user7497597

Как то раз заехав к родственникам, решили заказать "вкусняшки" в СберМегамаркет т.к. мой визит был довольно неожиданным. И вот ранее этой услугой от Сбер`а я ранее не пользовался за первый заказ были скидки решил попробовать.

Воспользовавшись местным компьютером, заказ был успешно оформлен получена скидка за первый заказ, списалось какое-то количество бонусов СберСпасибо которые я толком не мог нигде потратить т.к. их не принимают в тех местах где я что то покупаю.

И вот собственно самое главное как оказалось, дальше родственники не подозревая этого получили возможность использовать бонусы СберСпасибо с моего счёта, делая свои заказы с СберМегамаркет! Я вообще не имею ничего против, т.к. тратить мне их некуда и негде. Но я как специалист в ИТ отрасли, крайне заинтересовался тем что списание с моего счёта происходит без моего ведома...... Решил обратиться в банк и спросить, третий оператор! (возможно предыдущие два были биороботами так как делали вид что вообще не понимают, но на слух вроде люди) смог мне ответить =)))
Удалось выяснить:
1) - О удивительно были списания бонусов, но не было операций по счёту! =) (если что, то 1 рубль всегда должен быть списан если в норме =))))

2) - Вероятно существует действующая сессия СберID на компе вне моего контроля, но её закрыть можно только в ручную, приехав к родственникам =) да именно это мне порекомендовал Банк! ( Но т.к. сессия закрывалась, очевидно виноват кэш браузера который содержит действующий OAuth токен который должен был "закрыться" на сервере, но не сделал этого очевидно, что выходить можно долго ..... )

3) - Можно отключить некий "Удобный доступ" который должен прервать сессии. (забегая вперёд, не может)

4) - Банк не в состоянии прекратить неавторизованные списания с счёта.

Я не очень глубоко знаю тему, но уверен, что хранящийся в Кеше браузера действующий ключ позволит если не осуществить действия от моего имени то крайне этому поспособствует.

Отключение "Удобный доступ" сохранило ошибку, на следующий день я с лёгкостью повторил "баг" уже на своём ПК (Win 10 x64, Chrome Версия 118.0.5993.120) После выхода из CберID, удалось без проблем запрашивать информацию по истории зачисления/списания бонусов подключению и отключению подписок.....

Если вы клиент Сбера и используете SberID при этом не хотите чтобы в ближайшие полгода - год попасть в списки пострадавших от как объявят по телику "хакерской атаки" какого ни будь недружественного государства (уверен там придумают что то). Позвоните в поддержку банка и спросите как узнать и как завершить открытие сессии SberID не имея доступа к устройству. В дальнейшем используйте приватные вкладки в браузерах ибо качество ИТ специалистов работающих на Сбер очевидно начало пробивать дно, все отвечают за пуговички, а систему в общем не понимают.

У меня есть вопросы к Банку и Регулятору как так вышло:

- Почему нельзя посмотреть текущие СберID токены? (там где-то мухлёж? в Telegram, WhatsApp и пр. вы можете посмотреть свои токены свободно и установить предельный срок их жизни)
- Почему нельзя выйти из тех сеансов на устройствах которые не контролируешь?
- Почему когда поддержке Сбера сообщают о критической уязвимости, в одной из важнейших систем они ничего кроме обвинений клиента ничего не могут! Это не клиент виноват что OAuth токен при нажатии выйти из сессии не сбрасывается на сервере?!
- Почему Сбербанк получив сообщение о ненадлежащем доступе к счетам клиента не может его прекратить?!

Я в целом не понимаю как такой косяк пошел в продакшен. Тут и баг с кэшем у клиента, баг в backEnd`е сервиса и баг в взаимодействии сервисов (тут ведь если бы на одну "дырку" было меньше я бы и не увидел или не смог бы повторить)

P.S.

Если этот пост читают сотрудники Центробанка прошу рассматривать пост как сообщение о ненадлежащем исполнении требований к соблюдению требований информационной и в целом банковской безопасности со стороны Сбер`а. Возможно я в чём-то не прав, но поведение банка выглядит странно. Действия с счётом клиента точно должны проводится хотя бы с его информированием особенно если клиент за это информирование ещё и заплатил дополнительно.