Sberbank saat ini adalah salah satu merek yang paling banyak disebutkan sehubungan dengan "transformasi" bermodel baru: digital, perbankan, universal. Saya ingat bagaimana 10 tahun yang lalu perusahaan ini mulai menarik sejumlah besar spesialis IT yang berkualifikasi tinggi ke negaranya. Sejak saat itu, banyak yang berubah, spesialis IT menjadi lebih selektif dalam memilih perusahaan. Layanan baru keluar dari laboratorium Sberbank satu per satu. Dan dalam mengejar "kenyamanan" pengguna, bukan hanya jebakan yang sering disembunyikan, tetapi juga gunung es, yang pada titik tertentu dapat menenggelamkan perusahaan mana pun secara legal. Apalagi jika dia menyimpan uangmu.
Hari ini kita akan menganalisis 3 contoh kesalahan TI fatal yang tampaknya ada di permukaan dan tidak mungkin membuatnya. Tapi Sberbank berhasil melakukannya, tiba-tiba tersandung.
Contoh 1. Notifikasi perbankan email
Banyak dari kita memiliki email seperti itu, yang kita gunakan untuk berbagai pendaftaran dan spam lainnya. Saya biasanya masuk ke kotak seperti itu setiap 2-3 bulan (kotak itu sendiri sudah hidup sejak 1999), bersihkan dan tutup sampai waktu yang lebih baik. Tapi kemudian suatu hari saya melihat surat yang masuk ke folder spam atas nama Sberbank. Subjek surat itu berbunyi "Laporan Kartu Visa * 0612 untuk periode dari xx.xx.xx ke yy.yy.yy". Jelas bahwa ada banyak scammer akhir-akhir ini (kita akan membicarakannya di artikel terpisah nanti) yang mendapat untung dari nama sebuah bank besar. Tapi surat ini menarik minat saya.
Pengirimnya adalah Sberbank of Russia newreport_card@sberbank.ru. Setelah memeriksa header, saya menyadari bahwa surat itu bukan phishing - pengirimnya memang Sberbank. Karena saya tidak pernah memiliki kartu * 0612, saya harus melihat laporan seperti apa yang dikirimkan Sberbank kepada saya.
Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
id 1jlnqp-0002hE-LG
for @MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
for <@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
by 127.0.0.1
for <@MAIL.RU>;
Thu Jun 18 09:16:39 2020
Jika mengatakan bahwa saya terkejut dengan apa yang saya lihat, untuk tidak mengatakan apa-apa. Saya o ***** l. Sberbank dengan keseriusan mengirimi saya laporan tentang kartu bank orang lain yang menunjukkan nama, patronimik dan huruf pertama dari nama belakang dengan semua transaksi debit / kredit, jumlah di atasnya, saldo kas di awal dan akhir periode, pembagian menjadi tunai dan non-tunai dan statistik lainnya.
Singkatnya, Sberbank mengirimi saya informasi yang merupakan kerahasiaan perbankan. Pasal 26 dari Undang-Undang Federal 02.12.1990 N 395-1 (sebagaimana direvisi pada 27.12.2019) "Tentang bank dan aktivitas perbankan" menyatakan:
, , , , , . , , , , .(Saya tidak akan mengatakan apa pun tentang ejaan aktivitas "operasional dan investigasi" dalam teks Undang-Undang Federal - mereka yang ingin dapat menemukan sendiri teks lengkap undang-undang tersebut dan melihatnya).
โฆ
, , , - , , , , 9 12 1995 N 144- ยซ - ยป, , , , , , .
Selama 2 tahun terakhir kami telah berkecimpung di bidang telecom audit untuk berbagai perusahaan dan mengidentifikasi kekuatan / kelemahan dalam bisnis, memeriksa kebenaran hubungan dengan rekanan, menemukan dan menghilangkan berbagai pelanggaran, sehingga kami memiliki staf pengacara yang cukup kuat yang memahami seluk-beluk IT dan hubungan telekomunikasi. Secara khusus, batas-batas tanggung jawab hukum di bidang keamanan informasi. Hal pertama yang saya lakukan adalah menemui mereka untuk klarifikasi.
Kami mulai menganalisis mengapa dan bagaimana ini bisa terjadi, apakah bank yang harus disalahkan atas situasi ini. Pertama-tama, kami memperhatikan nama dan nama pemegang rekening (Sberbank sendiri yang mengungkapkan informasi ini dalam laporan). Dan kami menemukan kemiripan yang mungkin antara nama akun email saya dan alamat email pemilik sebenarnya dari rekening bank tersebut. Perbedaannya ada pada satu huruf: r dan n. Mereka sangat mirip saat ditulis tangan.
Kami mengasumsikan 2 opsi mengapa semua ini bisa terjadi:
- - pemilik akun mengisi semacam kuesioner elektronik, dimana dia sendiri yang melakukan kesalahan saat memasukkan namanya;
- - pemilik akun mengisi semacam kuesioner kertas, di mana dia secara tidak sah menunjukkan alamat emailnya - dan pegawai bank memasukkan data ke dalam sistem dengan kesalahan.
Dan dalam situasi ini, kami melihat kelemahan pada perancang sistem informasi Sberbank. Dalam hal bidang sensitif seperti uang, bank harus sangat berhati-hati. Saat merancang sebagian besar sistem otorisasi / pemberitahuan, pengembang melanjutkan dari "kesalahan" pengguna. Jadi Sberbank, menurut pendapat saya, berkewajiban menyediakan kebutuhan untuk memverifikasi email yang dimasukkan (bahkan jika klien menunjukkannya sendiri) dengan mengirimkan pemberitahuan email dengan proposal untuk mengkonfirmasi email yang ditentukan. Ini adalah praktik umum tidak hanya dengan email, tetapi dengan nomor telepon. Selain itu, ini harus dilakukan sehubungan dengan akun tersebut (agar tidak ada orang lain yang secara tidak sengaja dapat melakukan aktivasi ini).
Dan jika dalam kasus pertama, ketika pengguna sendiri melakukan kesalahan saat memasukkan emailnya, Sberbank hanya dapat disalahkan atas kesalahan dalam sistem, maka dalam kasus kedua semua yang terjadi harus diselidiki secara menyeluruh. Bagaimanapun, bank sebagai organisasi perkreditan dalam situasi ini memikul tanggung jawab tidak hanya administratif, tetapi juga pidana.
Namun faktanya tetap - Sberbank secara teratur mengirimi saya data orang lain, dilindungi oleh kerahasiaan bank... Seseorang mungkin berkata bahwa sekarang saya sendiri yang akan dimintai pertanggungjawaban (seperti yang sering terjadi dalam situasi seperti penyelidikan "profil tinggi" di sektor perbankan). Tetapi saya cepat-cepat meyakinkan semua orang: dalam situasi ini tidak ada yang dilakukan di pihak saya, yang menyebabkan pengungkapan rahasia bank. Bank itu sendiri secara sukarela mengirimi saya laporan semacam itu. Saya pikir Sberbank seharusnya memiliki pertanyaan dari otoritas pengawas, jika masalah seperti itu bisa menjadi besar. Sayangnya, kami tidak mungkin mengetahui tentang ini.
Kesimpulan utama dari kasus ini:
Sebagai klien Sberbank, Anda bahkan mungkin tidak menyadari bahwa informasi perbankan Anda "terlihat" ke luar, jika tiba-tiba seseorang dari karyawan Sberbank dapat membuat kesalahan saat memasukkan informasi kontak Anda secara manual.
Jika ada yang mengira setelah materi ini, pihak security Sberbank akan buru-buru memeriksa semuanya, menghilangkan semua kekurangannya, mencari pelakunya (bahkan mungkin menghukum), maka di sini saya bisa mengecewakan para pembaca. Dengan tingkat kemungkinan yang tinggi, semua ini tidak akan terjadi. Karena dari pengalaman pribadi saya menemukan fakta bahwa Sberbank sama sekali tidak menyimpan catatan operasi perubahan status data Anda.
Dan di sini kita sampai pada kasus kedua.
Contoh 2. Nomor telepon orang lain tanpa sepengetahuan Anda
Banyak orang tahu bahwa di Sberbank, hampir semuanya dibangun di sekitar ekosistem dengan nomor ponsel. Saya telah bekerja di telekomunikasi selama hampir 20 tahun. Dan, sejak 2007, ketika kami secara aktif mulai memperkenalkan komunikasi VoIP, kami memperingatkan semua pelanggan tentang keamanan telepon dan perlu ada perlindungan saat memberi otorisasi melalui nomor telepon. Semua permainan ini dengan pengenalan ID penelepon dan integrasi yang erat dengan sistem CRM dan ERP mengarah pada apa yang saya bicarakan bertahun-tahun yang lalu - poros penipuan telepon. Secara khusus, di halaman-halaman Habr-lah saya berhasil menarik perhatian komunitas spesialis telekomunikasi dan operator telekomunikasi terhadap penipuan dengan "menguras" 8-800 lalu lintas .
Tetapi hari ini kita akan berbicara tentang fakta bahwa pada bulan Oktober 2019, ketika melihat pengaturan data pribadi selama pembaruan aplikasi seluler Sberbank berikutnya, saya menemukan bahwa saya memiliki nomor telepon tambahan di informasi kontak saya. Yang jelas tidak ada hubungannya dengan saya - saya tidak pernah menunjukkannya. Baru-baru ini di pers, banyak yang memperhatikan hal ini, tetapi saya dapat mengatakan bahwa keseluruhan cerita dengan penambahan angka "asing" ini telah berlangsung sejak 2019. Dan mungkin lebih awal.
Mari kembali ke akun. Intinya, seseorang mengambil dan menambahkan nomor telepon orang lain ke kredensial saya tanpa sepengetahuan saya. Saya telah menarik semua tabungan saya dari Sberbank sejak lama (termasuk karena alasan keamanan dan begitu banyak kegagalan TI), jadi saya tidak terlalu khawatir tentang keamanan keuangan saya. Tetapi menjadi penting bagi saya untuk memahami situasi ini sampai akhir.
Spoiler: Sberbank tidak mengakui kesalahan tersebut dan mengatakan bahwa ia tidak menyimpan log perubahan kredensial pelanggan.
Begitu. Saya menelepon manajer pribadi Sberbank-Premier dengan pemberitahuan tentang adanya kerentanan di akun saya. Manajer benar-benar mengabaikan pesan saya (ini adalah pertanyaan tentang layanan "premium") dan merekomendasikan untuk membuat permintaan tertulis.
Pada 10 November 2019, saya menulis permohonan untuk mendukung Sberbank:
ID ยซ ยป +7 *** *** **-**. .
, . .
, , .
. , .
- ( ) ID.
Saya ulangi sekali lagi: Saya menuntut klarifikasi tentang siapa, kapan, dalam keadaan apa, memasukkan nomor "orang lain" di informasi kontak saya.
Harap perhatikan bahwa dalam pengajuan banding saya, saya melarang karyawan Sberbank membuat perubahan apa pun pada akun saya.
Pada tanggal 27 November 2019, yaitu 17 (!) Hari setelah pengajuan banding terkait KEAMANAN akun, jawaban seperti itu diterima. Dan banding ditutup.
โฆ โ xxxx-yyyy-xxx 10.11.2019 . , +7****** -**-** 2012 . , , , . , . . .
Artinya, sampai tahun 2019 saya tidak melihat angka ini di setting manapun, tapi ternyata sudah ada sejak 2012. Luar biasa. Dan ceri di atasnya: meskipun saya melarang mengubah data saya di Sberbank tanpa sepengetahuan saya, Sberbank MENGHAPUS nomor "kontroversial" dari akun saya tanpa pemberitahuan atau persetujuan. Meskipun untuk operasi ini saya disarankan untuk melamar dengan paspor ke departemen.
Saya ulangi sekali lagi: Karyawan Sberbank cukup EDIT informasi kontak Anda yang terkait dengan keamanan akun (login untuk mengatur semua keuangan Anda), TANPA PEMBERITAHUAN apa pun kepada klien.
Menanggapi tindakan ini, saya membuat permintaan lain:
.
**-**. , . , .
, ! , , , , .
, .
Jawabannya sungguh mempesona:
... Banding Anda No. xxx-yyy-zzz tanggal 27/11/2019 telah ditinjau. Sebelumnya Anda telah mengajukan banding No. xxx-yyy-zzz melalui Sberbank online terkait pencerminan nomor telepon +7 ********** di aplikasi seluler online Sberbank. Dalam pengajuan banding, Anda menyatakan bahwa nomor ini bukan milik Anda. Bank mengambil tindakan untuk mengecualikan nomor ini dari informasi kontak Anda. Jawaban atas banding tersebut No. xxx-yyy-zzz telah dikirimkan ke alamat email Anda ****@***.*** atau hubungi kantor bank untuk mendapatkan tanggapan. Anda dapat menambahkan nomor telepon di aplikasi seluler Sberbank secara online. Sberbank.
Output dari contoh ini sangat sederhana:
Sberbank dapat secara sepihak tidak hanya mengubah kondisi layanan perbankan (mengurangi suku bunga deposito, meningkatkan suku bunga pinjaman - tetapi tidak sebaliknya), tetapi juga secara sepihak mengubah prosedur untuk mengakses uang Anda, menambah / menghapus nomor ponsel untuk manajemen akun dan tidak menyimpan log apa pun. Oleh karena itu, jangan bertanggung jawab atas keuangan Anda. Nah, atau setidaknya jangan sungkan untuk memberi tahu klien tentang hal itu.
Dan apa tujuan semua ini, kita akan berbicara di artikel berikutnya, di mana kita akan menganalisis kasus penipuan telepon. Mengapa hal ini sangat mempengaruhi Sberbank, menurut saya, dari materi saat ini menjadi jelas bagi banyak orang. Antara lain, mari kita bicara tentang Penipuan 2.0 - versi baru yang belum pernah ditulis oleh siapa pun di media. Dan akan ada banyak hal menarik.
Contoh 3. Nomor telepon berubah pengguna
Sebagai akibat dari dua kasus pertama, muncul situasi yang dihadapi ribuan klien Sberbank. Seperti disebutkan di atas, nomor ponsel adalah bagian sentral dari seluruh koneksi antara Sberbank dan klien. Secara formal, klien bertanggung jawab atas nomor telepon yang dia tunjukkan. Tapi apa yang terjadi dalam prakteknya.
Nomor telepon, seperti yang diketahui banyak orang, bukan milik pelanggan atau operator telekomunikasi. Ya, ini adalah mitos umum - bahwa jika Anda memiliki nomor, ada kontrak untuk itu, maka Anda adalah pemiliknya. Ini tidak benar. Nomor telepon adalah sumber daya terbatas yang dimiliki oleh pemerintah. Dan itu menginstruksikan operator telekomunikasi untuk melayani sumber daya ini. Pelanggan (pengguna) menerima sementara sejumlah nomor selama kontrak. Tidak lagi. Pada saat yang sama, kumpulan angka ini berdasarkan Undang-Undang Federal "Tentang Komunikasi" dapat diganti secara sepihak oleh pelanggan dengan satu goresan pena dari kepala Badan Komunikasi Federal. Sekarang cerita seperti itu semakin jarang terjadi, tetapi dalam praktik saya ada beberapa kampanye untuk mengubah penomoran pelanggan yang ada, termasuk seluler. Dan pelanggan tidak kebal dari perubahan ini. Mereka hanya mengubah nomor teleponnya dengan pemberitahuan.Nomor ponsel, yang merupakan inti utama dari banyak sistem digital. Termasuk di dalam mobile bank.
Dan baru-baru ini situasi seperti itu muncul. Kami mengaudit satu perusahaan, yang menggunakan sekitar 2.000 nomor untuk karyawannya: kami melakukan rekonsiliasi biaya, pengurangan dan pengoptimalan biaya, dan mengembalikan uang untuk "langganan berbayar" dan layanan lain yang dikenakan dari operator seluler. Dan pada titik tertentu, mereka menemukan bahwa beberapa nomor terkait dengan bank keliling individu. Artinya, karyawan menggunakan nomor ini lebih awal, lalu berhenti. Dan sekarang karyawan lain menggunakannya. Kami menelepon mantan karyawan. Ternyata setelah diberhentikan mereka diduga mengganti nomor telepon untuk masuk ke Sberbank online. Dan mereka terkejut bahwa akses ke keuangan mereka dimungkinkan melalui "angka-angka lama". Ternyata saat melalui prosedur "ganti" nomor, nomor baru tidak diganti dengan yang lama, melainkan hanya ditambah.Yang lama masih aktif di Sberbank-online.
Sekarang Sberbank telah mengubah prosedurnya, tetapi untuk pengguna lama masih sama. Dan setidaknya ada beberapa puluh ribu warga (dan mungkin lebih) yang bahkan tidak tahu bahwa informasi tentang keuangan mereka tersedia untuk pihak ketiga. Setelah menautkan nomor telepon satu kali, bank mengharapkannya selamanya. Sayangnya, latihan menunjukkan bahwa ini bukanlah masalahnya.
Tentu saja dapat dikatakan bahwa ini adalah masalah masyarakat itu sendiri. Tapi lihat bagaimana orang sekarang berhubungan dengan produk digital, terutama generasi yang lebih tua: bagi mereka semuanya menjadi tidak bisa dipahami dan tidak jelas. Jika sebelumnya ada administrator sistem dan membantu menyiapkan komputer, sekarang mungkin ada kelahiran kembali profesi ini - penyesuai program untuk ponsel cerdas. Ini semua hanya lelucon, tetapi masalahnya sangat penting, karena ini memengaruhi sejumlah besar pengguna. Sudah tidak mungkin untuk tidak menggunakan produk ini. Tetapi juga tidak ada deskripsi dan penyampaian informasi yang tepat tentang cara menggunakannya.
Saya percaya bahwa di sini sebaiknya diberlakukan beberapa peraturan yang menentukan prosedur penggunaan nomor ponsel dalam produk perbankan. Tidak, saya bukan pendukung regulasi universal. Tetapi ada beberapa poin yang perlu dipelajari dengan sangat hati-hati. Dan di sini harus ada kerja bersama bank, operator telekomunikasi, dan otoritas pengawas. Tetapi solusinya harus nyaman, fungsional dan dapat dimengerti oleh semua peserta. Jika tidak, kami akan terus mengamati biaya "kenyamanan" produk perbankan dalam pertumbuhan jumlah skema penipuan dan kejahatan komputer.
UPD (16 Juli 13:20):
Sberbank memutuskan untuk melangkah lebih jauh. Dan baru kemarin dia mengirimiku "selamat" pada hari ulang tahunku. Artinya, tidak cukup baginya untuk melanggar kerahasiaan bank - Sberbank juga memutuskan untuk melanggar Undang-Undang Federal "Tentang Data Pribadi" 27.07.2006 N 152-FZ. Seberapa jauh Sberbank akan melangkah?