Обнаружена брешь в системе безопасности карт Сбербанка, позволяющая любому снять деньги с чужой банковской картыСбербанк
 

[url]http://www.paraplan2.ru/viewtopic.php?f=14&t=292[/url]

Рекомендую вам как можно быстрее заблокирвоать ваши карты. Брешь я обнаружил вчера вечером.

[quote=Mozart;28452207]Правда деньги были зачислены на баланс мобильного моего же друга, но сам факт того, что снять деньги с карты Сбербанка без ведома владельца карты оказалось так легко и просто - удивляет.[/quote]
Ну я бы не сказал что это брешь, брешь это если бы вы эти деньги себе на счет перекинули. А подобное поведение довольно таки стабильно для многих систем, в том же QIWI есть подобная возможность отправить смс и получить сумму на счет мобильника, правда там есть ограничение по сумме (разовой) и количестве транзакций в день.

Но я-то пишу про то, что я могу с вашей карты легко перевести на ваш мобильный по 20 тысяч рублей каждый день.
Киви при этом требует подтверждения кодом, полученным из СМС, а Сбербанк - не требует ничего.
С вашей Киви я не могу снять деньги, а свашей Визы Сбербанк - в два счета. Хотите прямо сейчас пару тысяч вам на телефон кину с вашей карты?

А Сбербанк на вашу жалобу пришлет отписку через месяц: "Установлено,что вы отправили СМС с вашего телефона. Нарушений в системе безопасности не выявлено". Потом судитесь,что это не вы отправляли СМС в Сбербанк.

о какой бреши идет речь - это элементарное удобство, хвала сберкассе

деньги переводятся на мобильный, который владелец счета привязал к своему же счету
привязка выполняется в отделении сбера, через терминал или в банк-клиенте

по сути деньги не меняют владельца и не выходят за пределы его управления

моцарт, пишите песни, а железом пусть занимаются профессионалы :)))

Вы не возражаете, если я вам ВСЕ ваши деньги до копейки переведу вам на мобильный с Вашей карты без Вашего ведома? Могу прямо сейчас это сделать. И Вас пригласить чтобы продемонстрировать как ЛЮБОЙ легко это может сотворить с Вашей банковской картой.

И при каждой операции, при использовании карты, приходят одноразовые пароли на телефон.

Как вы потом назад с телефона на карту деньги возвращать будете?

[quote=стай;28454854]И при каждой операции, при использовании карты, приходят одноразовые пароли на телефон. [/quote]

Как раз я и обнаружил, что НЕ ПРИХОДЯТ! Эта операция проводится БЕЗ ПОДТВЕРЖДЕНИЯ!

6-Mozart >
хотите закажу вам на дом пиццу?
для этого мне достаточно знать только адрес :)))))))

кому на х в голову взбредет переводить деньги с моего счета на мой же мобильный? что он с этого поимеет?
не смешите народ:)))

[quote=Роман aka Magician;28454232]я бы не сказал что это брешь, брешь это если бы вы эти деньги себе на счет перекинули.[/quote]

А еще кроме вашего мобильника я могу направить ваши деньги любому получателю, которому вы ранее платили через Сбербанк Онлайн. Я заметил, что оплата в Краснодаргоргаз первый раз требовала подтверждения, а когда я ее "запомнил" в списке избранных платежей, любые последующие перечисления идут без СМС-запроса. Что скажете, когда все ваши 300 тысяч с карты перечислятся в Краснодаргоргаз, или в Ростелеком, или в качестве оплаты за кабельное/спутниковое телевидение на 50 лет вперед. Как назад требовать свои деньги будете с оператора спутникового телевидения???

[quote=Boltas;28454934]кому на х в голову взбредет переводить деньги с моего счета на мой же мобильный? что он с этого поимеет? не смешите народ:))) [/quote]

Например, ваш недоброжелатель, с которым вы ранее вели общее дело, но потом поругались. Он просто знает ваш номер мобильного телефона. Больше ничего знать не нужно.
Вы чувствуете, что теперь можете смотреть кабельное телевидение 50 лет, а потратить свои деньги с карты уже не можете - их на карте уже нет.
Отличный способ мести.
Такая безопасность в Сбербанке никуда не годится.

Сказочник. А на спор сможешь в мой Сбербанк-онлайн хотя бы войти зная пароль и логин? Там даже для входа требуется смс-подтверждение или одноразовый пароль, плюс суммы больше 3000р не переводятся без смс-подтверждения.
-
Деньги с телефона снять вообще не проблема - приходите в офис сотового оператора с паспортом и пишете заявление о выдаче вам денег с счета телефона. Как вы думали, все разводы "мама положи мне на этот номер 1000р" - они как обналичивают?

легко верну деньги с мобильного счета телефона на личный счет в банке мтс - это первое
второе, у меня есть карта сберкассы и она привязана к моб. номеру +79882400857
попробуйте, только ничего не получится - просто выставил в клиент-банке опцию "запрашивать смс-подтверждение" на любые операции

0-Mozart >за Вами уже выехали

13-Бехолдер >ээээ.... Скорее всего мамы со своими паспортами приходят. Потому что ТАМ нет ни паспортов, ни банкоматов

[quote=Бехолдер;28455117]Сказочник. А на спор сможешь в мой Сбербанк-онлайн хотя бы войти зная пароль и логин? Там даже для входа требуется смс-подтверждение или одноразовый пароль, плюс суммы больше 3000р не переводятся без смс-подтверждения. [/quote]

Нет, в Сбербанк Онлайн войти не могу,и это не требуется, а вот снять с Вашей карты всё подчистую и переложить на Ваш мобильник могу на спор. А разве со счета мобильного без 6% комиссии можно вернуть наличные деньги?

[quote=Boltas;28455121]у меня есть карта сберкассы и она привязана к моб. номеру +79882400857 попробуйте, только ничего не получится[/quote]

Готово. Проверьте счет и сразу отпишитесь.

[quote=stoper;28455175]за Вами уже выехали [/quote]

Слава тебе господи. Обратился в сбербанк, разжевал суть уязвимости - не хотят даже вникать.
Обратился на форум банки.ру. Мое письмо посчитали спамом и удалили.
Никто не верит. Поверил друг, после того как я ему продемонстрировал. Он тут же заблокировал карту.

17-Mozart >
что готово-то? :)))
у меня нет карты в сберкассе и никогда не было :))))

в общем с рождеством вас! сильно не напивайтесь, скоро рабочие будни начнуться :))))

Я предупредил. Дальше как хотите. Пока всем.

офф в топик
уже год пользуюсь картой банка "открытие" - удобная привязка к вебмани и янд.деньгам, удобный банк-клиент, все платежи хоть на 1 руб. подтверждаются смс-ками
без комиссии ложу и снимаю в втб-24
не ожидал от мелкого банка, брал только из-за того, что ложить/снимать на вебмани деньги дешево, а уже и не помню когда использовал пластик от других банков, а их штук 10 есть в наличиии

[quote=Mozart;28454877]Как вы потом назад с телефона на карту деньги возвращать будете? [/quote]

приходишь в офис оператора, и берушь деньги налом со счёта

[quote=ЭлитАльянс2;28456469]приходишь в офис оператора, и берушь деньги налом со счёта [/quote]

И что, будешь каждый день ходить и ходить возвращать деньги? Там за выдачу нала со счета мобильного берут около 6%.

мацарт, а с какого сервиса отправляешь смс? а то смотрю, все они платные

[quote=Mozart;28456675] Цитата: Сообщение от ЭлитАльянс2 приходишь в офис оператора, и берушь деньги налом со счётаИ что, будешь каждый день ходить и ходить возвращать деньги? Там за выдачу нала со счета мобильного берут около 6%. [/quote]


не чего не берут.
И не брешь, а бред.
Мне переведи деньги на счёт.

кода его забанят,наконец,а?

Автор, спасибо, что проверили на практике то, что я давно обдумал в теории. Большинство отписавшихся в теме не понимают глубины проблемы. Проблема не со Сбером, проблема со всеми системами, использующими управление чем-либо через СМС без верификации отправителя и/или защитных одноразовых кодов.

Тему разовью на профильных форумах, а тут нет смысла - публика не та.

P.S. Товарищи, большинство банков при подключенном мобильном банкинге и/или смс-оповещении позволяет заблокировать карту через СМС. Это лишь малая часть неприятных для вас последствий.

27-Квадратный Круг >
имхо - защита данных в таких системах должна иметь какой-то определенный разумный предел
конечно же можно применить защиту пластика со степенью защиты как в ядерном чемоданчике

но, удобно ли им будет пользоваться?
ес-но, снижение степени и как следствие увеличение комфорта пользования добавляют риск, но он не является критичным

28-Boltas > Общеизвестно, что безопасность обратно пропорциональна удобству использования. Но к озвученной автором проблеме, ровно как и к большинству проблем при использовании пластиковых карт, это не имеет никакого отношения, поскольку устранение этих недостатков не доставит неудобства.

29-Квадратный Круг >если уж копать глубже в этом направлении, то сама архитектура сервиса изначально не совсем верна
имхо - если бы она была децентрализована, то соответственно каждый эмитент разрабатывал бы свою методику защиты данных
тогда мошенникам было бы трудно подбирать ключи входа в каждую из них
а так как сейчас - чтобы допустим ни виза не предпринимала, через какое-то время у жуликов найдется решение как это обойти

поэтому лично я не парюсь по таким вопросам, всегда держу деньги на счете, а на карту скидываю по мере необходимости и момент наступления этой необходимости, и на мой взгляд это единственная действенная защита

30-Boltas > Вы не понимаете о чём говорите, обсуждаемый вопрос и сейчас децентрализован - каждый банк сам придумывает свои сервисы дистанционного доступа к счёту и МПС к ним имеют лишь опосредованное отношение. С глобальной точки зрения МПС предпринимают другие шаги для повышения безопасности использования карт (чиповые карты и отказ от магнитной полосы, [url=http://ru.wikipedia.org/wiki/3-D_Secure]3-D Secure[/url], но не все банки внедряют их в полной мере и в безопасном варианте. В плане удобства использования МПС тоже предпринимают шаги - [url=http://www.banki.ru/wikibank/paypass/]MasterCard PayPass[/url] и [url=http://www.banki.ru/wikibank/visa_paywave_/]Visa payWave[/url] как пример.

Как именно вы скидываете со счёта на карту? Ваш счёт доступен для систем дистанционного банковского обслуживания? Не видите в этом уязвимости и риска потери всех средств со счёта?

31-Квадратный Круг >
я говорю об общих стандартах, а не об отдельных сервисах отдельных банков
общий стандарт - это и есть главная уязвимость
это примерно так же, как более опасно работать из под виндовс, нежели из под линукс
почему? да потому, что виндовс используют 90% всех пользователей
ес-но, массовость всегда под прицелом жуликов

[quote=Квадратный Круг;28461576]Как именно вы скидываете со счёта на карту? Ваш счёт доступен для систем дистанционного банковского обслуживания? Не видите в этом уязвимости и риска потери всех средств со счёта?[/quote]
вижу, но а что прикажете делать? носить наличными в кармане?
воры всегда были, есть и будут
раньше крали из карманов, теперь из терминалов

[quote=Boltas;28461312] поэтому лично я не парюсь по таким вопросам, всегда держу деньги на счете, а на карту скидываю по мере необходимости и момент наступления этой необходимости, и на мой взгляд это единственная действенная защита [/quote]
это точно. Только идиот будет держать крупную сумму денег на карточном счете

[quote=Boltas;28461731]вижу, но а что прикажете делать? носить наличными в кармане? воры всегда были, есть и будут раньше крали из карманов, теперь из терминалов [/quote]

Что прикажу? Думать о безопасности [b]ваших[/b] средств. Благо, инструментов на рынке хватает.

[quote=Gazprom;28461852]это точно. Только идиот будет держать крупную сумму денег на карточном счете [/quote]

Какая разница какой счёт если к нему есть потенциально небезопасный способ доступа? Хоть карточный, хоть текущий, всё едино в электронном мире.

[b]Банки сами вам никогда не расскажут сколько потенциальных дыр в их системах и не предложат повысить безопасность. Всё на плечах потребителя.[/b]

[quote=Квадратный Круг;28462010]Какая разница какой счёт если к нему есть потенциально небезопасный способ доступа? Хоть карточный, хоть текущий, всё едино в электронном мире.[/quote]
эээ, обычно карточный счет и текущий есть одно и тоже...

35-Gazprom > Не экайте, а изучайте матчасть. Т.е. читайте ваш договор, какой же именно счёт у вас открыт. Ну и про балансовые статьи можете почитать, 40817, 42301, 42306

34-Квадратный Круг >[quote=Квадратный Круг;28462010]Думать о безопасности ваших средств[/quote]
да, как бы уже придумал
депозит (без карты, но с онлайн банком) отдельно, и карточный счет без онлайн банка отдельно
перевод со счета депо на карточный с одноразовыми паролями и подтверждающими смс-ками
настроил один раз, привык уже и пользуюсь
пока все нормально, хотя номер карты с 3-х значным верификатором засветил уже на доброй сотне различных (надежных и не очень) платежных систем онлайн
может и больше если учесть что некоторые сайты не используют сторонние платежные системы, а переводят деньги сразу в банк - значит их владельцы могут знать все мои, нужные для перевода, данные

[quote=Boltas;28462315]депозит (без карты, но с онлайн банком) отдельно, и карточный счет без онлайн банка отдельно[/quote]

Если не секрет, то хотелось бы услышать название банка. Глянул бы, что их онлайн-банк позволяет делать.

А если прийду в салон оператора связи и перевыпущу вашу СИМкарту, то насколько будет безопасен ваш депозит? Вопрос не праздный, случаев таких полно.

38-Квадратный Круг >постоянно пользуюсь двумя: уралсиб (тот, что на хакурате) и банк "открытие"

[quote=Квадратный Круг;28462622]А если прийду в салон оператора связи и перевыпущу вашу СИМкарту, то насколько будет безопасен ваш депозит? Вопрос не праздный, случаев таких полно.[/quote]

согласен, такой вариант возможен, даже более чем
но, остаток на карте у меня всегда не более 10-15 тыс, так на связь, бензин и прочую мелочевку

и второе, телефонный номер я специально зарегистрировал на свое юр. лицо, поэтому чтобы сменить симку одного ксерокса паспорта будет не достаточно, нужно поставить живую печать на бланке в салоне мтс
а если в салоне сменят симку без этих доков - это уже уголовная статья, да и мтс тогда вернет мне весь ущерб через суд