Почему, в текущих условиях, пользоваться услугами крупнейшего российского банка, возможно, не самая лучшая идея

Главной новостью прошлой недели из банковсковской сферы — несомненно является новость о том, что имена и адреса более чем 400 тысяч сотрудников «Сбербанка» утекли в Сеть. Это произошло еще неделю назад – персональные данные огромного количества людей оказались в открытом доступе на хакерском форуме phreaker.pro. Несмотря на то, что  представители банка отказываются от комментариев, не называя причин, наиболее правдоподобный вариант – это то, что один из сотрудников банка, имеющий доступ к данным, просто их «слил». И, увы, случай этот отнюдь не уникален: подобные базы, причем, достаточно свежие, регулярно попадают на подпольные форумы. Случай со «Сбербанком» отличается от остальных лишь тем, что благодаря вмешательству Роскомнадзора, информация попала в СМИ, в результате чего люди обратили внимание на вопиющую ситуацию с сохранностью персональных данных в России.

И в этой связи у нас не может не возникнуть резонного вопроса: если данные сотрудников «Сбера» так легко утекли в Сеть, как обстоят дела с данными клиентов «самого инновационного банка России»? И, тут, судя по всему, дела обстоят совсем плохо: ваши данные могут легко быть похищены и проданы злоумышленникам. Более того: скорее всего, они уже похищены и проданы. Причем, вы сами позволили это сделать, установив себе на смартфон приложение «Сбербанк онлайн», которое, не сильно преувеличивая, можно было бы назвать приложением-шпионом. Оно, имея неограниченный доступ ко всем функциям смартфона, знает о каждом вашем шаге. Эксперты достаточно давно уже досконально разбирались в том, что находится «под капотом» у «Сбербанк онлайн», и учитывая историю с утечкой данных сотрудников «Сбера», стоит это сделать еще раз.

Мобильное приложение

Подробный разбор мобильного приложения вызывает опасения у экспертов.

Итак:

Мобильный клиент «Сбербанка» умеет:

  • Управлять СМС. Причем, не только отправлять, но также читать сообщения и даже подменять их содержимое
  • Управлять звонками. Звонить, принимать звонки, а также записывать их логи
  • Копировать и пересылать книгу контактов
  • Закрывать другие процессы в телефоне
  • Определять и пересылать данные геолокации
  • Изменять настройки смартфона,
  • Пользоваться Wi-Fi и Bluetooth,
  • Использовать камеру.

Согласитесь, что не каждый вирус обладает такими внушительными возможностями. Приложение «Сбербанка» имеет по умолчанию такой набор функций, которому бы обзавидовался любой хакер, сотрудник спецслужб, налоговой службы или представитель оргпреступности, каждый из которых имеет свой интерес к тому, сколько денег вы держите на депозите, от кого получаете средства, кому их переводите. Также приложение может знать все о том, где вы бываете, ваш круг общения и даже ваши вкусы и интересы. Ну и, конечно, при необходимости оно может подслушать ваш разговор, сделать фото или видео.

Во-вторых, установленное приложение постоянно находится в активных процессах смартфона. Оно регулярно отправляет вашу геолокацию, другие данные и съедает до 80 Мб оперативной памяти устройства. Иными словами, сервис, задача которого — принимать и отправлять небольшие объемы данных, поедает ресурсы смартфона наравне с видеоигрой. И это происходит постоянно, даже если приложением вы пользуетесь только раз в месяц. Причем, мобильный клиент «Сбербанка» настолько наглый, что включается автоматически после запуска смартфона, а при закрытии приложения перезапускается. То есть «мирное» банковское приложение обладает просто безграничной властью над вашим смартфоном.

Вызывает вопросы и то, что в приложение вмонтирован антивирус «Касперский», который в любое время может начать сканирование смартфона на вирусы, что, естественно, негативно сказывается на заряде батареи и работоспособности смартфона. Но основная проблема наличия антивируса не в этом. Напомним, что осенью 2017 года The Wall Street Journal и The New York Times опубликовали расследования о том, как антивирус «Касперский» может искать скрытые файлы и похищать данные пользователей.

Вполне вероятно, что именно этот явно избыточный функционал объясняет причину того, что apk-файл «Сбербанк онлайн» для Android «весит» неприлично много – целых 41 МБ, что составляет практически размер установщика современной многоуровневой игры с кучей музыкальных треков.

Онлайн-сервис

Онлайн-сервис, может, и не обладает таким внушительным шпионским потенциалом, но после детального разбора в нем также нашлось много интересного. Главная проблема сервиса состоит в том, что он просто переполнен различными счетчиками и посторонними скриптами.

Причем, скрипты, которые собирают информацию о пользователях и не принадлежат банку, появляются не только на главной странице, но и непосредственно в кабинете пользователя. Иными словами, на страницах, где пользователи совершают денежные операции (вводят пин-код, код подтверждения, персональные данные и т.д.), посторонние сервисы могут легко копировать вводимую информацию. Вдобавок скрипты посторонних сервисов умелые злоумышленники могут заменить непосредственно в браузере пользователя, о чем «Сбербанк» даже не будет знать.

Чем это грозит для пользователей?

Кроме того, что персональные данные, пароли, пин-коды и номера карт могут попасть в руки злоумышленников и впоследствии использоваться для хищения средств, вредоносный код может на лету подменять реквизиты при совершении пользователями денежных переводов.

Является ли все это частью большой государственной машины по сбору информации о гражданах или ленивой попыткой создать свои мультифункциональные сервисы? Сложно ответить на данный вопрос, но очевидно, что «Сбербанк» собирает огромное количество информации о своих клиентах. А учитывая тот факт, что они не особо заботятся о данных своих сотрудников и утечках, то простым пользователям уж точно можно забыть о конфиденциальности собственных данных и лишний раз задуматься, а стоит ли вообще доверять такому банку.  Ведь наша информация без нашего ведома может оказаться не только в руках налоговой, полицейских или других представителей госструктур, благо, законодательство, принятое нашими «родными» депутатами, предоставляет государству возможность беспрепятственно шарить по нашим карманам. Однако как насчёт того, что доступ к информации о вашем счете (и не только), благодаря приложению «Сбербанка», получат,  например, бандиты? Впрочем, если, к примеру, вы закроете все свои счета в «Сбере», удалите со смартфона его приложение, а после откроете счет в каком-нибудь другом российском банке, например, в «Альфе», то совершенно не факт, что ваши деньги и данные будут в большей сохранности. В конце концов, вы живете в России…

В этой ситуации трудно не вспомнить ироничный ответ Степана Демуры на вопрос, заданный ему в ходе одного из интервью – где хранить свои сбережения? Эксперт ответил: «в двух банках – трехлитровой и двухлитровой».

Сергей Бегинин