Пользователь Geektimes Олег Кулабухов рассказал об уязвимостях в системе "Сбербанк Онлайн", с помощью которых могут быть похищены данные пользователей сервиса.
По словам программиста, он обнаружил в личном кабинете на сайте "Сбербанк Онлайн" множество счетчиков, принадлежащих сторонним компаниям.
"Это Google, Doubleclick, Rutarget, ЯМетрика... В личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям", - пояснил Кулабухов.
В службе поддержки Сбербанка на вопрос о счетчиках ответили, что они используются для анализов переходов пользователей между страницами и не имеют доступа к содержимому сайта. Однако Кулабухов опроверг эту информацию, показав в видеоролике, как можно перехватить вводимые пользователем данные с помощью подмены скрипта счетчика.
Пользователь отметил, что таким образом скрипты могут использоваться для сбора или подмены любой информации, которую вводит пользователь, в том числе данных паролей и кредитных карт. Для того чтобы обезопасить использование сервиса "Сбербанк Онлайн", Кулабухов рекомендует включать блокировщики рекламы.
