Ответ Inesik в «Мошенники из "Сбербанка"»⁠⁠6

Ответ на пост с просьбой писать СДЭКу по поводу их дыр в безопасности. Говоришь о проблеме, подробно описываешь как проблемы избежать, а им пофигу вообще.

Разговор с техподдежкой в текстовом формате, внизу можете почитать со скриншота если хотите.

- Здравствуйте, почините пожалуйста дыры в безопасности, чтобы номера телефонов не сливались мошенникам

- Здравствуйте, Эмиль. Меня зовут Анна. Данные наших клиентов в безопасности. Информацию другим лицам мы не передаем. Об этом мы размещали информацию на нашем сайте https://cdek.ru/news/view/2020-05-13-dannye-klientov-sdek-v-...


- Хорошо, почитайте пост и комментарии
Мошенники из "Сбербанка"
Вчера купил новую симку МТС для регистраций на различных сервисах и оформил один заказ через интернет с доставкой (у отправителя без вариантов) через СДЭК. Номер трека мне не пришёл, но сегодня уже позвонил на эту симку специалист из "службы безопасности Сбера", так что я спокоен, значит мой заказ принят в работу, можно не волноваться и ждать доставку.

комментарии:
#comment_177517813
Кстати тоже заказал на али товар с доставкой через сдек. Вчера звонили из сбера. Поиграл в игру угадай картой какого банка пользуюсь. Так они и не угадали

#comment_177517813
Заказал на выходных покупку из интернет-магазина. Менеджер сказал, что в понедельник передаст заказ на доставку в СДЭК. И... Фанфары!.... Сегодня, в понедельник, мне первый раз позвонили из отдела безопасности Сбера)))) Звонила девушка)


- Эмиль, здравствуйте.
Мы со своей стороны также проводили внутреннее расследование после того, как начали поступать жалобы на слив данных. С нашей стороны утечки не было, поскольку это технически невозможно.
Если звонки не прекратились, то стоит обратиться в правоохранительные органы.

- Сколько людей в вашей компании имеют доступ к личным данным?

- Точного количества у меня нет.

- Это и есть дыры в безопасности. У работников компании не должно быть доступа к личным данным и номерам телефонов.

- Эмиль, эти данные указываются в накладной. При отслеживании через внутреннюю программу они будут отображаться. Без них мы не сможем работать.
Мы всё проверили. Данные невозможно массово скопировать и отправить куда-то. Это технически невозможно.

- То есть работник может видеть данные только одного человека, с которым он работает?

- Да. Мы вводим номер накладной во внутренней программе и после этого у нас отображаются данные клиента. Массово они не выгружаются.


- Хорошо, предлагаю вам идеи по улучшению безопасности, передайте их пожалуйста сисадмину, а потом скажите пожалуйста мне что он ответил.

1. Программа сама должна выдавать работникам данные людей с которыми им надо работать, это должен выбирать не работник.

2. В программе должно логироваться какой работник работал с каким человеком.

3. Единственный человек который может сам взять, вбить номер накладной, либо посмотреть список личных данных - сисадмин.

4. Добавьте на сайт кнопку "мои данные слили". Нажавший на нее человек должен все подробно описать и объяснить почему он считает что его данные слил именно СДЭК. Если жалоба оформлена правильно, то к ответственности привлекаются сисадмин и работник который с этими данными работал, и вы все вместе допрашиваете сисадмина и работника.

5. Чтобы доказать сливал ли что-то работник, работник должен работать с личными данными только с рабочего компьютера, не со своего. Каждый компьютер должен логировать какие программы на нем установили или запускали в течение рабочего дня, чтобы работник не включил например запись экрана, а потом дома не переписывал данные и не продавал. Перед тем как запустить на рабочем компе какую-то левую программу работник должен объяснить для чего это, а сисадмин должен загуглить что это за программа, и проследить чтобы работник скачал ее с официального сайта, а не установил с флешки свою модифицированную версию, которая будет сливать данные.

6. Чтобы работник не копировал данные и не отправлял их другу в вк на рабочих компах не должно быть интернета, ваша внутренняя программа должна быть связана по локальной сети с центральным компом, на котором есть интернет. Если работник выполнил всю работу и хочет зайти в вк, или посмотреть ютуб, то пусть делает это с телефона, или со своего ноутбука.

7. Чтобы работник не фоткал на телефон или не переписывал личные данные в ручную, на рабочем месте должно быть видеонаблюдение, на камере должно быть видно экран компьютера, должно быть видно лицо работника и что он например держит в руках, должно быть видно находятся ли сейчас на экране личные данные, но при этом шрифт должен быть достаточно мелким чтобы самих данных на камере видно небыло.


- Спасибо за Ваше предложение.
У нас имеется служба безопасности, которая занимается такими вопросами. Как и написала ранее, слива информации с нашей стороны не было.

- Как небыло, когда есть несколько человек которые купили новую симкарту и указали ее у вас в компании стали получать спам звонки от "службы безопасности сбербанка"? Послушайте, очевидно что ваша внутренняя программа недоработана, и служба безопасности тоже. Передайте пожалуйста мое сообщение главному в службе безопасности или сисадмину, а потом передайте пожалуйста мне что он ответил

- Эмиль, обратная связь предоставлена не будет. У нас была массовая внутренняя рассылка по компании. Также информация была размещена на нашем сайте вот здесь: https://cdek.ru/news/view/2020-05-13-dannye-klientov-sdek-v-....
Как неоднократно написала Вам ранее, проверка с нашей стороны была проведена и утечки информации не было.

- Если программа не может экспортировать данные, то их можно экспортировать в ручную, либо написать программу которая будет их экспортировать

- Эмиль, в теории можно сделать всё, что угодно. Но по факту этого не было.
Ранее всю информацию по данному вопросу я предоставила.

- ок, спасибо