воровать данные ( внезапно даже через https), но за такое садят потому что если вдруг так будут делать все - пропадет суть ценности данных.

Поэтому так, с вашего же согласия, делают все но официально ( гугл показал пример, все подхватили).

Изменено 1 июня, 2017 пользователем mzpcrvwv

[Элис]

Ты тролль потому что :

Не смотрел обсуждаемый ролик ) 

@Элис,
Продемонстированный скрипт отлично показывает суть.

Если б ты его смотрел то, заметил бы что никакого скрипта там нет.
 

Не читал заголовка темы, и постов наших clanmates

@Элис,
Зачем "подсовывать" скрипты на свой сайт ?
 

Иначе б знал, что этот факт утверждается в обсуждаемом ролике
и ответ на вопрос "зачем?" по предположениям наших clanmates - деньги

 

Ну и ты не разбираешься в теме от слова совсем:

 

* Программа = скрипт .

 

 грубая ошибка. 
Каждый сайт, например, программа, но не каждый - скрипт

И, конечно, потому что, несмотря на все вышеперечиленные факты ты, однако, продолжаешь спорить.
как не забавно в том же стиле.

Изменено 1 июня, 2017 пользователем Элис

[mzpcrvwv]

@Элис,

Смотрел, но мельком. то что показано в ролике делает обычный ( обычный не делает через https) снифер, поставьте себе в телефон и удивитесь насколько все просто. Удивите коллег и гостей, тех кто пользуется с вами одним вайфаем ( внешним айпи, сетью).

То что показано в ролике я делал лично еще на заре расцвета вайфай сетей.

Для примера первая ссылка с гугла :

https://4pda.ru/forum/index.php?showtopic=463765

 

 

Конечно я не разбираюсь и не понимаю о чем говорю, мне спокойней когда так думают)

Изменено 1 июня, 2017 пользователем mzpcrvwv

[Элис]

@Элис,

Смотрел, но мельком. то что показано в ролике делает обычный снифер

Отличная иллюстрация. Ты не только наших постов не читаешь   

ты и то что в гугле сам находишь, то же не читаешь   

тролль ты лол.

 

 

Конечно я не разбираюсь и не понимаю о чем говорю, мне спокойней когда так думают)

 Ты главное сам ни в коем случает так не думай, а то не дай бог,

задумаешься, решишь таки вникнуть и обретешь хоть минимальные знания,

ОоО, ужснх !

Изменено 1 июня, 2017 пользователем Элис

[mzpcrvwv]

Просто рукалицо ...

@Lame,

По сабжу  - да сливают , только сначала сами с клиентов собирают ( все клиенты соглашаются на это при согласии пользования банком ) , сливать сразу КОМУ-ТО никто не будет , это палевно , просто собирают "для себя" .

Потом сами и продают/передают . Избежать этого нельзя - это условие пользования сайтом/банком . 

В видео автор ввел в заблуждение и себя и зрителей тем что сказал что это не банк собирает данные .

Будешь соло делать так же - посадют , если спалят Делай свой банк/сайт и ворую официально .
Писать в теме больше не вижу смысла . Радует что не мне с этим жить .

[Элис]

Ой,  я знаю, да ... но не могу удержаться, простите меня, mates, если можете.

 

 

сливать сразу КОМУ-ТО никто не будет , это палевно , просто собирают "для себя" . Потом сами и продают/передают . Избежать этого нельзя - это условие пользования сайтом/банком . 

 
У нас ведь тут сайт правда ? Админы признавайтесь, вы уже всю инфу собрали  "для себя" ? И теперь неизбежно нас всех продадите ?!? 

Изменено 1 июня, 2017 пользователем Элис

[nazden]

Статья бред, а видео так вообще - смех да и только. Говорю как программист с очень большим стажем.

[mistiman]

Ой, я знаю, да ... но не могу удержаться, простите меня, mates, если можете.

 

 

 

У нас ведь тут сайт правда ? Админы признавайтесь, вы уже всю инфу собрали "для себя" ? И теперь неизбежно нас всех продадите ?!?

Обязательно. Причем поделились этими знаниями с Российскими спецслужбами конечно же. Ключевые слова "Путин, бомба, террор" сливаются напрямую вместе с ip и личными делами каждого. Да, мы завели личное дело каждого!

Простите меня бомбит, большое кол-во моих коллег в данный момент пытается обвинить в гос преступлении дружественный сосед.

 

По топикстарту херня полная, смысл статьи не в том, что эти скрипты сливают что-то. Не сливают. Смысл в том, что вебмастеры настолько привыкли лепить эти жучки везде, что не совсем понимают что они делают. Они добавляют к себе на страницу скрипты подгружаемые из условно не доверенного места. Эти скрипты в любой момент меняются, вебмастер об этом ничего не знает, он не контролирует процесс. Как результат вместо "хорошего" скрипта в какой-то момент может приехать скрипт несущий зловредный payload. Пример, который он показал так же вполне реален, таким скриптом безусловно можно отлавливать все нажатия клавиш и отправлять на сторону, но для этого нужно подменить эти скрипты, или убедить вебмастера подключить его на странице.

Но есть более интересные и действенные способы. Судя по статистике у нас около 80% всех посетителей работают в хроме и почти у всех есть кастомные расширения. Так вот эти расширения могут и сами вылавливать нажатия клавиш, а так же могут добавлять свои скрипты на любые страницы. Обновляются эти расширения так же не подконтрольно вам, содержимое из вас уверен никто не смотрел. Ирония судьбы заключается еще и в том, что почти у всех, у кого больше 3 расширений обязательно стоит что-то типа noscript и подобных блокировщиков жучков.

Мы все слишком легко воспринимаем наличие динамического содержимого там, где его можно было бы избежать. Мы к нему привыкли, как мыши к неподвижному(сытому) удаву. Но удав когда-нибудь проснется. Смысл статьи именно в этом.

Ну а так же эти жучки дают хорошую инфу гуглу и Я о том, что данный пользователь является клиентом сбера, а значит ему выгодно показывать рекламу. Основной смысл этих жучков именно в этом, собрать и агрегировать обезличенные сведения о пользователе, дабы удачнее таргетировать рекламу и имхо в этом нет ничего плохого. Рекламу они мне все равно покажут, так пусть хоть покажут ту, которая мне более интересна.