Как одна недоработка в IT-системе привела к раскрытию банковской тайны в Сбербанке

Разбираем факты раскрытия банковской тайны в Сбербанке в связи с допущенными ошибками проектирования системы информационной безопасности.

Сбербанк на сегодняшний день является одним из самых упоминаемых брендов в связи с новомодной «трансформацией»: цифровой, банковской, всеобщей. Я помню, как лет 10 назад эта компания начала переманивать в свой штат огромное количество высококвалифицированных IT-специалистов. С тех пор многое изменилось, айтишники стали разборчивее в выборе работодателя. Новые сервисы выходят из лабораторий Сбербанка один за одним. И в погоне за «удобством» пользователя очень часто скрываются не просто подводные камни, а айсберги, которые в определенный момент могут юридически потопить любую компанию. Особенно если она хранит ваши деньги.

Сегодня мы разберем 3 примера фатальных IT-ошибок, которые, казалось бы, лежат на поверхности и допустить их было просто невозможно. Но Сбербанк умудрился это сделать, споткнувшись на ровном месте.

У многих из нас есть такой email, который мы используем под различные регистрации и прочий спам. Я в такой ящик захожу обычно раз в 2-3 месяца (сам ящик живет с 1999 года), чищу и закрываю до лучших времен. Но вот однажды я обратил внимание на письма, которые попадали в папку спам от имени Сбербанк. В теме письма значилось многозначительное «Отчет по карте Visa *0612 за период с xx.xx.xx по yy.yy.yy». Понятно, что в последнее время развелось много мошенников (об этом мы поговорим в отдельном материале чуть позже), наживающихся на имени крупного банка. Но меня это письмо заинтересовало.

Отправителем значился Сбербанк России newreport_card@sberbank.ru. Изучив заголовки, я понял, что письмо не является фишинговым – отправитель действительно Сбербанк. Поскольку у меня никогда не было карты *0612, полез смотреть, что же за отчет мне прислал Сбербанк.

Если сказать, что я был удивлен от увиденного, не сказать ничего. Я о*****л. Сбербанк на полном серьезе прислал мне отчет по чужой банковской карте с указанием имени, отчества и первой буквы фамилии со всеми расходными/приходными операциями, суммами по ним, остатками денежных средств на начало и конец периода, разделение на наличные и безналичные и прочей статистикой.

Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну. Статья 26 Федерального закона от 02.12.1990 N 395-1 (ред. от 27.12.2019) «О банках и банковской деятельности» гласит:

Последние 2 года мы занимаемся телеком-аудитом для различных компаний и выявляем сильные/слабые стороны внутри бизнеса, смотрим корректность взаимоотношений с контрагентами, находим и устраняем различные нарушения, поэтому у нас довольно сильный штат юристов, разбирающихся в тонкостях IT и телеком отношений. В частности, границ юридической ответственности в сфере информационной безопасности. Первым делом я отправился к ним для разъяснений.

Мы начали разбирать, почему и как это могло произойти, виноват ли банк в этой ситуации. Первым делом мы обратили внимание на имя и отчество владельца счета (Сбербанк сам раскрывает эту информацию в отчете). И обнаружили возможное сходство имени моего электронного ящика с email’ом реального владельца банковского счета. Отличие в одной букве: r и n. Они действительно похожи при ручном написании.

Мы предполагаем 2 варианта, почему все это могло произойти:

И в этой ситуации мы видим слабые места проектировщиков систем информирования Сбербанка. Когда вопрос касается такой чувствительной сферы как деньги, банк должен быть вдвойне аккуратен. При проектировании большинства систем авторизации/уведомлений разработчик исходит из «ошибки» пользователя. Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email. Это частая практика не только с email, но телефонными номерами. Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).

И если в первом случае, когда пользователь сам ошибся при вводе своего email, винить Сбербанк можно только в недоработке системы, то во втором случае все произошедшее должно быть тщательным образом расследовано. Ведь банк как кредитная организация в этой ситуации несет ответственность не только административную, но и уголовную.

Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной. Кто-то может сказать, что сейчас меня самого привлекут к ответственности (как часто случалось в таких ситуациях с «громкими» расследованиями в банковской сфере). Но спешу всех успокоить: в данной ситуации с моей стороны не было сделано ничего, что привело к раскрытию банковской тайны. Банк сам добровольно присылает мне такие отчеты. Я думаю, здесь скорее к Сбербанку должны быть вопросы со стороны надзорных органов, если такая проблема может носить массовый характер. А об этом, к сожалению, мы вряд ли узнаем.

Главный вывод из этого кейса:

Вы как клиент Сбербанка можете даже и не знать о том, что ваша банковская информация «смотрит» наружу, если вдруг кто-то из сотрудников Сбербанка мог ошибиться при ручном вводе ваших контактных данных.

Если кто-то думает, что после этого материала служба безопасности Сбербанка ринется все проверять, устранять все недостатки, найдут виновного (может даже накажут), то здесь я читателей могу разочаровать. С большой долей вероятности ничего этого не будет. Потому что на личном опыте столкнулся с тем, что Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.

И здесь мы переходим ко второму кейсу.

Многие знают, что в Сбербанке почти все построено вокруг экосистемы с номером мобильного телефона. Телекомом я занимаюсь почти 20 лет. И, начиная с 2007 года, когда мы активно начали внедрять VoIP-коммуникации, мы всех клиентов предупреждаем о телефонной безопасности и необходимо иметь защиту при авторизации по номеру телефона. Все эти игры с распознаванием АОНа и плотной интеграцией с CRM и ERP-системами привели к тому, о чем я говорил много лет назад, — вал телефонного мошенничества. В частности, именно на страницах Хабра мне удалось обратить внимание сообщества телеком-специалистов и операторов связи на мошенничество со «сливом» трафика 8-800.

Но сегодня мы поговорим о том, что в октябре 2019 года при просмотре настроек личных данных при очередном обновлении мобильного приложения Сбербанка я обнаружил, что в контактных данных у меня появился дополнительный телефонный номер. Который явно не имеет ко мне никакого отношения – я никогда его не указывал. Недавно в прессе многие обратили на это внимание, но я могу сказать, что вся эта история с добавлением «чужих» номеров тянется с 2019 года. А может и раньше.

Вернемся к аккаунту. По сути, кто-то взял и добавил без моего ведома чужой номер телефона в мои учетные данные. Я уже давно вывел из Сбербанка все сбережения (в том числе из соображений безопасности и такого количества ИТ-фейлов), поэтому особо не переживал за сохранность финансов. Но мне стало важно разобраться в этой ситуации до конца.

Спойлер: Сбербанк не признал ошибку и сообщил, что никаких логов изменений учетных данных клиентов он не хранит.

Итак. Я звоню персональному менеджеру Сбербанк-Премьер с уведомлением о наличии уязвимости в моем аккаунте. Менеджер полностью проигнорировал мое сообщение (это к вопросу о «премиальности» обслуживания) и рекомендовал сделать письменный запрос.

10 ноября 2019 года я составляю обращение в поддержку Сбербанка:

Прошу обратить внимание, что в своем обращении я запрещаю сотрудникам Сбербанк вносить какие-либо изменения в мой аккаунт.

27 ноября 2019 года, то есть спустя 17 (!) дней после обращения по вопросу БЕЗОПАСНОСТИ аккаунта приходит такой ответ. И закрывается обращение.

То есть до 2019 года я этот номер ни в каких настройках не видел, а он, оказывается, был там с 2012 года. Потрясающе. И вишенка на торте: несмотря на мой запрет изменения моих данных в Сбербанке без моего ведома Сбербанк УДАЛЯЕТ «спорный» номер из моего аккаунта без какого-либо уведомления и согласования. Хотя для этой операции мне рекомендовано обратиться с паспортом в отделение.

Еще раз повторюсь: сотрудники Сбербанка просто РЕДАКТИРУЮТ Ваши контактные данные, завязанные на безопасность аккаунта (логин для управления всеми вашими финансами), БЕЗ какого-либо УВЕДОМЛЕНИЯ клиента.

В ответ на эти действия я составляю очередной запрос:

Ответ просто фееричен:

Вывод этого примера очень простой:

Сбербанк в одностороннем порядке может не только менять условия банковского обслуживания (снижать процентную ставку по вкладу, повышать процентную ставку по кредиту – но никак не наоборот), но и в одностороннем порядке менять вам порядок доступа к вашим деньгам, добавлять/удалять мобильные номера для управления аккаунтом и не хранить никаких логов. Соответственно, не нести за ваши финансы никакой ответственности. Ну или хотя бы не стесняться говорить об этом клиентам.

А к чему все это приводит, мы поговорим в следующем материале, где разберем кейсы с телефонным мошенничеством. Почему это затронуло в особенности Сбербанк, я думаю, из текущего материала стало многим очевидно. В том числе поговорим про мошенничество 2.0 – новую версию, о которой пока в СМИ никто не писал. И там будет много любопытного.

Как следствие из первых двух кейсов возникает ситуация, с которой сталкиваются тысячи клиентов Сбербанка. Как было сказало выше, мобильный номер – это центральная часть всей связки Сбербанка и клиента. Формально клиент отвечает за то, какой номер телефона он указал. Но что происходит на практике.

Телефонный номер, как многие знают, не принадлежит ни абоненту, ни оператору связи. Да, это распространенный миф – что если у вас есть номер, есть договор на него, то вы его владелец. Это не так. Номер телефона – это ограниченный ресурс, которым владеет государство. И оно поручает операторам связи обслуживать этот ресурс. Абоненты (пользователи) получают во временное распоряжение набор цифр на период действия договора. Не более того. При этом этот набор цифр в силу ФЗ «О связи» может быть в одностороннем порядке заменен у абонента одним росчерком пера руководителя Федерального агентства связи. Сейчас такие истории случаются все реже, но на моей практике было несколько кампаний по смене нумерации у действующих абонентов, в том числе мобильной. И абонент от этих изменений никак не застрахован. Ему просто изменяют номер с уведомлением. Мобильный номер, который является центральным ядром многих цифровых систем. В том числе внутри мобильного банка.

И недавно возникла такая ситуация. Производили аудит одной компании, которая использует порядка 2000 номеров для своих сотрудников: делали сверку расходов, проводили сокращение затрат и оптимизацию, возвращали деньги за «платные подписки» и прочие навязанные услуги со стороны мобильных операторов. И в какой-то момент обнаружили, что на части номеров «привязаны» мобильные банки физических лиц. То есть сотрудники пользовались этими номерами ранее, потом уволились. И сейчас пользуются другие сотрудники. Мы созвонились с бывшими сотрудниками. Оказалось, что они после увольнения якобы меняли номер телефона для входа в Сбербанк-онлайн. И были удивлены, что доступ к их финансам возможен через «старые номера». Оказалось, когда они проходили процедуру «изменения» номера, новый номер не заменялся старым, а всего лишь добавлялся. Старый по-прежнему был активен в Сбербанк-онлайне.

Сейчас Сбербанк изменил процедуру, но для старых пользователей это все осталось по-прежнему. И есть как минимум несколько десятков тысяч граждан (а может и больше), которые и знать не знают, что информация об их финансах доступна третьим лицам. Привязав один раз номер телефона, банк ожидает, что это навсегда. Увы, практика показывает, что это не так.

Можно, конечно, утверждать, что это проблема самих людей. Но вы посмотрите, как люди относятся сейчас к цифровым продуктам, особенно старшее поколение: для них это все становится непонятным и неочевидным. Если раньше были системные администраторы и помогали с настройкой компьютера, то сейчас может быть перерождение этой профессии – настройщик программ для смартфонов. Это все шутки, но проблема действительно важная, ведь она затрагивает огромное количество пользователей. Не пользоваться этими продуктами уже невозможно. Но должного описания и донесения информации, как пользоваться, – тоже нет.

Я считаю, что здесь скорее должны быть введены в действие какие-то регламенты, определяющие порядок использования мобильных номеров в банковских продуктах. Нет, я не сторонник всеобщей регуляции. Но есть моменты, которые нужно очень внимательно изучать. И здесь должна быть совместная работа и банков, и операторов связи, и надзорных органов. Но решение должно быть удобным, функциональным и понятным для всех участников. Иначе мы и дальше будем наблюдать издержки «удобства» банковских продуктов в росте количества мошеннических схем и компьютерных преступлений.

Пока писался этот материал, Сбербанк прислал "мне" еще и поздравлением с днем рождения. То есть помимо банковской тайны, Сбербанк незаконно распространяет персональные данные своих клиентов, нарушив тем самым Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ.

Заключение:

Я обратил внимание на адреса большинства операций (оказался региональный город). Путем поиска информации по имени отчеству я буквально за 15 минут смог найти этого человека. Я посчитал важным поставить его в известность о данной ситуации. Ожидаемо меня приняли за "мошенника". Это право человека - но я попросил перепроверить его учетные данные и проверить мои слова.

Мы пообщались по телефону - таким образом я смог узнать его мобильный телефон. Далее я проверил его номер в Сбербанк Онлайне (отправив перевод в 1 рубль) - последние 4 цифры номера карты совпали с тем, что мне присылал Сбербанк. Значит мои слова находятся в полном соответствии в реальными проблемами в Сбербанке на предмет утечек персональных данных о клиентах и банковских операциях.

Будете внимательны и охраняйте свои деньги. Доверяй банку - но проверяй его безопасность.