Online812

         Это история – из серии «испытано на себе». Я была в отпуске, в лесу – в таком месте, где Интернета нет, а мобильная связь появляется лишь изредка. И вдруг на телефон свалилась эсэмэска с номера 900 (фирменный номер Сбербанка), в которой – сообщение  о регистрации в приложении «Сбербанк-Онлайн» и  пароль для входа. Первая мысль: СМС фальшивое, это мошенники пытаются меня развести. Не реагировать. Но на всякий случай все-таки звоню в контакт-центр Сбербанка.

А там говорят, что СМС отправляли. Но не мне. Как так? По словам оператора, компьютерная программа, рассылающая пароли при входе в «Сбербанк-Онлайн», устроена таким образом, что шлет сообщения всем клиентам с похожими логинами. То есть если у кого-то начало логина совпадает с моим, то одинаковые эсэмэски с паролями получат все владельцы похожих логинов. По словам оператора, так часто бывает, если клиенты сами себе придумывают логины и пароли, а не пользуются одноразовыми. Когда я призналась, что мой логин совпадает с  фамилией, девушку из Сбербанка осенило:

– А-а-а, так у вас, наверное, родственники есть с такой же фамилией?
– Нет.
– Ну, может, супруг-то? – допытывалась оператор.

В ответ я спросила:

– Зачем Сбербанк разрешает создавать личные пароли, если не может обеспечить их безопасность? Почему система не проверяет их на совпадения, прежде чем зарегистрировать?
К сожалению, ответов на эти вопросы у девушки из Сбербанка не было.

– Ну, так программа написана, – пожала плечами она.

Программу все равно не исправишь, поэтому  оператор посоветовала мне исправить логин. На какой-нибудь другой.

Но я ничего менять не стала (напоминаю – была в лесу). Оказалось – напрасно.

Странные эсэмэски от Сбербанка продолжали поступать. С тем же текстом – как будто кто-то регистрируется в моем личном кабинете на сайте Сбербанка. Пришлось снова звонить в контакт-центр.

На сей раз удалось связаться с оператором ступенькой повыше – с Натальей из экспертного отдела, оказавшейся очень разговорчивой девушкой. Она сразу заподозрила мошенничество. Рассказала много страшных историй о том, как интернет-жулики воруют деньги у клиентов Сбербанка. Мол, бывает, что злоумышленники сначала вводят логин, похожий на логин клиента (или номер карты, или идентификатор). Затем, благодаря замечательной программе Сбербанка, клиент получает СМС с паролем (как я). Мошенники ему перезванивают и под разными предлогами узнают этот пароль. А дальше просто: вводят его, получают через Интернет доступ ко всем счетам клиента и воруют деньги. Или используют сим-карты-двойники, или прослушивают телефоны... Но все это, к счастью, оказались не мои случаи.

Но что именно случилось, Наталья  выяснить не смогла. По ее словам,  в Сбербанке на момент звонка велись «технологические работы», и не все системы оказались доступны. Оператор предложила заблокировать карточку «на всякий случай» и перезвонить «завтра-послезавтра».

Через день снова звоню в Сбербанк. Оператор Дарья не может объяснить, почему приходят странные СМС, но предлагает разблокировать карту.

– А это безопасно? – спрашиваю.
– Никаких гарантий безопасности в такой ситуации Сбербанк предоставить не может, – странно отвечает Дарья.
– А если мошенники все деньги с карты украдут, Сбербанк компенсирует?
– Мы будем разбираться, – уклончиво отвечает она.

На такие условия я не согласилась. Тогда мне предложили написать заявление, после чего Сбербанк начнет, наконец, разбираться, что случилось. Ответ обещали дать в течение 15 дней. Все это время моя банковская карта будет заблокирована. Очень неудобно.

Моя частная ситуация вскрыла много системных проблем, основная из которых – «дыра» в системе безопасности «главного банка» страны. «Город 812» направил по этому поводу запрос в Сбербанк.

Вопросы были такие:

1. Почему пароли при входе в интернет-банк отсылаются посторонним людям со сходными логинами?

2.  Зачем Сбербанк предлагает разблокировать карту, если нет гарантий безопасности?

3. На наш взгляд, это серьезные «дыры» в системе безопасности. Планирует ли Сбербанк их устранять, и когда?

К сожалению, ответов на наши вопросы мы не получили.

Ответ банка оказался смешным и грустным одновременно (полностью он опубликован ниже). Сбербанк обещает наказать оператора за «некорректную консультацию». И при этом официально дает тот же самый совет, что и девушка-оператор, видимо, оказавшаяся крайней в истории.

Сбербанк посоветовал поменять логин.

И ни слова – про «дыру» в системе безопасности.

P.S. А я пошла в отделение Сбербанка и попросила выпустить новую банковскую карту. На всякий случай.

Банк рекомендует заменить

Комментарий пресс-службы Северо-Западного банка Сбербанка РФ:

«Система проинформировала клиента о попытке другого клиента заменить его уникальный идентификатор на полностью идентичный псевдоним, уже существующий в системе. Чтобы избежать подобных уведомлений, банк рекомендует заменить псевдоним на более сложный с сочетанием букв и цифр. Банком проводится служебная проверка на предмет некорректной консультации, оказанной клиенту специалистами службы поддержки. Приносим свои извинения за доставленные неудобства».