Como uma falha no sistema de TI levou à divulgação de segredos bancários no Sberbank

Analisamos os fatos da divulgação de segredos bancários no Sberbank em conexão com os erros cometidos no projeto do sistema de segurança da informação.



Sberbank hoje é uma das marcas mais mencionadas em conexão com a "transformação" moderna: digital, bancária, universal. Lembro-me de como há 10 anos essa empresa começou a atrair um grande número de especialistas de TI altamente qualificados para seu estado. Desde então, muita coisa mudou, os especialistas em TI tornaram-se mais seletivos na escolha de um empregador. Novos serviços saem dos laboratórios do Sberbank, um por um. E na busca da “comodidade” do usuário, muitas vezes não se escondem apenas armadilhas, mas icebergs, que em determinado momento podem legalmente afundar qualquer empresa. Especialmente se ela ficar com o seu dinheiro.



Hoje analisaremos 3 exemplos de erros fatais de TI que parecem estar na superfície e que era simplesmente impossível cometê-los. Mas Sberbank conseguiu fazer isso, cambaleando do nada.



Exemplo 1. Notificações bancárias por e-mail



Muitos de nós temos esse e-mail, que usamos para vários registros e outros spams. Costumo entrar nessa caixa a cada 2-3 meses (a caixa em si está viva desde 1999), limpar e fechar até tempos melhores. Mas então um dia percebi cartas que caíram na pasta de spam em nome do Sberbank. O assunto da carta era o significativo "Relatório sobre o cartão Visa * 0612 para o período de xx.xx.xx a yy.yy.yy". É claro que recentemente houve muitos golpistas (falaremos sobre isso em um artigo separado um pouco mais tarde), lucrando com o nome de um grande banco. Mas esta carta me interessou.



O remetente foi Sberbank da Rússia newreport_card@sberbank.ru. Depois de examinar os cabeçalhos, percebi que a carta não é phishing - o remetente é realmente Sberbank. Como eu nunca tive um cartão * 0612, pude ver que tipo de relatório o Sberbank me enviou.



Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
	by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
	id 1jlnqp-0002hE-LG
	for @MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
 CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
 15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
	by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
	for <@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
    by 127.0.0.1
    for <@MAIL.RU>;
    Thu Jun 18 09:16:39 2020


Se dizer que fiquei surpreso com o que vi, para não dizer nada. Eu estou o ***** l. Sberbank com toda a seriedade me enviou um relatório sobre o cartão de banco de outra pessoa indicando o nome, patronímico e primeira letra do sobrenome com todas as transações de débito / crédito, valores neles, saldos de caixa no início e no final do período, divisão em dinheiro e não caixa e outras estatísticas.



Em uma palavra, o Sberbank me enviou informações que constituem um segredo de banco. O artigo 26 da Lei Federal de 12.02.1990 N 395-1 (conforme revisado em 27.12.2019) "Sobre bancos e atividades bancárias" afirma:



, , , , , . , , , , .



, , , - , , , , 9 12 1995 N 144- « - », , , , , , .

(Não direi nada sobre a grafia de atividades "operacionais e investigativas" no texto da Lei Federal - quem quiser pode encontrar o texto completo da lei e vê-lo).



Nos últimos 2 anos, estivemos envolvidos na auditoria de telecomunicações para várias empresas e identificamos os pontos fortes / fracos dentro do negócio, verificamos a exatidão das relações com as contrapartes, encontramos e eliminamos várias violações, portanto, temos uma equipe bastante forte de advogados que entendem as complexidades das relações de TI e telecomunicações. Em particular, os limites da responsabilidade legal no campo da segurança da informação. A primeira coisa que fiz foi pedir esclarecimentos a eles.



Começamos a analisar por que e como isso poderia acontecer, se o banco é o culpado por essa situação. Em primeiro lugar, prestamos atenção ao nome e patronímico do titular da conta (o próprio Sberbank divulga esta informação no relatório). E descobrimos uma possível semelhança entre o nome da minha conta de e-mail e o endereço de e-mail do verdadeiro dono da conta bancária. A diferença está em uma letra: r e n. Eles são realmente semelhantes quando escritos à mão.



Presumimos 2 opções de por que tudo isso poderia acontecer:



  • - o titular da conta preencheu algum tipo de questionário eletrônico, onde ele próprio errou ao digitar seu nome;
  • - o dono da conta preencheu uma espécie de questionário em papel, onde indicava de forma ilegível seu endereço de e-mail - e o bancário inseriu os dados no sistema com erro.


E nesta situação, vemos fraquezas nos designers dos sistemas de informação do Sberbank. Quando se trata de uma área tão sensível como o dinheiro, o banco deve ser duplamente cuidadoso. Ao projetar a maioria dos sistemas de autorização / notificação, o desenvolvedor parte do "erro" do usuário. Assim, o Sberbank, em minha opinião, foi obrigado a prever a necessidade de verificar o e-mail introduzido (mesmo que o próprio cliente o tenha indicado) enviando uma notificação por e-mail com uma proposta de confirmação do e-mail especificado. Essa é uma prática comum não apenas com e-mail, mas também com números de telefone. Além disso, isso deve ser feito em conjunto com a conta (para que ninguém mais possa realizar esta ativação acidentalmente).



E se no primeiro caso, quando o próprio usuário cometeu um erro ao digitar seu e-mail, o Sberbank só pode ser responsabilizado por uma falha no sistema, então, no segundo caso, tudo o que aconteceu deve ser minuciosamente investigado. Afinal, o banco como entidade de crédito nessa situação tem responsabilidade não só administrativa, mas também criminal.



Mas o fato é - o Sberbank me envia regularmente os dados de outra pessoa, protegidos pelo sigilo bancário... Alguém pode dizer que agora eu mesmo serei responsabilizado (como costumava acontecer em tais situações com investigações de "alto nível" no setor bancário). Mas apresso-me a tranquilizar a todos: nesta situação nada foi feito da minha parte, o que levou à divulgação de segredos bancários. O próprio banco me envia voluntariamente esses relatórios. Acho que o Sberbank deveria preferir receber perguntas das autoridades de supervisão, se esse problema pode ser enorme. Infelizmente, é improvável que descubramos sobre isso.



A principal conclusão deste caso:



Como cliente do Sberbank, você pode nem estar ciente de que suas informações bancárias "parecem" externas, se de repente alguém dos funcionários do Sberbank cometer um erro ao inserir manualmente suas informações de contato.



Se alguém pensa que depois desse material, o serviço de segurança do Sberbank se apressará em checar tudo, eliminar todas as lacunas, encontrar o culpado (talvez até punir), aí posso decepcionar os leitores. Com um alto grau de probabilidade, nada disso acontecerá. Porque, por experiência pessoal, descobri que o Sberbank simplesmente não mantém registros de operações de alterações no estado de seus dados.



E aqui chegamos ao segundo caso.



Exemplo 2. O número de telefone de outra pessoa sem o seu conhecimento



Muitas pessoas sabem que, no Sberbank, quase tudo é construído em torno de um ecossistema com um número de telefone celular. Trabalho com telecomunicações há quase 20 anos. E, desde 2007, quando começamos ativamente a introduzir comunicações VoIP, alertamos todos os clientes sobre segurança telefônica e é necessário ter proteção ao autorizar por número de telefone. Todos esses jogos com reconhecimento de identificador de chamadas e forte integração com os sistemas CRM e ERP levaram ao que eu falei há muitos anos - o eixo da fraude telefônica. Em particular, foi nas páginas da Habr que pude chamar a atenção da comunidade de especialistas em telecomunicações e operadoras de telecomunicações para a fraude com o "escoamento" do tráfego 8-800 .



Mas hoje vamos falar sobre o fato de que em outubro de 2019, ao olhar para as configurações de dados pessoais durante a próxima atualização do aplicativo móvel Sberbank, descobri que tinha um número de telefone adicional em minhas informações de contato. O que obviamente não tem nada a ver comigo - eu nunca mencionei isso. Recentemente, muitos têm prestado atenção a isso na imprensa, mas posso dizer que toda essa história com a adição de números "estrangeiros" está acontecendo desde 2019. E talvez até antes.



Vamos voltar para a conta. Basicamente, alguém pegou e adicionou o número de telefone de outra pessoa às minhas credenciais sem meu conhecimento. Eu havia sacado todas as minhas economias do Sberbank por um longo tempo (inclusive por motivos de segurança e tantas falhas de TI), então não me preocupei realmente com a segurança das minhas finanças. Mas foi importante para mim entender essa situação até o fim.



Spoiler: Sberbank não admitiu o erro e disse que não armazena nenhum registro de alterações nas credenciais do cliente.



Então. Ligo para o gerente pessoal do Sberbank-Premier com uma notificação sobre a presença de uma vulnerabilidade em minha conta. O gerente ignorou completamente a minha mensagem (esta é a questão do serviço "premium") e recomendou fazer um pedido por escrito.



Em 10 de novembro de 2019, estou escrevendo um apelo para apoiar o Sberbank:



ID « » +7 *** *** **-**. .

, . .

, , .

. , .

- ( ) ID.

Repito mais uma vez: exijo esclarecimento de quem, em que circunstâncias, introduziu o número "de outra pessoa" nos meus contactos.




Observe que, em meu recurso, proíbo os funcionários do Sberbank de fazer alterações em minha conta.



Em 27 de novembro de 2019, ou seja, 17 (!) Dias após o recurso quanto à SEGURANÇA da conta, é recebida a resposta. E o recurso está encerrado.



… № xxxx-yyyy-xxx 10.11.2019 . , +7****** -**-** 2012 . , , , . , . . .




Ou seja, até 2019, não vi esse número em nenhuma configuração, mas descobri que está lá desde 2012. Surpreendente. E a cereja do bolo: apesar de minha proibição de alterar meus dados no Sberbank sem meu conhecimento, o Sberbank REMOVE o número "polêmico" de minha conta sem qualquer notificação ou aprovação. Embora para esta operação fui aconselhado a solicitar ao departamento um passaporte.



Repito mais uma vez: os funcionários do Sberbank simplesmente EDITAM suas informações de contato relacionadas à segurança da conta (login para gerenciar todas as suas finanças), SEM QUALQUER NOTIFICAÇÃO ao cliente.



Em resposta a essas ações, redijo outra solicitação:



.

**-**. , . , .

, ! , , , , .

, .




A resposta é simplesmente encantadora:



... seu recurso nº xxx-yyy-zzz datado de 27/11/2019 foi revisado. Anteriormente, você deixou um recurso nº xxx-yyy-zzz por meio do Sberbank on-line com relação ao reflexo do número de telefone +7 ********** no aplicativo móvel on-line do Sberbank. No recurso, você indicou que esse número não pertence a você. O banco tomou medidas para excluir esse número de suas informações de contato. A resposta ao recurso nº xxx-yyy-zzz foi enviada para o seu e-mail ****@***.*** ou entre em contato com o escritório do banco para obter uma resposta. Você pode adicionar um número de telefone no aplicativo móvel Sberbank online. Sberbank.




A saída deste exemplo é muito simples:



O Sberbank pode alterar unilateralmente não apenas os termos dos serviços bancários (reduzir a taxa de juros do depósito, aumentar a taxa de juros do empréstimo - mas não vice-versa), mas também alterar unilateralmente o procedimento para acessar seu dinheiro, adicionar / remover números de celular para gerenciamento conta e não armazene nenhum registro. Portanto, não assuma nenhuma responsabilidade por suas finanças. Bem, ou pelo menos não hesite em contar aos clientes sobre isso.



E a que leva tudo isso falaremos no próximo artigo, onde analisaremos os casos de fraude telefônica. Por que isso afetou especialmente o Sberbank, penso eu, com base no material atual, ficou claro para muitos. Entre outras coisas, vamos falar sobre Fraude 2.0 - uma nova versão sobre a qual ninguém escreveu na mídia. E haverá muitas coisas interessantes.



Exemplo 3. Número de telefone alterado pelo usuário



Como resultado dos primeiros dois casos, surge uma situação que milhares de clientes do Sberbank enfrentam. Conforme mencionado acima, o número do celular é a parte central de toda a conexão entre o Sberbank e o cliente. Formalmente, o cliente é responsável pelo número de telefone que indicou. Mas o que acontece na prática.



O número de telefone, como muitos sabem, não pertence nem ao assinante nem à operadora de telecomunicações. Sim, este é um mito comum - se você tem um número, existe um contrato para ele, então você é o dono dele. Isso não é verdade. Um número de telefone é um recurso limitado de propriedade do governo. E instrui as operadoras de telecomunicações a atender esse recurso. Os assinantes (usuários) recebem à disposição temporária um conjunto de números durante a vigência do contrato. Não mais. Ao mesmo tempo, este conjunto de números, em virtude da Lei Federal "On Communications", pode ser substituído unilateralmente por um assinante com um toque da caneta do chefe da Agência Federal de Comunicações. Agora, essas histórias acontecem cada vez menos, mas na minha prática, houve várias campanhas para alterar a numeração de assinantes existentes, incluindo celular. E o assinante não está imune a essas mudanças. Eles apenas mudam seu número com uma notificação.Número do celular, que é o núcleo central de muitos sistemas digitais. Incluindo dentro do banco móvel.



E recentemente surgiu essa situação. Auditamos uma empresa, que usa cerca de 2.000 números para seus funcionários: eles reconciliaram despesas, realizaram redução e otimização de custos e devolveram dinheiro para "assinaturas pagas" e outros serviços impostos das operadoras móveis. E em algum momento, eles descobriram que alguns dos números estavam ligados a bancos móveis de indivíduos. Ou seja, os funcionários usaram esses números antes e depois desistiram. E agora outros funcionários estão usando. Ligamos para ex-funcionários. Depois da demissão, eles supostamente mudaram o número de telefone para entrar no Sberbank online. E ficaram surpresos ao ver que o acesso às suas finanças é possível por meio de "números antigos". Descobriu-se que quando eles passaram pelo procedimento de "mudança" do número, o novo número não foi substituído pelo antigo, mas apenas adicionado.O antigo ainda estava ativo no Sberbank-online.



Agora o Sberbank mudou o procedimento, mas para os usuários antigos tudo permanece o mesmo. E há pelo menos várias dezenas de milhares de cidadãos (e talvez mais) que nem sabem que as informações sobre suas finanças estão disponíveis para terceiros. Tendo vinculado o número de telefone uma vez, o banco espera que seja para sempre. Infelizmente, a prática mostra que esse não é o caso.



É claro que se pode argumentar que esse é um problema das próprias pessoas. Mas você olha como as pessoas agora se relacionam com os produtos digitais, especialmente a geração mais velha: para elas, tudo se torna incompreensível e pouco óbvio. Se antes existiam administradores de sistema e ajudavam na configuração de um computador, agora pode haver um renascimento dessa profissão - um personalizador de programas para smartphones. Tudo isso são piadas, mas o problema é muito importante, pois atinge um grande número de usuários. Não é mais possível não usar esses produtos. Mas também não há descrição adequada e entrega de informações sobre como usá-lo.



Creio que aqui deveriam ser introduzidos alguns regulamentos que determinam o procedimento de utilização de números móveis em produtos bancários. Não, eu não sou um defensor da regulamentação universal. Mas há pontos que precisam ser estudados com muito cuidado. E aqui deve haver um trabalho conjunto de bancos, operadoras de telecomunicações e autoridades de supervisão. Mas a solução deve ser conveniente, funcional e compreensível para todos os participantes. Caso contrário, continuaremos a observar os custos da “conveniência” dos produtos bancários no crescimento do número de esquemas fraudulentos e crimes informáticos.



UPD (16 de julho 13:20):

Sberbank decidiu ir ainda mais longe. E ainda ontem ele me enviou "parabéns" pelo meu aniversário. Ou seja, não bastava para ele violar o sigilo bancário - o Sberbank também decidiu violar a Lei Federal "Sobre Dados Pessoais" de 27.07.2006 N 152-FZ. Até onde vai Sberbank?



All Articles