Как одна недоработка в IT-системе привела к раскрытию банковской тайны в Сбербанке +84



Разбираем факты раскрытия банковской тайны в Сбербанке в связи с допущенными ошибками проектирования системы информационной безопасности.

Сбербанк на сегодняшний день является одним из самых упоминаемых брендов в связи с новомодной «трансформацией»: цифровой, банковской, всеобщей. Я помню, как лет 10 назад эта компания начала переманивать в свой штат огромное количество высококвалифицированных IT-специалистов. С тех пор многое изменилось, айтишники стали разборчивее в выборе работодателя. Новые сервисы выходят из лабораторий Сбербанка один за одним. И в погоне за «удобством» пользователя очень часто скрываются не просто подводные камни, а айсберги, которые в определенный момент могут юридически потопить любую компанию. Особенно если она хранит ваши деньги.

Сегодня мы разберем 3 примера фатальных IT-ошибок, которые, казалось бы, лежат на поверхности и допустить их было просто невозможно. Но Сбербанк умудрился это сделать, споткнувшись на ровном месте.

Пример 1. Уведомления о банковских операциях на email


У многих из нас есть такой email, который мы используем под различные регистрации и прочий спам. Я в такой ящик захожу обычно раз в 2-3 месяца (сам ящик живет с 1999 года), чищу и закрываю до лучших времен. Но вот однажды я обратил внимание на письма, которые попадали в папку спам от имени Сбербанк. В теме письма значилось многозначительное «Отчет по карте Visa *0612 за период с xx.xx.xx по yy.yy.yy». Понятно, что в последнее время развелось много мошенников (об этом мы поговорим в отдельном материале чуть позже), наживающихся на имени крупного банка. Но меня это письмо заинтересовало.

Отправителем значился Сбербанк России newreport_card@sberbank.ru. Изучив заголовки, я понял, что письмо не является фишинговым – отправитель действительно Сбербанк. Поскольку у меня никогда не было карты *0612, полез смотреть, что же за отчет мне прислал Сбербанк.

Return-path: <newreport_card@sberbank.ru>
Received-SPF: pass (mx268.i.mail.ru: domain of sberbank.ru designates 194.186.207.37 as permitted sender) client-ip=194.186.207.37; envelope-from=newreport_card@sberbank.ru; helo=email1.sberbank.ru;
Received: from email1.sberbank.ru ([194.186.207.37]:59268)
	by mx268.i.mail.ru with esmtp (envelope-from <newreport_card@sberbank.ru>)
	id 1jlnqp-0002hE-LG
	for имя@MAIL.RU; Thu, 18 Jun 2020 09:16:40 +0300
Received: from ceroklis8.smtp.sbrf.ru (10.34.224.1) by
 CAB-VSP-EDG1002.sigma.sbrf.ru (10.44.254.2) with Microsoft SMTP Server id
 15.0.1497.2; Thu, 18 Jun 2020 09:16:39 +0300
Received: from smtp.sberbank.ru (localhost [127.0.0.1])
	by ceroklis8.smtp.sbrf.ru (Postfix) with ESMTP id 40501480
	for <имя@MAIL.RU>; Thu, 18 Jun 2020 09:16:39 +0300 (MSK)
Received: from ceroklis8.smtp.sbrf.ru
    by 127.0.0.1
    for <имя@MAIL.RU>;
    Thu Jun 18 09:16:39 2020

Если сказать, что я был удивлен от увиденного, не сказать ничего. Я о*****л. Сбербанк на полном серьезе прислал мне отчет по чужой банковской карте с указанием имени, отчества и первой буквы фамилии со всеми расходными/приходными операциями, суммами по ним, остатками денежных средств на начало и конец периода, разделение на наличные и безналичные и прочей статистикой.

Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну. Статья 26 Федерального закона от 02.12.1990 N 395-1 (ред. от 27.12.2019) «О банках и банковской деятельности» гласит:

Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

Справки по операциям и счетам юридических лиц и индивидуальных предпринимателей, по операциям, счетам и вкладам физических лиц выдаются на основании судебного решения кредитной организацией должностным лицам органов, уполномоченных осуществлять оперативно-разыскную деятельность, при выполнении ими функций по выявлению, предупреждению и пресечению преступлений по их запросам, направляемым в суд в порядке, предусмотренном статьей 9 Федерального закона от 12 августа 1995 года N 144-ФЗ «Об оперативно-розыскной деятельности», при наличии сведений о признаках подготавливаемых, совершаемых или совершенных преступлений, а также о лицах, их подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела.
(про орфографию «оперативно-рАзыскной» деятельности в тексте Федерального закона я промолчу – желающие могут сами найти полный текст закона и увидеть это).

Последние 2 года мы занимаемся телеком-аудитом для различных компаний и выявляем сильные/слабые стороны внутри бизнеса, смотрим корректность взаимоотношений с контрагентами, находим и устраняем различные нарушения, поэтому у нас довольно сильный штат юристов, разбирающихся в тонкостях IT и телеком отношений. В частности, границ юридической ответственности в сфере информационной безопасности. Первым делом я отправился к ним для разъяснений.

Мы начали разбирать, почему и как это могло произойти, виноват ли банк в этой ситуации. Первым делом мы обратили внимание на имя и отчество владельца счета (Сбербанк сам раскрывает эту информацию в отчете). И обнаружили возможное сходство имени моего электронного ящика с email’ом реального владельца банковского счета. Отличие в одной букве: r и n. Они действительно похожи при ручном написании.

Мы предполагаем 2 варианта, почему все это могло произойти:

  • — собственник счета заполнял какую-то электронную анкету, где сам ошибся при вводе своего имени;
  • — собственник счета заполнял какую-то бумажную анкету, где неразборчиво указал адрес своего email – и сотрудник банк внес данные в систему с ошибкой.

И в этой ситуации мы видим слабые места проектировщиков систем информирования Сбербанка. Когда вопрос касается такой чувствительной сферы как деньги, банк должен быть вдвойне аккуратен. При проектировании большинства систем авторизации/уведомлений разработчик исходит из «ошибки» пользователя. Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email. Это частая практика не только с email, но телефонными номерами. Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).

И если в первом случае, когда пользователь сам ошибся при вводе своего email, винить Сбербанк можно только в недоработке системы, то во втором случае все произошедшее должно быть тщательным образом расследовано. Ведь банк как кредитная организация в этой ситуации несет ответственность не только административную, но и уголовную.

Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной. Кто-то может сказать, что сейчас меня самого привлекут к ответственности (как часто случалось в таких ситуациях с «громкими» расследованиями в банковской сфере). Но спешу всех успокоить: в данной ситуации с моей стороны не было сделано ничего, что привело к раскрытию банковской тайны. Банк сам добровольно присылает мне такие отчеты. Я думаю, здесь скорее к Сбербанку должны быть вопросы со стороны надзорных органов, если такая проблема может носить массовый характер. А об этом, к сожалению, мы вряд ли узнаем.

Главный вывод из этого кейса:


Вы как клиент Сбербанка можете даже и не знать о том, что ваша банковская информация «смотрит» наружу, если вдруг кто-то из сотрудников Сбербанка мог ошибиться при ручном вводе ваших контактных данных.

Если кто-то думает, что после этого материала служба безопасности Сбербанка ринется все проверять, устранять все недостатки, найдут виновного (может даже накажут), то здесь я читателей могу разочаровать. С большой долей вероятности ничего этого не будет. Потому что на личном опыте столкнулся с тем, что Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.

И здесь мы переходим ко второму кейсу.

Пример 2. Чужой номер телефона без вашего ведома


Многие знают, что в Сбербанке почти все построено вокруг экосистемы с номером мобильного телефона. Телекомом я занимаюсь почти 20 лет. И, начиная с 2007 года, когда мы активно начали внедрять VoIP-коммуникации, мы всех клиентов предупреждаем о телефонной безопасности и необходимо иметь защиту при авторизации по номеру телефона. Все эти игры с распознаванием АОНа и плотной интеграцией с CRM и ERP-системами привели к тому, о чем я говорил много лет назад, — вал телефонного мошенничества. В частности, именно на страницах Хабра мне удалось обратить внимание сообщества телеком-специалистов и операторов связи на мошенничество со «сливом» трафика 8-800.

Но сегодня мы поговорим о том, что в октябре 2019 года при просмотре настроек личных данных при очередном обновлении мобильного приложения Сбербанка я обнаружил, что в контактных данных у меня появился дополнительный телефонный номер. Который явно не имеет ко мне никакого отношения – я никогда его не указывал. Недавно в прессе многие обратили на это внимание, но я могу сказать, что вся эта история с добавлением «чужих» номеров тянется с 2019 года. А может и раньше.

Вернемся к аккаунту. По сути, кто-то взял и добавил без моего ведома чужой номер телефона в мои учетные данные. Я уже давно вывел из Сбербанка все сбережения (в том числе из соображений безопасности и такого количества ИТ-фейлов), поэтому особо не переживал за сохранность финансов. Но мне стало важно разобраться в этой ситуации до конца.

Спойлер: Сбербанк не признал ошибку и сообщил, что никаких логов изменений учетных данных клиентов он не хранит.

Итак. Я звоню персональному менеджеру Сбербанк-Премьер с уведомлением о наличии уязвимости в моем аккаунте. Менеджер полностью проигнорировал мое сообщение (это к вопросу о «премиальности» обслуживания) и рекомендовал сделать письменный запрос.

10 ноября 2019 года я составляю обращение в поддержку Сбербанка:

В настройках Сбербанк ID в поле «дополнительный телефон» указан номер +7 *** *** **-**. Скриншот во вложении.
Данный номер мне не принадлежит, я его не использую. Я его в данном поле не указывал.
Поскольку данный вопрос относится к теме безопасности, требую провести проверку, кто при каких обстоятельствах из сотрудников Сбербанка указал номер третьего лица в качестве моих контактных данных.
Данный номер используется для связи в случае невозможности связаться по основному номеру. Это крайне чувствительная информация и напрямую влияет на безопасность финансов, размещенных в Сбербанке.
Без проведения проверки и предоставления исчерпывающей информации по моему запросу я запрещаю вносить какие-либо изменения (включая удаление этого номера) в настройки Сбербанк ID.
Еще раз повторюсь: требую разъяснения кто, когда при каких обстоятельствах внес «чужой» номер в мои контактные данные.


Прошу обратить внимание, что в своем обращении я запрещаю сотрудникам Сбербанк вносить какие-либо изменения в мой аккаунт.

27 ноября 2019 года, то есть спустя 17 (!) дней после обращения по вопросу БЕЗОПАСНОСТИ аккаунта приходит такой ответ. И закрывается обращение.

… ваше обращение № xxxx-yyyy-xxx от 10.11.2019 рассмотрено. В ходе проверки выявлено, что номер телефона +7****** -**-** был зарегистрирован в ваших контактных данных в системе банка в 2012г в Московском банке. В соответствии с порядком, действующим в банке, срок хранения бумажных и электронных документов составляет пять лет, в соответствии с чем запрашиваемую вами информацию и документы предоставить невозможно. Для исключения данного номера телефона из ваших контактных данных вы можете обратиться в отделение банка с документом, удостоверяющим личность. Приносим извинения за неудобства. Сбербанк.


То есть до 2019 года я этот номер ни в каких настройках не видел, а он, оказывается, был там с 2012 года. Потрясающе. И вишенка на торте: несмотря на мой запрет изменения моих данных в Сбербанке без моего ведома Сбербанк УДАЛЯЕТ «спорный» номер из моего аккаунта без какого-либо уведомления и согласования. Хотя для этой операции мне рекомендовано обратиться с паспортом в отделение.

Еще раз повторюсь: сотрудники Сбербанка просто РЕДАКТИРУЮТ Ваши контактные данные, завязанные на безопасность аккаунта (логин для управления всеми вашими финансами), БЕЗ какого-либо УВЕДОМЛЕНИЯ клиента.

В ответ на эти действия я составляю очередной запрос:

Добрый день.
В мобильном приложении у меня был привязан дополнительный номер с окончанием**-**. Я обнаружил, что по неизвестной причине этот номер оттуда неожиданно исчез. Я не просил его удалять, сам я эти действия не производил.
Прошу провести служебную проверку и предоставить разъяснение, кто при каких обстоятельствах и на каком основании внес изменение в мои личные данные без моего согласия! Прошу назвать фамилию, имя, отчество и должность сотрудника, осуществившего несанкционированные действия с моими личными данными для привлечения к ответственности, предусмотренной действующим законодательством.
О результатах проверки уведомить меня ответным сообщением для подготовки материалов в надзорные органы для проведения проверки в отношении Сбербанка России, нарушившего условия банковского обслуживания.


Ответ просто фееричен:

… ваше обращение № xxx-yyy-zzz от 27.11.2019 рассмотрено. Вами ранее было оставлено обращение № xxx-yyy-zzz через Сбербанк онлайн по вопросу отражения номера телефона +7********** в мобильном приложении Сбербанк онлайн. В обращении вами указано, что данный номер вам не принадлежит. Банк провел мероприятия по исключению данного номера из ваших контактных данных. Ответ на обращение № xxx-yyy-zzz направлен на Ваш электронный адрес ****@***.*** или обратитесь в офис банка для получения ответа. Добавить номер телефона Вы можете в мобильном приложении Сбербанк онлайн. Сбербанк.


Вывод этого примера очень простой:


Сбербанк в одностороннем порядке может не только менять условия банковского обслуживания (снижать процентную ставку по вкладу, повышать процентную ставку по кредиту – но никак не наоборот), но и в одностороннем порядке менять вам порядок доступа к вашим деньгам, добавлять/удалять мобильные номера для управления аккаунтом и не хранить никаких логов. Соответственно, не нести за ваши финансы никакой ответственности. Ну или хотя бы не стесняться говорить об этом клиентам.

А к чему все это приводит, мы поговорим в следующем материале, где разберем кейсы с телефонным мошенничеством. Почему это затронуло в особенности Сбербанк, я думаю, из текущего материала стало многим очевидно. В том числе поговорим про мошенничество 2.0 – новую версию, о которой пока в СМИ никто не писал. И там будет много любопытного.

Пример 3. Номер телефона сменил пользователя


Как следствие из первых двух кейсов возникает ситуация, с которой сталкиваются тысячи клиентов Сбербанка. Как было сказало выше, мобильный номер – это центральная часть всей связки Сбербанка и клиента. Формально клиент отвечает за то, какой номер телефона он указал. Но что происходит на практике.

Телефонный номер, как многие знают, не принадлежит ни абоненту, ни оператору связи. Да, это распространенный миф – что если у вас есть номер, есть договор на него, то вы его владелец. Это не так. Номер телефона – это ограниченный ресурс, которым владеет государство. И оно поручает операторам связи обслуживать этот ресурс. Абоненты (пользователи) получают во временное распоряжение набор цифр на период действия договора. Не более того. При этом этот набор цифр в силу ФЗ «О связи» может быть в одностороннем порядке заменен у абонента одним росчерком пера руководителя Федерального агентства связи. Сейчас такие истории случаются все реже, но на моей практике было несколько кампаний по смене нумерации у действующих абонентов, в том числе мобильной. И абонент от этих изменений никак не застрахован. Ему просто изменяют номер с уведомлением. Мобильный номер, который является центральным ядром многих цифровых систем. В том числе внутри мобильного банка.

И недавно возникла такая ситуация. Производили аудит одной компании, которая использует порядка 2000 номеров для своих сотрудников: делали сверку расходов, проводили сокращение затрат и оптимизацию, возвращали деньги за «платные подписки» и прочие навязанные услуги со стороны мобильных операторов. И в какой-то момент обнаружили, что на части номеров «привязаны» мобильные банки физических лиц. То есть сотрудники пользовались этими номерами ранее, потом уволились. И сейчас пользуются другие сотрудники. Мы созвонились с бывшими сотрудниками. Оказалось, что они после увольнения якобы меняли номер телефона для входа в Сбербанк-онлайн. И были удивлены, что доступ к их финансам возможен через «старые номера». Оказалось, когда они проходили процедуру «изменения» номера, новый номер не заменялся старым, а всего лишь добавлялся. Старый по-прежнему был активен в Сбербанк-онлайне.

Сейчас Сбербанк изменил процедуру, но для старых пользователей это все осталось по-прежнему. И есть как минимум несколько десятков тысяч граждан (а может и больше), которые и знать не знают, что информация об их финансах доступна третьим лицам. Привязав один раз номер телефона, банк ожидает, что это навсегда. Увы, практика показывает, что это не так.

Можно, конечно, утверждать, что это проблема самих людей. Но вы посмотрите, как люди относятся сейчас к цифровым продуктам, особенно старшее поколение: для них это все становится непонятным и неочевидным. Если раньше были системные администраторы и помогали с настройкой компьютера, то сейчас может быть перерождение этой профессии – настройщик программ для смартфонов. Это все шутки, но проблема действительно важная, ведь она затрагивает огромное количество пользователей. Не пользоваться этими продуктами уже невозможно. Но должного описания и донесения информации, как пользоваться, – тоже нет.

Я считаю, что здесь скорее должны быть введены в действие какие-то регламенты, определяющие порядок использования мобильных номеров в банковских продуктах. Нет, я не сторонник всеобщей регуляции. Но есть моменты, которые нужно очень внимательно изучать. И здесь должна быть совместная работа и банков, и операторов связи, и надзорных органов. Но решение должно быть удобным, функциональным и понятным для всех участников. Иначе мы и дальше будем наблюдать издержки «удобства» банковских продуктов в росте количества мошеннических схем и компьютерных преступлений.

UPD (16 июля 13:20):
Сбербанк решил пойти еще дальше. И буквально вчера прислал мне «поздравление» с днем рождения. То есть мало ему оказалось нарушения банковской тайны — Сбербанк решил нарушить еще и Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. Как далеко зайдет Сбербанк?




Комментарии (229):

  1. yvm
    /#21843848 / -8

    «Хакер в столовой»

    • yard
      /#21843912 / +16

      Тут и хакерства и не нужно. Сбербанк сам все приносит на блюдечке.

      • dim2r
        /#21846616 / +4

        Особенно радует как узнать имя и отчество по номеру телефона. Просто начинаете переводить один рубль по номеру телефона и он показывает. Потом можно позвонить незнакомому человеку и сказать «здравствуйте Иван Иванович, я из службы безопасности СБ...»

        • funny_falcon
          /#21846828 / +1

          А, так вот как он имя узнал. Теперь понятно. А то я сильно напрягался, откуда разводила мое имя узнал.

          • dim2r
            /#21847540 / +5

            А потом СБ еще впаривет платную услугу «защита от мошенников». Это за одно является тестом. Если впарили, значит клиент подвержен разводу.

        • newartix
          /#21847504

          А это уязвимость системы быстрых платежей, а не только Сбера. Отчасти из-за этого они долго к ней не подключались, вроде как, пока совсем не прижали их.

          • YMA
            /#21847534 / +4

            ИО светилось в Сбербанк Онлайн задолго до появления системы быстрых платежей. В статье еще не упомянули про ситуацию, когда мобильное приложение Сбера сливало на сервера Сбера всю книгу контактов из телефона, на который оно ставилось. После волны воплей это убрали, но я не могу утверждать, что сейчас данные с вашего телефона не сливаются.

            PS: Отсутствием верификации почты и телефона при их привязке к договору страдают многие организации. У меня почта на mail.ru короткая, и я регулярно получаю чужие данные.

            • yard
              /#21847804

              На сколько я помню, Андроид-приложение не будет запускаться, если не дать доступ к книге контактов. По крайней мере, когда настраивал родственникам доступ на этой платформе так и было. Сейчас, интересно, так же?

              • YMA
                /#21848548

                На андроид я не ставил приложение Сбербанка, а на iOS сидит без прав — Контакты, Геопозиция, Уведомления выключены, и не выпендривается.

              • xenon
                /#21848576

                Это еще и косяк андроида — надо как-то «дурить» такие приложения. Требует, например, геолокацию — окей, давать фейковую локацию, итд.

                • sumanai
                  /#21848582

                  С рутом всё возможно.

                  • gecube
                    /#21848748

                    Сбербанк онлайн на рутованных устройствах не работает, но это не точно

                    • sumanai
                      /#21849028

                      С рутом всё возможно, в том числе и скрыть рут.

                    • Darkhon
                      /#21850162

                      Точнее, работает с ограниченным функционалом.

                    • /#21857128 / +1

                      у меня работал с рутом, ругался что «не хочу, не могу, не буду», но работал как родной, до тех пор пока я не снес всю эту шелуху с телефона. При острой нужде всегда можно зайти в кабинет через сайт, а мусора в телефоне и без них полно

                    • odiemius
                      /#21864622 / +1

                      У меня сбер для физлиц и сбер для юриков работают на андроиде LineageOS, вместе с рутом и магиском, и сбер специально вынесен в шелтер, чтоб его, вместе с его кашпировским, можно было замораживать и он сам не пытался бы ничего никуда сам слать, и контактов никаих никогда не увидел, и по ФС не смог ничего моего личного нашарить. И никто никогда ни на что не ругался.
                      И полёт более чем нормальный!
                      Вы просто не умеете готовить

            • hard_sign
              /#21848032

              Доступ к контактам можно отключить. А доступ к звонкам – нет.
              Именно поэтому никакого «Сбербанк-онлайн» – только через браузер.

              • yard
                /#21848178

                На iOS такого нет. Мда, еще интереснее становится. Да, в таком случае только браузер.

              • sumanai
                /#21848444 / +1

                Именно поэтому никакого «Сбербанк-онлайн» – только через браузер.

                Сейчас увы все выжимают на приложения. Мегафон вон сначала убрал отображение баланса по *100#, а сейчас и вовсе присылает ссылку на своё приложение. Ненависть.

                • yard
                  /#21848470 / +1

                  Тренды, что поделать. На корп тарифах МегаФона пока баланс работает. Видимо, избирательно отключают функционал.

                  • sumanai
                    /#21848506

                    При обращении в ТП они пообещали выключить эту фигню для моей мамы, ибо у неё вообще кнопочный Explay A240.
                    Вот не знаю правда, как они вообще определяют, кнопочный телефон или нет, и как подделать это на своём, чтобы и у меня такой фигни не было. Правда у мамы ещё не проверял.

                    • berez
                      /#21848544

                      Мне сказали, что можно послать волшебную бесплатную СМСку «Баланс» на номер 0500. Послал — вроде работает. Но это, конечно, всяко запарнее, чем *100#.

                      • sumanai
                        /#21848578

                        Да, так же отписали. И да, действительно геморрой. Поэтому и пишу что выжимают, делая всё больше и больше препонов таким вот «нерадивым» пользователям, которые и приложения не хотят ставить, и тратят на связь на поминутном тарифе 100 рублей в месяц вместо покупки выгодного пакета за 350 минимум.

                    • sumanai
                      /#21857162

                      Правда у мамы ещё не проверял.

                      Фиг там, ничего не сделали. Пойти написать что ли с её аккаунта, а то я со своего вскользь упомянул, может, поэтому не сделали.

                      • bopia09
                        /#21864506 / +1

                        Команда *139*3# показывает баланс и не выводит после этого рекламу.

                        • sumanai
                          /#21864630

                          Ага. Осталось запомнить и надеяться, что они не введут подписку по этой комбинации через пару месяцев ))

                    • Mikitos
                      /#21864508 / +1

                      >>Вот не знаю правда, как они вообще определяют, кнопочный телефон или нет
                      По IMEI определяют. Первые цифры это производитель и модель телефона.

                      • sumanai
                        /#21864626

                        Спасибо. Хотя маминому Explay A240 это не помогло. Окей, попробую мимикрировать под какой-нибудь кнопочный, если получится IMEI сменить.

  2. /#21843914 / -1

    Сбербанк огромная машина, с огромными возможностями, но российская, а это значит, что всегда «права» и ошибок не допускает. Помимо основной их деятельности, компания сильно расширяется, (беру, окко, свою црмку сделали), так что может все поменяется. Хотя если была бы конкуренция, давно бы поменялось.

    • yard
      /#21843930 / +5

      Конкуренции в банковской сфере в России предостаточно. А вот квалифицированного подхода к решению задач не всегда хватает. Все привыкли, что им все равно на свои личные данные. Банковские, похоже, к этой же истории относятся теперь.

      • GooG2e
        /#21844360 / +4

        Ну как сказать — конкуренция слабенькая.
        Все бюджетники и пенсионеры автоматом уходят, либо сберу, либо втб. На этот счёт ничего не проводится.
        В потребительском секторе вот там да, есть конкуренция. И то в силу имени сбербанк завлекает большую часть людей за 50. Но в целом будет вытесняться.

        А надеяться на грамотную обработку в сбере глупо — Греф ни раз говорил, что для него мы все так мелочи. Тут разве что ходить в прокуратуру и писать жалобы.

        • yard
          /#21844426 / +4

          В любом случае ситуацию я дальше буду доводить до мер реагирования надзора. В материале я пока озвучил официальную позицию банка по этим вопросам.

          Все пользователи Сбербанка по сути находятся в зоне риска с такими механизмами уведомлений.

          • GooG2e
            /#21844438

            В плане отношения к безопасности — я с вами полностью согласен.

            И то что собираетесь доводить до соответствующих служб тоже очень верно. Хотя думаю тут надо с юристами посоветоваться куда лучше писать. Тут может реально лучше сразу в прокуратуру писать заявление.

      • Kordamon
        /#21844924 / +1

        Если что, Сбербанк по размеру активов больше чем три следующие за ним банка (ВТБ, Газпром, ВЭБ) вместе взятые: www.acexpert.ru/table/tablici-banki/banks2020/reyting-bankov-2019/?table=30239
        А по размеру кредитного портфеля для физлиц — больше чем следующие 13 (!) банков вместе взятые: www.acexpert.ru/table/tablici-banki/banks2020/reyting-bankov-2019/?table=30241
        Нет у Сбербанка никакой конкуренции.

        • yard
          /#21844940 / +3

          Вы не путайте понятие конкуренции и занимаемой доли рынка (или активов, если удобно так считать). Это вообще разные экономические понятия.

          • Kordamon
            /#21844966 / +3

            А я не путаю, я считаю, что в вопросе о конкуренции размер активов у конкурентов Сбербанка гораздо важнее самого количества конкурентов.
            Вы упомянули о том, что у Сбера есть конкуренция в ответ на фразу Gary22: «Хотя если была бы конкуренция, давно бы поменялось.»
            Если их, как сейчас, 300+, но при этом 70% населения использует Сбербанк как основной, то конкуренция как бы «есть», но ничего не решает. В частности, Сбербанк может косячить как угодно, все равно все клиенты у него останутся — нет мотивации развития. Греф все это делает не из коммерческих соображений.

            • yard
              /#21847792

              Конкуренция — это фундаментальное состояние. А преференции — это уже другое. В данном случае формально банковский рынок является конкурентным.

              • Kordamon
                /#21847800

                В данном случае формальная конкурентность рынка не имеет практического смысла и только вводит в заблуждение.

                • yard
                  /#21847816

                  Кому как. Если провести аналогию с рынком телекома, то там примерно такая же ситуация. Однако это не мешало в 2000-х драйвить этот рынок многим небольшим компаниям, которые смогли вырасти и занять ниши, несмотря на монополии Б4 и Ростелекома. В итоге мы сейчас имеет одну из самых развитых телеком отраслей в мире.
                  Аналогично и в банковской сфере.

                  • Kordamon
                    /#21847828

                    Хех, все верно. И, как и в телекомах, эпоха драйвинга рынка мелкими компаниями и банками заканчивается; они перестают влиять на рынок.
                    Ну вот что сейчас должен сделать банк размера Тинькова или даже Ренессанса, чтобы откусить хоть сколько-то существенную долю клиентов у Сбербанка?

                    • yard
                      /#21849484

                      Скажу банальность, но должна измениться экономическая и политическая ситуация. Когда люди перестанут бояться, что банк может просто лопнуть. К крупным банкам сейчас больше доверия. Это, пожалуй, главное стратегическое преимущество крупных банков. Нужна устойчивость финансовой системы в целом.
                      Так же как и с мобильными операторами. Но при этом рынок ВАТС, например, явно не их — здесь другие игроки рулят. Так что все зависит от ниши внутри рынка.

                  • CherryPah
                    /#21847938 / +2

                    В то что в нулевых все чердаки были затянуты паутиной витухи от пионернетов сомнений у меня нет — сам был непосредственным участником
                    А вот пример компании которая смогла бы вырасти и занять хоть сколько-то ощутимую долю рынка на ум не приходит
                    Нет, разумеется какие-то выжившие конторы смогли развиться и вполне обеспечивают своим владельцам слой икры на бутерброде, но в масштабах рынка — там так и остались монополии РТ, ТТК и большой тройки
                    Единственный кто выбивается из этого списка — ЭР-телеком, но и то лишь формально поскольку был построен на нефтяные деньги, а не вырос из небольшой компании

                    Распределение рынка ШПД
                    image

                    • yard
                      /#21848212

                      Во-первых, рынок не всегда смотрится в масштабах страны. Локальные игроки (до бума M&A) были очень весомые.
                      Во-вторых, это совокупные показали. Если смотреть телеком в разрезе типовых услуг (доступ к интернет, мобильная связь, виртуальные атс, облачные сервисы и пр.), то распределением будет иным. И там есть вполне независимые серьезные игроки.
                      В-третьих, ЭР-Телеком никуда не выбивается. Это компания с огромными преференциями на региональных рынка (поделено с Ростелекомом).

          • /#21847782

            Как раз конкуренция это и есть занимаемая доля рынка, когда конкуренции есть — есть монополист коим Сбербанк с 70% акций и является

            • yard
              /#21849502

              Монополия — это один игрок. Сбербанк не один. Поэтому здесь явно нет монополии.

              • gecube
                /#21850218

                Если говорить теоретически да. Но пускай у нас будет олигополия. Понятно что это такое? Или давайте говорить о фактической монополии с созданием видимости конкуренции (за картельный сговор тоже ведь не просто так карают)...

      • /#21848804 / +1

        Вы серьезно? Любая банковская деятельность это 50 процентов сбер. Это если по 19 году. Нет конкуренции, вот и все равно на качество, безопасность и тд.

        • yard
          /#21849516 / +1

          Вы в истории можете найти множество примеров, когда крупный игрок за пару лет не просто терял долю рынка, но и вообще уходил с бизнес-арены.

          Для Сбербанка пока рыночная ситуация выглядит устойчивой. Потому что концентрация капитала в его руках колоссальная. Если вдруг Правительство решит отдать полностью задачи Сбербанка другим банкам, например, ВТБ или ВЭБ, то это повлияет на устойчивость Сбербанка.

  3. ideological
    /#21843938 / +8

    В случае со Сбербанком, термины вроде «IT-система» следует брать в кавычки.

    • yard
      /#21843944

      Они сейчас это называют «экосистемой». Но суть от этого не меняется.

  4. fedorro
    /#21844024 / +2

    Ещё похожий кейс: пользователь при подключении мобильного банка указал неверный номер (или сотрудник неверно занес). Позиция банка — это моя проблема что у меня похожий номер, а им нет дела до нежелательных СМС и банковской тайны, и отписать они меня не могут т.к. карта не моя, + доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты ?(°_o)/?
    В итоге посетил несколько отделений и наткнулся на адекватного специалиста, который подсказал как порешать.

    • alex-khv
      /#21844226 / +3

      И рассказ обрывается на самом интересном месте

      • fedorro
        /#21844252

        А там ничего интересного: решилось одним звонком, надо знать куда звонить и что говорить — всё «просто». Подробностей не помню, было лет 5 назад. Может с тех пор догадались СМС с кодом подтверждения отправлять прежде чем подключать мобильный банк?

        • yard
          /#21844362 / +1

          Нет, все так же. Никаких кодов подтверждения — об этом, собственно, материал. Надо делать подтверждение действий — а Сбербанк этого не делает.

    • KivApple
      /#21846166

      доп. проблемы если я нечаянно отправлю СМС о блокировке этой самой карты ?(°_o)/?


      Какие доп. проблемы?

      • fedorro
        /#21846458

        Типа правовые за то что я чужую карту заблокирую. Мои доводы по образовавшемуся логическому противоречию никак не изменили ситуацию. Но я думаю это было просто личное мнение некомпетентного сотрудника — я это понял и зашел в другое отделение.

        • DMGarikk
          /#21846482

          Типа правовые за то что я чужую карту заблокирую

          Вы имеете полное право чужую заблокировать карту по номеру, просто потому что по правилам МПС вы это можете сделать, если вы нашли потерянную карту на улице и прочитали что на ней написано, а на ней написано что она собственность банка… позвоните по номеру 8 800..., позвонили туда, продиктовали номер и карту заблокируют как утерянную
          фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках

          • fedorro
            /#21846498 / +1

            Я так примерно и думал, последние 4 цифры карты в каждой СМС приходили — вроде их достаточно для блокировки. Но на эту карту пенсия приходила — не хотелось проблем пожилому человеку создавать.

          • gecube
            /#21846502

            фокус в том что для этого вам достаточно знать лишь номер карты и даже не иметь её в руках

            т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать? Ну, это прям сильно. Реально. Пора вешаться? Или предлагать мне счет по номеру телефона?

            • DMGarikk
              /#21846542 / +2

              т.е. любой человек, которому я раскрыл реквизиты карты (для, скажем, возврата долга за обед — если речь про коллег), может мне ее заблокировать?

              да, именно так. Это фишка МПС для блокировки утерянных карт.
              Пора вешаться?

              это уже по желанию
              Или предлагать мне счет по номеру телефона?

              не портить отношение с коллегами которые могут так сделать
              у нас так пара человек-шутников с работы вылетело, решили поприкалываться над коллегами и заблокировали им карты когда они ушли обедать, и разблокировали когда они вернулись типа «хз чето глюкануло» (в то время было без проблем было заблокировать-разблокировать без особых последствий и какихто заявок....pci-dss тогда не было еще… веселые времена)

            • achekalin
              /#21846712

              Мне в сбере по телефону как-то сказали: мол, вы свою карту на сайте чужом вводили, они не просто с вас сумму списали, но и решили делать это регулярно (оформили подписку мне) — так вот мы как банк никак это не отслеживаем, мошенничеством это не считаем, отписаться от таких подписок можно, разве что, сменив карту.


              Ну да, «бану всегда за клиента», вы поняли. Позиция уровня «моя хата с краю», и полное отсутствие четкого управления ситуацией для клиента.


              Впрочем, это не только к сберу вопросы: вопрос, что какой-то сайт, не спросив меня, с раз введенной карты деньги может/будет снимать не один раз, а повторно, никак банками не считается некорректным. «Вы сами ввели номер карты», а что не было выбора «один раз или повторно» — какому банку это важно?

              • gecube
                /#21846770

                Вообще-то (по крайней мере для меня) это форд и мошенничество. А если этот сайт третьим лицам передаст реквизиты, то тоже можно, что ли, списывать деньги?

          • Firsto
            /#21847466

            Наверное такая практика есть в нормальных банках, в Сбербанке же на сообщение о найденной карте отвечали выбросить её в мусорку или разрезать. Несколько разных операторов. Никаких данных даже спрашивать не стали.

        • YMA
          /#21847566 / +1

          Никаких проблем не будет. Я лично при получении чужих данных отправляю в службу поддержки источника данных сообщение, что «уберите мой адрес/телефон из профиля, если же сообщения в мой адрес будут направляться и дальше — я буду считать их направленными лично мне и оставляю за собой право использовать получаемые данные по своему усмотрению, включая публикацию в СМИ.». И после этого обычно рассылка прекращается…

          Несколько раз блокировал чужие карты, привязываемые к моему телефону. Тоже мера действенная, хотя один раз попался настойчивый, но неразумный товарищ, который 3 раза разблокировал карту ;) И не лень ему было в отделение бегать.

  5. slepmog
    /#21844082 / +3

    Одним словом, Сбербанк прислал мне информацию, составляющую банковскую тайну.
    Отличие может составлять в одной букве: r и n.
    Сбербанк просто-напросто не ведет логов операций изменений состояния ваших данных.

    Логов не ведёт, зато состояние сохраняет будь здоров.


    У меня ситуация была обратная — Сбербанк слал мои данные неизвестно кому, потому что сотрудник при вбивании анкеты перепутал две рукописные английские буквы (да, похожи).


    Через небольшое время я заметил неправильный адрес в профиле сбербанк-онлайна и исправил его.


    А ещё через какое-то время адрес сам исправился обратно на оригинально вбитый с ошибкой.
    И это я заметил уже совсем не скоро.


    Исправил снова, пока держится. Официальное обращение "какого фига это произошло" не принесло никакого результата. "Адрес был актуализирован ранее".

    • yard
      /#21844372 / +2

      Вот и мне до сих пор присылают из-за ошибки. По поводу изменений — это и есть в том числе источник слива данных. За ними никто не следит. Доступ к ним, похоже, имеют вполне «левые» люди.

    • odiemius
      /#21845804

      Ответ на вопрос «Какого фига и что именно у вас случилось/сломалось» вообще практически всегда остаётся без ответа :( не только в случае сбера.

  6. EgorZanuda
    /#21844122 / +1

    Вы ведь не купили у них услугу «Страхование банковских карт», значит за все дыры банка ответственность несет сам клиент. Меня пару месяцев назад мошенники пытались развести, звонок в банк ответил робот, написал в поддержку снова дебил робот ответил. Сбербанк все больше и больше к своим клиентам относится стремно. Проценты на транзакции уже начисляют даже за плату товаров, не хилый такой оброк поверх НДС и НДФЛа.

    • saipr
      /#21844186 / +1

      Сбербанк все больше и больше к своим клиентам относится стремно.

      Именно поэтому я 10 лет назад ушел из Сбербанка.
      Но пенсию получаю в нем, но не на карточку, а на сберкнижку.

    • yard
      /#21844432 / +1

      Сбербанк же курирует направления развития Искусственного интеллекта. Вот результат их работы.

    • Sap_ru
      /#21844476 / +3

      Почитайте условия того "страхования". Оно ничего реально не страхует.

    • /#21844498

      Вы знаете сколько на свете людей, которые «Случайно куда-то нажали и всё исчезло»? Если таким людям каждый раз будет отвечать человек, ты вы в очереди будете сидеть по 30 минут. Не надо обижаться на автоответчик. Попробуйте набрать 0. Не знаю как в Сбере, но бывает. что 0 соединяет с оператором.

      • yard
        /#21844508

        Уже не соединяет через 0. Все на голосовом помощнике

        • JerleShannara
          /#21844914

          Иммитирую разваливание голосового кодека («булькаю» в микрофон) — на второе бульканье соединяет с оператором.

          • yard
            /#21844954 / +2

            Я прошу обычно взять какой-нибудь интеграл или возвести что-то в степень на вопросе: «Если я не отвечу на ваш вопрос, то соединю с оператором». Мне кажется, этот голосовой бот — самая бесполезная штука в Сбере (зато ЦРТ купили).

            • JerleShannara
              /#21844972

              Оно после этого часто просит назвать вопрос, по которому с оператором надо соединить.

              • Maximuzz
                /#21848234

                а потом говорит, что он вместо оператора теперь

            • odiemius
              /#21845836 / +1

              полезность понятие оч относительное :)
              Вот Вам — бесполезная, а сберу — очень даже наоборот!
              Просто у вас и сбера цели разные.

              • yard
                /#21846092 / +1

                Вообще сервисные компании отталкиваются от интересов и потребностей клиентов. Но им виднее, конечно.

                • xenon
                  /#21848640

                  Не совсем. У них интересы частично совпадают (и за счет этого они сотрудничают), а частично противоположны. Клиенту всегда выгодно получить максимально высокий (и дорогой) сервис. Поставщику сотрудничество выгодно, пока расходы на сервис заметно ниже доходов. Симпатия клиента, которая стоит дороже, чем клиент приносит — никому не нужна.

        • beduin747
          /#21846788

          Спросите у автоответчика период полураспада Грефа. сразу переключит.

    • gecube
      /#21844604

      Вы ведь не купили у них услугу «Страхование банковских карт», значит за все дыры банка ответственность несет сам клиент.

      это неверно. Скажем так — понятно, почему банк навязывает эту услугу, почему возврат денег без нее будет существенно сложнее. Все-таки банк хочет деньги зарабатывать. Но вообще должны быть понятные правила регуляции на этот счет ) и потребитель не должен страдать.

  7. Gasaraki
    /#21844364 / +2

    Заявление в прокуратуру и ЦБ РФ где? Практически ни одна организация не будет ничего делать, пока на нее не пойдут штрафы. Точнее руководство может и не узнать, что у них есть проблема, нижнее звено просто забьет на передачу данных наверх.

    • yard
      /#21844400 / +5

      Я не являюсь лицом, чьи интересы здесь были нарушены. Я написал письмо владельцу карты с предложением помочь в написании такого письма. Но он не отреагировал. Я не могу за него написать.

      По поводу номера телефона материалы в ЦБ уже подготовлены.

      • Gasaraki
        /#21844474 / +1

        Вы не совсем правы.

        Вы можете писать в любые органы. Важен не факт нарушения чьего либо интереса, а сам факт нарушения.

        • yard
          /#21844512 / +2

          Не всегда это верно. Есть процессуальные моменты. Не к каждому типу правонарушения это применимо.

          Мне будет сейчас достаточно, если банк хотя бы оперативно отреагирует на проблему и устранит это.

        • OvkHabr
          /#21845770 / +1

          Прошлой осенью я нашёл свои (и ещё несколько сотен) паспортных данных в интернете. Один банк позволял поисковикам индексировать конфиденциальные документы.
          На мою жалобу в Роскомнадзор я получил ответ «лично вы не пострадали, а остальные пусть сами пишут».

          Не всегда люди с горячим сердцем стремятся карать нарушения.

          • yard
            /#21846096 / +2

            Аналогичная была история — писал такую же жалобу. Такой же «ответ» получил.

  8. yotec
    /#21844404

    (про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу – желающие могут сами найти полный текст закона и увидеть это).


    оперативно-рАзыскная деятельнось — корректное написание. В приставках роз/раз без ударения пишем «а».

    • yard
      /#21844406 / +4

      Можно было бы согласиться, если бы не Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 02.08.2019) «Об оперативно-розыскной деятельности»

      • gecube
        /#21844532 / -2

        К сожалению, законы не всегда проходят верификацию и вычитку сотрудниками института русского языка ((( соответственно, действительно могут быть вариации в написании, но в чем я поддержку коллег — если термин определен как "абракадабра" (вне зависимости от корректности с т.з. грамматики/орфографии или смысла слова), то он должен и везде так писаться.


        Касательно "оперативно-розыскной" сам был удивлен, что нормативное написание "оперативно-разыскной" (проверочное слово розыск? А ВОТ ФИГ ТАМ!) Руськая езыг такая сложный )))))

        • Metotron0
          /#21844904 / +1

          разыскивать :)

          • yard
            /#21844962 / +1

            Но при этом «розыск», а не «разыск».

            • MomoDev
              /#21846850

              del
              что-то в комментах уже написали про это

            • /#21847778

              Ударением проверяется гласная в корне слова, а раз-/роз- является приставкой. Корень тут -иск-. Как в глаголе «искать».

              • yard
                /#21847824

                Вопрос этимологии слова. Смотря как его рассматривать.

      • berez
        /#21846152 / +2

        Можно было бы согласиться, если бы не Федеральный закон от 12.08.1995 N 144-ФЗ (ред. от 02.08.2019) «Об оперативно-розыскной деятельности»

        Тут на днях (году этак в 2004-м) были опубликованы новые нормы русского языка. В частности, была подкорректирована орфография. По новой норме написание «разыскной» — верное, членение слова на составляющие — приставка «раз», корень — «ыск».
        До того (и в 1996 году тоже) действовали другие правила: правильным считалось написание «розыскной», корень — «розыск».

        Можно спорить, нравится вам новая норма или нет. Но тем не менее написание в документе верное.

        • gecube
          /#21846508 / -2

          Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы. Ну, и как нормы приняли, так их и откатили. Ну, как с временными зонами (реформа Медведева). Или как с "обнулением".


          «кофе — теперь оно» — не единственное изменение в норме русского языка.

          в гробу я это видел. Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения. Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать ) глядишь иностранцы потянутся в РФ /сарказм/

          • berez
            /#21846570 / +1

            Если мы принимаем за аксиому, что нормы языка фиксируют реальное положение дел и развитие языка в народе, то, да, Вы правы. Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.

            При чем здесь я-то, собственно? Языковая норма фиксирует сложившееся положение вещей и служит унифицирующим и стабилизирующим фактором.
            А после принятия нормы она становится, цитирую википедию: «обязательна для употребления в научных, справочных и учебных изданиях, а также в периодической печати».

            Вместо того, чтобы заниматься полезным делом, фиксируем не лучшие изменения.

            О, вы знаете, какие изменения в языке хорошие, а какие плохие? Я вот не знаю.

            Могу предложить вообще упростить язык, выкинуть все спорные моменты, чтобы голову не ломать )

            Радость, радость! Ваш голос уже услышан. Именно в этом направлении и двигают сейчас языковую норму.
            В частности, обсуждаемый нами «разыскной» раньше был словом-исключением: везде без ударения писалась приставка «раз», а здесь — «роз». Да еще и считалась не приставкой, а частью корня. Сейчас же академики услышали глас народа и упростили норму, убрав ненужные исключения.
            Правда, здорово? :)

            • gecube
              /#21846594

              При чем здесь я-то, собственно?

              к Вам лично никаких претензий


              Правда, здорово? :)

              увы, но нет

          • Temtaime
            /#21846902

            А зачем ломать голову? Зачем усложнять людям жизнь? Или вам нравится чувствовать себя выше других, потому что вы орфографию лучше знаете?
            Если в языке станет меньше WAT'ов — жить станет лучше всем.

            • gecube
              /#21846910

              Если в языке станет меньше WAT'ов — жить станет лучше всем.

              WAT'ов не станет меньше, а только больше. Т.к. чтобы уменьшить количество WAT'ов, надо уменьшить объем до лексики Эллочки-людоедочки.
              Кстати, меня в кои-то веки просто убила "логичность" правила расстановки кавычек при прямой речи в русском языке. Вот этот раздел — "Слова автора внутри прямой речи"
              http://lingvotech.com/znaki_prepinaniya_pri_pryamoy_rechi


              Ну, а что — давайте еще пунктуацию упростим до абсолютного минимализма, фигли WAT'ы плодить. Но я к этому не призываю — проще уж выучиться ))))

              • McDuk
                /#21847358 / +1

                чтобы уменьшить количество WAT'ов, надо уменьшить объем до лексики Эллочки-людоедочки


                Не обязательно. Можно еще количество слов оставить, а правила сделать без исключений.

          • AC130
            /#21847810 / +1

            Если же мы кристаллизуем нормы и пытаемся людей им учить, то Вы неправы.

            Предлагаю пойти дальше. Вешаем каждому человеку миелофон. Изучаем как люди думают, кристаллизуем нормы мышления и начинаем учить людей думать правильно.

            Если вам кажется что это бред — ну не больше, чем учить носителей языка языку.

    • FibYar
      /#21845396 / -1

      Вот только здесь не приставка, а корень.

      • yotec
        /#21845480 / +2

        Розыск: роз — приставка, ыск — корень (от искать).

      • gecube
        /#21845484 / +1

        Вопрос дискуссионный:
        розыск, поиск, искать — однокоренные?
        Заискивать? Сыск? О, и далее — сыщик, ищейка? С чёртовым чередованием.
        Или корень сросшийся с приставкой ?

        • berez
          /#21846162 / +1

          Поздно дискутировать, новые нормы уже приняты и рекомендованы к использованию. Да-да, то самое пресловутое «кофе — теперь оно» — не единственное изменение в норме русского языка.

          • pwrlnd
            /#21846874

            А причём здесь новые нормы? 20 лет назад в школе нас также учили «разыскать» и производные от него.

            • berez
              /#21848420 / +2

              20 лет назад «разыскать» и производные писалось через а, но «розыскной» было исключением и писалось через о. Новые нормы упразднили это исключение, и теперь «разыскной» подчиняется тем же правилам, что и другие производные от «разыскать».

              ЗЫ: Забавно, кстати: проверка орфографии в фаерфоксе о новых нормах не в курсе. «Разыскной» подчеркивает красненьким, «розыскной» пропускает.

  9. gecube
    /#21844526 / +1

    Так и Сбербанк, на мой взгляд, обязан был предусмотреть необходимость верификации введенного email (даже если клиент сам его указал) путем направления email-уведомления с предложением подтвердить указанный email

    Извините, но Вы точно в этом уверены? А если злоумышленник подтвердит e-mail? e-mail должен подтверждаться с двух мест: с e-mail (что он вообще существует и валиден, без привязки к владельцу) и с sms (в смске точно указано, что "клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты").


    Причем делать это нужно в привязке к аккаунту (чтобы никто другой не смог случайно провести эту активацию).

    с трудом представляю, как это должно выглядеть. В теории у меня интернет банка может и не быть, а я хочу уведомления на имейл… Телефона должно быть достаточно для подтверждения (мы все помним про перехват SS7, но это вообще отдельная история)

    • yard
      /#21844572 / -1

      Я же указал, что подтверждение валидно только в привязке к личному аккаунта для исключения подтверждения злоумышленником. То есть двухэтапно. Можно к смс или звонку еще привязать. Неважно. Главное — что это должно быть. А не просто внесение данных (в том числе с ошибкой).

      • gecube
        /#21844720

        То есть двухэтапно.

        ок, принято, спасибо, что развили свою мысль


        А не просто внесение данных (в том числе с ошибкой).

        полностью согласен. Хорошо. Тогда вопрос. Требуется изменение данных в банке. Например, ошибочных. Чего делаем? Как строим алгоритм? Звонка в техподдержку с идентификацией себя по кодовому слову/паспорту/anything else не будет достаточно? Потому что в этой парадигме надо отбирать у техподдержки и операторов (включая сотрудников клиентской зоны) все возможные права. Ну, разве что оставить возможность блокировки карты… Хотя даже ею можно кому-то навредить...

        • yard
          /#21844986

          В офисе: девушка вносит данные. Распечатывает форму из программы с изменениями. Вы подписываете. Одновременно с этим Вам поступает email с ссылкой для подтверждения (девочка при вас нажимает кнопку для формирования проверочной ссылки). Вы переходите по ней. На третьем шаге можете ввести код из смс/звонка/пуша (какой тип авторизации и информирования выбран).

          Удаленно: в ЛК изменяете данные. Далее по алгоритму после формирования ссылки.

          • gecube
            /#21845178

            В офисе — согласен, нравится.


            Удаленно — не нравится, нет ЛК, нет интернета. Давайте более конвенциональный способ (ну, хз, через автоматизированную систему по телефону — как у ситибанка, например)

            • yard
              /#21845492

              Если у вас нет интернета, то и email вам ни к чему) как появится — тогда и приходите для верификации. Без интернета как вы email активируете?

              • gecube
                /#21845592

                Рассмотрите вариант — я нахожусь в деревне, где 3g еле-еле душа в теле. Хотя и почта рабочая у меня есть, и я ею активно пользуюсь в городе. Но взломать-то мой счет могут в любой момент (?), а смс уведомления пролезают. Ну, или что-то подобное — у старшего поколения тоже есть e-mail, но при этом с собой они носят телефоны уровня нокии ) без интернета и почтового клиента. И только не апеллируйте к тому, что в офисе банка обязательно есть компьютер с открытым банк-клиентом ))))

                • yard
                  /#21845640 / +1

                  Вы хотите отнять весь хлеб у архитекторов Сбербанка?
                  Без верификации email подтвердить email нельзя. Это аксиома.

                • saboteur_kiev
                  /#21852040

                  Почта работает и на 300 бод.
                  А учитывая мобильные-клиенты, можно и на 2g верифицировать.

                  • gecube
                    /#21852666

                    Почта работает и на 300 бод.

                    уже нет. Вы где видели голый SMTP/IMAP (даже пускай и с шифрованием)? Да, я знаю, что в том же GMAIL или Яндекс можно включить эти конвенциональные протоколы, но все крупные SaaS сервисы не рекомендуют это делать (1) и по этим протоколам все работает просто омерзительно (2). Я, честно, думал, что смогу настроить произвольный почтовый клиент и удобно пользоваться GMAIL, так пес там был — у них там очень хитрая история с "метками", которые криво маппятся в "папки", ну, и дальше пошло-поехало — начина от странных глюков с отображением непрочитанных прочитанных (и их количества) и кончая глюками при перетаскивании писем между папками. А то, что при отправке письма, его надо одновременно слать по SMTP и IMAP, чтобы оно оказалось в папке "отправленные" — это ваааааще пять
                    В остальном — да, почта, конечно, работает и на 300 бод… Я уж не говорю, что там обычно какой-нибудь uucp надо использовать, а то smtp/imap, я как-то не помню, чтобы поддерживали докачку при обрыве связи

                    • saboteur_kiev
                      /#21855154

                      ~$ mail

                      • JerleShannara
                        /#21855394 / +1

                        даю на водку:
                        arxont@kurwastar ~ $ mail
                        No mail for arxont

                        При этом почта на меня есть, но mail её никогда не сможет увидеть. И да, почта не виртуальная ни разу.
                        Вопрос: в какой формат хранения почты mail не умеет?

                        • saboteur_kiev
                          /#21860994

                          Вы видимо занимаетесь буквоедством, не пытаясь понять сути.

                          Если вы регулярно бываете в такой жопе, где связь 1200 бод, и вы называете себя айтишником, вы можете настроить себе такую почту, которая будет работаьт на 1200 бод. Для этого нужно просто постараться.

                          Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap. Тот же mutt уже давно Imap поддерживает.

                          А если он работает по imap, то им можно пользоваться изредка, не мешая работе любого другого клиента, которым вы пользуетесь в обычной ситуации.
                          Сделал себе виртуалку с mutt, подключился по ssh, почитал.

                          • gecube
                            /#21861022

                            Я вот уверен, что если поискать, можно найти много текстовых почтовых клиентов, которые работают по imap.

                            Вы все на свете смешали в кучу. Если есть имап, то клиент может быть любой — хоть текстовый, хоть графический. Это уже не столь важно. Но если имап работает не очень, то, повторюсь, придется забирать почту другим способом. Но это уже забытое знание практически )
                            Или Вы предлагаете на удаленном хосте, скажем, по ssh, через текстового клиента оперировать? Но Вы же понимаете разницу между локальной почтой и почтой "где-то"?


                            Сделал себе виртуалку с mutt, подключился по ssh, почитал.

                            Дополнили-таки ответ, ну, ок. См выше замечание про "локальную" и "удалённую" почту.

                            • saboteur_kiev
                              /#21862000

                              Но Вы же понимаете разницу между локальной почтой и почтой «где-то»?

                              В офисе: девушка вносит данные. Распечатывает форму из программы с изменениями. Вы подписываете. Одновременно с этим Вам поступает email с ссылкой для подтверждения (девочка при вас нажимает кнопку для формирования проверочной ссылки). Вы переходите по ней. На третьем шаге можете ввести код из смс/звонка/пуша (какой тип авторизации и информирования выбран).


                              Давайте поймем разницу, зачем вообще вам понадобилась почта. Не так часто возникает необходимость воспользоваться такой услугой.
                              Но для единоразового получения кода подтверждения?
                              ssh на удаленный сервер, чтобы посмотреть код подтверждения БОЛЕЕ чем достаточно.
                              Также для такой нечастой операци, можно временно посетить места, где интернет получше.

                              • gecube
                                /#21862654

                                Если вы подписываете документы в офисе, то причем тут ситуация с 3000 бод? Мы же этот вариант подтверждения рассматривали? Вряд ли подтверждение имейла будет действительно более пяти минут, часа, суток?
                                Если же надо заблочить карту или как-то ещё дать понять банку, что экстренная ситуация, то там попросту не до почты? И нужен обычный способ подтверждения.


                                Смотрите. Чего это я вас донимаю. Я именно тот везучий человек, на котором регулярно ломаются скрипты. В результате попадаю в какую-то тупиковую ветку и приходится тратить очень много энергии на решение проблемы (ситуации) с техподдержкой, иногда вплоть до эскалации на ЛПР. Ну, нет цели у сервисов обеспечивать цельный, удобный, качественный сервис.


                                Касательно почты у меня появилась идея, что все не так страшно. Банк же может слать выписку архивом под паролем. Следовательно, с одной стороны — письмо улетает, да и пофиг, но третье лицо содержимое прочесть не может. Профит?

                          • JerleShannara
                            /#21862178

                            Кхем, вы когда-нибудь пытались пользоваться интернетом, когда скорость около 2400 Бод при потерях 30-40% трафика? Я пользовался и прекрасно знаю что это такое.

    • inkelyad
      /#21844600

      "клиент ХХХ подтверждаете ли Вы, что хотите получать уведомления на адрес xxxx@yyy.com, отправьте ответную СМС с YES для подтверждения почты"

      Какое SMS? Этот способ "авторизации" давно удавить пора.
      Сообщением в приложении: "для подтверждения приложите вашу карточку к телефону и введите пароль из присланного на email письма"


      Карточка и телефон, разумеется, NFC уметь должны. И то и то сейчас уже стало достаточно дешевым. А если не умеют — предложить клиенту ридер карты/генератор одноразовых паролей. Тоже стоимость при массовом производстве рублей 200.

      • gecube
        /#21844734

        Какое SMS? Этот способ "авторизации" давно удавить пора.

        согласен, но у нас тут речь за какую-то гибкость. Чтобы даже бабушка с нокией могла относительно безопасно пользоваться услугами банка. Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне? Или вживлять NFC чипы в руку?


        Насчет того, что SMS не является вторым фактором в курсе — об этом и моя приписка в скобках.

        • inkelyad
          /#21844878

          Или предлагаете каждому выписать и раздать по токену на носителе на государственном уровне?

          Так в контексте банков большая часть токена (защищенное хранилище и микропроцессор) уже есть — это чип на карточке. Карточки без NFC тоже постепено пропадают и заменяются. Так что нужно именно ридер в форм факторе калькулятора для общения со всем этим. Который да, именно раздать можно. Тем более что при должной стандартизации он один на все карточки потребуется.

      • sumanai
        /#21848482

        Сообщением в приложении

        Спасибо не нужно мне их вирусное приложение.

        • inkelyad
          /#21850768 / +1

          Ну вирусное, что поделать.
          Давно уже понятно, что банковские приложения должно жить на собственном смартфоне, где кроме них ничего нет. Сам телефон без SIM-ки и включается только тогда, когда этими приложениями пользуешься.
          При таком использовании от этой вирусности вреда мало.

          • sumanai
            /#21851110

            Да походу почти каждое приложение пора переселять на отдельный смартфон.

            • 0xd34df00d
              /#21859338 / +1

              Кубернетес для кластеров телефонов потом ещё запилить.

              • JerleShannara
                /#21859372

                Башевское облако в штанах скоро походу станет реальностью.

  10. Spewow
    /#21844784 / +1

    Название сервера интересное.
    "Цероклис — божество злаков и урожая.
    В материалах XVII века говорится о жертвоприношениях этому богу животных — черного быка, курицы, поросёнка, а также об обычае оставлять в лесу у дуба два куриных яйца и при еде бросать на землю первый кусок и проливать немного питья. С культом Цероклиса связывают обычай выпечки большого хлеба в форме змея с открытой пастью и поднятым хвостом, а также хлеба в форме свиньи или собаки."

  11. Spewow
    /#21844852

    Ну а вообще в сбере много долгоиграющих косяков.


    1. Возможность востановить доступ в сбол по просроченной или заблоченной карте.
    2. Косяки с синхронизацией настроек между сбол и мобильной версией. Например лимиты на операции.
    3. Логически дырявая идентификация пользователя по повсеместно навязываемой биометрии.
    4. Во время "технических" работ все профиля настройки могут сами сбросится на час и более, потом вернутся. Вы об этом узнаете случайно.

  12. stantum
    /#21844860 / +2

    Как давний обладатель прикольного имени на мейл.ру, подтверждаю: глупые человеки часто указывают левую почту при разных критических операциях. Иной раз руки чешутся отменить кому-нибудь билет или вернуть товар продавцу.

    • botyaslonim
      /#21847018 / +2

      asdasd@mail.ru, это ты?

      • stantum
        /#21847216

        Ха, не. У меня имя — я тезок собираю в основном.

  13. Wesha
    /#21846008 / +1

    Но факт остается фактом – Сбербанк регулярно присылает мне чужие данные, охраняемые банковской тайной.

    Нет, всё гораздо хуже — Сбербанк регулярно пересылает сведения, охраняемые банковской тайной, ПО ОТКРЫТОМУ КАНАЛУ (надеюсь, на хабре никому не надо объяснять, что email именно таковым и является) — а тот факт, что эти данные оказались у Вас — это уже частность/следствие.

    • KivApple
      /#21846198

      Если пользователь сам согласился, чтобы ему отправляли отчёты на емейл это его право. Чисто технически мне вообще ничего не мешает каждый день делать скриншот в мобильном банке и постить в «стори» в инстаграмме, а на страничку во ВКонтакте/фейсбуке выложить скан своей медицинской карты с информацией о любых заболеваниях. И это не будет нарушением банковской и медицинской тайны соответственно.

      У меня есть несколько карт в сбербанке, на одну из них мне приходит зарплата. Никаких емейлов с информацией о движении средств нет. Скорее всего в договоре была какая-нибудь хитрая галочка, которую поставил/забыл поставить клиент при получении карты. А это равносильно тому, что описано в предыдущем абзаце. Да, можно рассуждать о старшем поколении и т. д., но скорее всего формально банк ничего не нарушил.

      • Wesha
        /#21846260

        Чисто технически мне [...] И это не будет нарушением банковской и медицинской тайны соответственно.

        Ключевое слово — "мне". Вы можете со свой информацией делать что угодно, а вот банк — нет. Мне время от времени приходят (настоящие) емейлы от моего банка — "мы Вам тут безопасное сообщение прислали, зайдите в свой ЛК на сайте банка, чтобы прочитать".

    • sumanai
      /#21848488 / +1

      надеюсь, на хабре никому не надо объяснять, что email именно таковым и является

      Вроде как давно есть шифрование при пересылке. И если сервер свой, то это достаточно безопасно. Любой публичный да, будет читать почту как минимум алгоритмами антиспама, а скорее рекомендательными для рекламы.

      • Wesha
        /#21850126

        Вроде как давно есть шифрование при пересылке.

        Как у нас говорят, "Вроде. Числе и падеже." Заголовки письма — это чистейший незашифрованный текст (а иначе как к ним новые строки добавлять?); тело письма — передаётся один в один как есть (ну, с небольшими исключениями — типа, оно должно состоять из печатных символов; для всяких уникодов и передачи аттачментов придуманы MIME-обёртки, uue, base64). То есть если отправитель его зашифровал — то да, но я ни одного из таких отправителей за 20 лет не встречал.

        • gecube
          /#21850212

          я дурак или размышлизмы

          Я вообще думал, что это на уровне протокола должно было быть )
          Типа есть домен получатель (MX) и сервер отправитель. В домене, привязанном к серверу получателя, публикуется ключ шифрования (ну, хз, как TXT запись). На самих серверах домена получателя раскидан ключ расшифровки. Сервер отправитель зашифровывает ТЕЛО письмо открытым ключом, отправляет — все безопасно, никто не может тело расшифровать. Сервер получатель раскрывает тело и своему пользователю отдает уже расшифрованное письмо. Сплошной профит, не ?

          • Wesha
            /#21850342

            Протокол SMTP не менялся года так с 1990 — только наращивался дополнительными надстройками, вроде тех же MIME — потому что DHS не велит обратная совместимость.


            Сервер отправитель [...] Сервер получатель

            Нет таких понятий как "сервер-отправитель" и "сервер-получатель", есть только одноранговые сервера, каждый передаёт следующему (определяя тем или иным способом, кто будет "следующим", то есть имеет наилучшие шансы доставить письмо именно тому, кому надо — у некоторых есть для этого таблицы; некоторые берут из DNSовских MX, и т.п.), пока один из "следующих" не скажет "о, да это же мне"! (в смысле зарегистрированному на мне юзеру). Именно для этого каждый и должен иметь возможность прочитать заголовок (и дописать в него строчку "это вася.ком, это письмо пришло ко мне в 12:34:55, и я его передаю пете.ком в 12:35:12").


            P.S. Кстати, именно из-за конфликтов конфигурации иногда (в последнее время — исчезающе редко) возникали ситуации, когда письмо отлупляется по превышению количества хопов — "вася.ком: я не знаю точно, кому это письмо, перешлю-ка я его пете.ком; петя.ком: я не знаю точно, кому это письмо, перешлю-ка я его васе.ком", "и так восемь раз".

            • gecube
              /#21850356

              Да, я про mx в курсе. Про заголовки — так я же сказал — шифруем только тело, без заголовков, чтобы не ломать маршрутизацию. Я уж не говорю про то, что протокол в таком виде, как описываете, не позволяет проверить аутентичность отправителя. А шифрование на уровне клиентов, Вы опять правы, не очень популярно. Как минимум, потому что оно неудобное. Имеем то, что имеем (((

        • sumanai
          /#21850424

          Эм, а ничего, что все эти незашифрованные тексты сто лет как передаются по зашифрованному TLS?
          Я вот начал с заголовков в рандомном письме из моего ящика и закончил чтением RFC 3848. Выглядит вполне себе надёжно, хоть и не топчик:
          using TLSv1.2 with cipher ECDHE-RSA-AES128-SHA256 (128/128 bits)
          То есть канал вполне себе закрытый, сообщение видят только оконечные узлы.

          • gecube
            /#21850454

            Это вам не хттпс ) я так понимаю, что в почте тлс только между клиентом-сервером и, если повезёт, между серверами тоже. Но вот каждая передача идёт между каждой парой узлов со своими шифрами. Поэтому такое себе.

            • sumanai
              /#21850496

              Думаю сейчас все адекватные сервера шифруют передачи между собой вполне надёжными протоколами уровня TLSv1.2. Хотя нет, я посмотрел ещё парочку писем, техподдержка R01 присылает письма с TLSv1, а один уникум с личного судя по всему сервера прислал в TLSv1.3.
              Выделилась только Почта России, присылая письма по гольному SMTP, даже без E.

              Но вот каждая передача идёт между каждой парой узлов со своими шифрами.

              А разница?
              Кстати, а путь прохождения ведь отпечатывается в заголовках письма? Просто везде, где бы я не смотрел, по сути письмо путешествует (у некоторых) по внутренней сети, приходит на внешний гейт почтового сервера, и путешествует уже там. В итоге передача через интернет только одна, всё остальное происходит во внутренних сетях.

              • gecube
                /#21850514

                Просто везде, где бы я не смотрел, по сути письмо путешествует (у некоторых) по внутренней сети, приходит на внешний гейт почтового сервера, и путешествует уже там.

                это правильная архитектура, ага, просто "внутренняя сеть" точно так же может быть не очень доверенным периметром, в частности, когда вы стоите в каком-нибудь чужом ЦОДе. И вообще термин "внутренняя сеть" это очень опасно ) NAT & firewall не являются достаточными условиями надежной защиты — я тут случайно ликнул роуты у себя и привет безопасность — внутренняя сеть вылилась наружу вообще без каких-либо проблем ((( Глупая, детская ошибка.


                Кстати, а путь прохождения ведь отпечатывается в заголовках письма?

                так точно, но это по стандарту. По факту почтовики могут заголовки менять и резать.

                • sumanai
                  /#21851128

                  в частности, когда вы стоите в каком-нибудь чужом ЦОДе

                  Везде, где я смотрел, это именно внутренняя сеть, яндекса там, или какого сервиса. Явно не общие сервера в ЦОД.
                  внутренняя сеть вылилась наружу вообще без каких-либо проблем (((

                  Ну так и конечный сервер может дать доступ к базе писем снаружи без пароля. Только PGP защитит от такого.
                  Но для большинства задач почта защищена достаточно. Хотя да, я бы не стал вписывать туда банковскую тайну, у самого письма с финансами переливаются во внутренний каталог почтового клиента.

          • Wesha
            /#21850470 / +1

            То есть канал вполне себе закрытый, сообщение видят только оконечные узлы.

            Вы хоть понимаете, что Вы прочитали? Хорошо, переведу на старинные термины. Вы пишете письмо, вкладываете его в железный контейнер, закрываете на замок, отдаёте курьеру, говорите, "а отвези-ка это, голубчик, на станцию X". На станции X открывают своим ключом контейнер, читают письмо, где во первЫх строках написано "To: ИвануИванову@Такая-то.станция", понимают, что дотуда ближе от станции Y, упаковывают ваше письмо в другой контейнер с замком, вызывают курьера, просят отвезти контейнер на станцию Y, и так несколько (иногда — но далеко не всегда — один) раз. Да, курьер не может открыть контейнер и прочитать Ваше письмо — но станция (сервер) МОЖЕТ, чёрт подери! То есть из (N + (N+1)) (где N — число промежуточных серверов) потенциальных точек прослушки вы убрали (N+1), поздравляю, но N-то осталось! ;)

            • sumanai
              /#21850506 / +1

              См. выше про пути письма. Про то, что сервера могут читать письма, я не спорил. Но это их работа, и это сервера либо отправителя, либо получателя, которые так и так могут прочитать письмо.
              Ну или покажите реальный пример, как письмо в XXI веке путешествует по совершенно левым серверам в поисках счастья.

              • gecube
                /#21850520

                Ну или покажите реальный пример, как письмо в XXI веке путешествует по совершенно левым серверам в поисках счастья.

                подмена DNS? mitm? Давайте развивать дальше ) Т.е. это не "левые" прям "левые" сервера ) но точно не те, которые должны были бы быть.

                • sumanai
                  /#21851138

                  подмена DNS? mitm?

                  Это всё активные действия, целевая атака на пользователей какого-либо сервиса. Больно заморочно для кражи распечатки трат, даже с привязкой к имени.

          • JerleShannara
            /#21850516 / +2

            Процитирую гугла:

            Красный (не зашифровано) Без шифрования. Сообщение не защищено. Система предполагает наличие или отсутствие шифрования на стороне получателя по ранее отправленным в его домен письмам

            И этот красный замочек я периодически в своей почте вижу. Даже не в папке спам.

      • sergey-b
        /#21850626

        Как держатель нескольких почтовых серверов подтверждаю: почта — это открытый канал. Включить в нем безопасное шифрование невозможно.

        • DMGarikk
          /#21851382

          Возможно, если вы можете безопасно обменятся с получателем открытыми ключами (что довольно затруднительно для массовой почты)

          в банках пользуются PGP для связи через почту таким образом

  14. Gengenid
    /#21846040

    Ведь банк как кредитная организация в этой ситуации несет ответственность не только административную, но и уголовную.

    Банк, как организация, уголовную ответственность нести не может.

    • yard
      /#21846070

      Корректное замечание (в 2015 году не приняли эту норму по отношению к юридическим лицам). Я подразумевал здесь представителей банка, конечно же.

  15. /#21846054

    «Про орфографию «оперативно-рАзыскной» деятельностью в тексте Федерального закона я промолчу» — вообще-то в чередовании роз-раз буква о пишется в ударном слоге (рОзыск), а — в безударном (разЫскивать); правильное с точки зрения справочника Розенталя написание — именно «разыскной». В законодательстве написание менялось, можете поискать в том же «Консультанте» — видимо, в зависимости от предпочтений министра внутренних дел.

    PS тоже считаю правильным «розыскной» :)

    • berez
      /#21846188

      правильное с точки зрения справочника Розенталя написание — именно «разыскной».

      Розенталь уже устарел — теперь правильным считается справочник под ред. Лопатина.

      В законодательстве написание менялось, можете поискать в том же «Консультанте» — видимо, в зависимости от предпочтений министра внутренних дел.

      Нет, в зависимости от того, приняты были новые нормы или еще нет. До 2004 года писали по Розенталю, после 2004 — должны уже писать по-новому, но думаю, что писали и так и сяк.

      • yard
        /#21847770 / +1

        Многие слова проверяются по словарям.

        Толковый словарь Ожегова

        РОЗЫСК

        РОЗЫСК, -а, м. 1. см. разыскать. 2. обычно мм. Поиски, разыскиваниекого-чего-н. Отправиться на розыски (отправиться искать). 3. Деятельностьспециальных органов по установлению местонахождения уклоняющихся от судаобвиняемых, осужденных лиц, а также лиц, пропавших без вести (спец.).Объявить?.. Преступник находится в розыске. 4. Предшествующее суду дознание, собирание улик (спец.).* Уголовный розыск — милицейская служба, занимающаясяраскрытием и пресечением уголовных преступлений. II прил. розыскной, -ая,-ое (к 3 знач.). Розыскное дело. Розыскная собака.

        По современным правилам, как тут выяснилось у лингвистов, по формальным правилам действительно пишут «разыскной». Вопрос этимологии слова: многие лингвисты считают, что обе формы являются корректными. После реформы г-на Лопатина многие исключения подвели под правила.

        • gecube
          /#21847890

          После реформы г-на Лопатина многие исключения подвели под правила.

          позвольте уточнить Ваше мнение по этой реформе (кажется, я опять все проспал)

          • yard
            /#21848238 / +1

            Резко отрицательное. Средний род кофе, дОговор и йогУрт я не могу ему простить :)

  16. DMGarikk
    /#21846410

    Несмотря на то что статья написано про Сбер, все 100% этих вещей описанных в статье применимы… ну может ко «всем банкам РФ» слишком громко, но к 90% банков РФ точно

    Как минимум ошибочные почтовые адреса я лично (более 5 лет назад, не в сбере, но крупном банке) от нечегоделать выдирал из логов почтовика реджекнутые письма с выписками и адресами типа vasya@гмейл.ком и отправлял в отдел который за это отвечает… и могу сказать им было больше на это плевать чем мне потому что список особо не уменьшался месяц от месяца

    Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке

    Последние 2 года мы занимаемся телеком-аудитом для различных компаний

    я работал в нескольких компаниях напрямую связанных с банковским процессингом, и каждый раз, при каждом аудите, задавал вопросы аудиторам и высказывал собственные потенциальные векторы атак и проблемы в безопасности, и могу сказать что аудиторам не то чтобы плевать они элементарно не понимают и не верят что так может быть, потому что дословно:
    «система соответствует стандарту, значит такое невозможно, не выдумывайте» (с)
    «Сотрудник который работает на этом рабочем месте подписал договор, если такое произойдет — он будет виноват, он это понимает и так делать не будет, зачем чтото ещё менять?» ©

    И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.

    • gecube
      /#21846526

      И ладно бы это один раз было… я суммарно пережил около 5-7 различных аудитов, и по pci-dss и по sox и по чисто ит-безопасности, и аудиторские конторы у нас были с очень именитыми именами, и ВСЕГДА я слышал эти два ответа выше от аудиторов. слово в слово.

      что доказывает, что цель аудита не сделать безопасность, а прикрыть свой зад… (((((((

    • yard
      /#21847748

      Мы под аудитом понимаем не просто формальные тесты на предмет соответствия каким-то регламентам, а в том числе корректируем сами регламенты и даем рекомендации. Чтобы это было и безопасно, и корректно с юридической точки зрения. Плюс смотрим финансовые траты. Как люди «внутри» отрасли, мы понимаем что и сколько должно стоить, где какая маржинальность. И в этой связи часто двигаем поставщиков наших клиентов по цене с очень четкой и понятной аргументацией.

    • yard
      /#21847758

      Банки следуют разным стандартам безопасности и утвержденным (регуляторами, контрагентами) методам управления данными… если там чтото не указано — это не делается, если это ктото по своей инициативе изнутри банка не решил делать… а это мало кто решает потому что «инициатива наказуема» (с)… образно — не получит клиент письмо потому что верификация в спам попадет — тому кто это придумал прилетит по шапке

      А вот это очень интересный вопрос: действительно ли регулятор утверждает такие нормативы безопасности?

    • xenon
      /#21848736 / +1

      Аудит — проверяет на соответствие стандарту. (а не безопасность в каком-то идеальном смысле). Примерно как задача суда — не выносить справедливые решения, а выносить законные.

      Многие крупные взломы и финансовых и оборонных сетей — это были взломы сетей, которые построены в соответствии со стандартами безопасности.

      Стандарт — обеспечивает некоторый _минимум_ безопасности. Нижнюю планку. Смысл стандарта в том, что стандарт могут обеспечить даже рядовые исполнители, с базовыми навыками, которых легко найти на рынке труда. (рок-звезд — всегда единицы, а банковских IT-шников нужны сотни тысяч).

      Плохо, если руководство не понимает разницы, между соответствием минимальным требованиям стандарта, и реальной защищенностью. Считает, что соблюдение стандарта — уже достаточно.

  17. Goodwinnew
    /#21847676

    Не хотелось бы ругать Сбербанк — но судя по всему, там вообще бардак. Сбербанк мне несколько лет мне присылал отчеты на email по моей кредитной карте — и от этого невозможно отказаться в принципе :( В настройках галочка «присылать мне по email» не стоит, но банк ежемесячно продолжает присылать. Было написано несколько заявлений на тему (я не просил, мне не нужно, отключите плиз) = не произошло ровно НИЧЕГО. Только после отказа и закрытия кредитной карты отчеты перестали приходить… Это какое-то безумие.
    И да — как написали правильно выше — это ОТКРЫТЫЙ канал.

    • yard
      /#21847742 / +1

      Вы хотите сказать, что я теперь вечно подписан на уведомления по чужой карте? Блестяще)

  18. /#21847686

    Из личного опыта. Мама попросила снять денег с ее карты в банкомате. Банкомат зажевал карту, позвонил со своего номера чтобы заблокировать данную карту, мой номер (ранее зарегистрированный на другой действующий сберовской аккаунт) привязался к ее аккаунту автоматом. После перевыпуска карты получаю все уведомления, включая пароли для подтверждения платежей, могу входить в Сбербанк онлайн под ее аккаунтом и видеть все ее карты и счета. Номер не отвязывал, потребности нет. НО, сам факт…

    • yard
      /#21847704

      А как они блокируют карты с непривязанных номеров? Как они проверяют, что это именно владелец карты звонит?

      • /#21847918 / +1

        Очень просто. Звоните с любого номера и говорите у меня банкомат зажевал карту номер такой-то. Это нормально, чтобы заблокировать карту не нужна какая-либо верификация пользователя карты (здесь какого-либо фэйла нет, ситуации могут быть разные и блокировка карты должна быть произведена, хотя бы до выяснения обстоятельств) трабл в том, что номер с которого поступил звонок не должен автоматом привязываться к данной карте, а по сути он привязался не к карте, а к аккаунту вцелом, т.к. после перевыпуска карты на данный номер поступают смски адресованные владельцу другого аккаунта.

        • yard
          /#21848218 / +1

          Как это не нужна верификация? Хотя бы кодовое слово должны точно спрашивать. Иначе любой может заблокировать мою карту что ли?
          С траблом согласен.

          • DMGarikk
            /#21848244

            виза
            там есть слова:
            «Если вы потеряли свою карту Visa или она была украдена, представители службы клиентской поддержки Visa могут:
            заблокирать вашу карту, если вы знаете ее номер, а затем соединить вас с вашим банком»

            Виза в принципе не может знать связь вашего телефона+карты+фио (надпись с фио на карте опциональна) тем не менее они заблокируют вам карту по номеру

            • yard
              /#21848266

              Надо попробовать.

          • /#21848382

            Для блокировки карты никакое кодовое слово не требуются. Звоните на горячий номер (указан на карте, в сбере 900) называете номер карты и просите заблокировать ее. Получается да, любой желающий зная номер вашей карты может ее заблокировать. Как именно происходит блокировка, точно сказать не могу. Возможно блокировка временная, которую в дальнейшем можно отменить, но если карту заглотил банкомат и сам не отдает, то такую карту не возвращают, об этом сказал оператор горячей линии, ее заблокировали и нужно перевыпускать такую карту. Оператору была предоставлена информация: номер карты и номер банкомата который заглотил карту, все, больше никакой информации не предоставлялось. Данное событие произошло 3 августа 2018 года, с этого момента мой номер с которого я совершал звонок привязан к аккаунту которому принадлежала заблокированная карта (также мой номер является основным на моем банковском аккаунте), смс-ки с паролями приходят с обоих аккаунтов (по второму аккаунту по которому произошел трабл, смс-ки с паролями приходят только на операции по перевыпущенной карте, на этом аккаунте была и есть еще одна карта, по ней смс не приходят).

          • xenon
            /#21848752 / +1

            Как я понимаю, философию этого, тут есть два разных ресурса.
            Есть ваш банковский счет — это очень важный и ценный ресурс. Банк должен его защищать.
            Есть карта (ключ для сервиса банкоматов, для сервиса интернет-платежей) — это другой ресурс, гораздо менее важный.

            Благодаря тому, что карту легко заблочить (даже другой человек, если ее нашел. даже вы сами, если забыли кодовое слово) — с одной стороны под удар ставится этот второй ресурс (неважный), зато надежнее защищается первый ресурс (ваш счет, деньги), который гораздо важнее.

      • Alex_Tver
        /#21848222

        Наверное, если сказать телефон/имя нужного аккаунта и кодовое слово, то тебе поверят.

  19. /#21847690

    В конце 2019 года начал получать сообщения по email предназначающиеся для моей супруги, это были рекламные предложения и тп. Прекратить эту рассылку они смогли только после второго моего обращения.
    Но что самое интересное, как данный email оказался в базе рассылок и почему он привязан к моей супруге?
    Этот email я не указываю для отечественных сервисов и компаний.
    Если открыть СБ на телефоне и посмотреть СБ ID электронная почта, то там вообще пусто.

    • yard
      /#21847710

      В данном случае можно было еще обратиться в ФАС. Там штраф 500 тыс руб за каждый факт отправки такого рекламного сообщения лицу, которое не давало согласие.

  20. VikingNN
    /#21847692

    Ещё кейс. При покупке нового номера (новая сим карта) на нее приходили в смс предложения от Сбера о кредите с указанием полного ФИО предыдущего владельца.

    • yard
      /#21847712

      Это как раз тот случай, который описан в Примере 3. Даже боюсь предположить, сколько таких номеров по факту. И сколько людей оказались уязвимы в этой связи.

      • xenon
        /#21848764 / +1

        У меня одно время был «проброс» с городского номера. На сотовом телефоне — обычный длинный федеральный номер, но для солидности — купил городской (в ростелекоме). Когда звонили на него — ростелеком пробрасывал звонок мне на сотовый. Звонки были редкими, поэтому мне было выгодно так — почти без расходов иметь дешевый городской номер.

        И на него часто звонили коллекторы, задолбали меня. Оказывается, такие номера часто люди брали чтобы спрятать свой основной номер.

  21. /#21847696 / +1

    У меня был похожий случай с телефонным номером. В 2017 году, мне начали приходить СМС о том, что я якобы совершаю покупки и банковские операции. Но самое интересное, что у меня тогда не было карты Сбера. Я заблокировал номер, так как думал что это пишут мошенники. Когда я пришёл в банк для того чтобы оформить карту, я указал свой номер. Спустя две недели я прихожу в отделение возмущённый, так как мне обещали прислать СМС, когда карта будет готова, но не прислали. В отделении мне сказали, что отправляли СМС и звонили. Как оказалось, я заблокировал официальный номер Сбербанка, на мою претензию, что мне приходили левые сообщения об операциях, сотрудницы просто пожали плечами.

    • yard
      /#21847736 / +1

      Значит кто-то привязал Ваш номер для аккаунта. Просто в случае противоправных действий с этой картой (обналичивание, финансирование терроризма и пр.) Сбербанк предоставил бы Ваш номер, а далее Вас могли взять в «разработку» и начать дергать уже правоохранители. Так что цепочка может зайти довольно далеко. В следующем материале про телефонных мошенников я этот аспект затрону.

  22. /#21848150 / +1

    в копилку: плановый перевыпуск карты, мне подсовывают договор, в нём- два номера телефона: нормальный и абсолютно левый. Поскольку физически уже нахожусь в отделении банка с паспортом- сразу пытаюсь выяснить откуда ЭТО взялось и когда и на каком основании. В ответ — рептильные звуки. Вызов «более старшего» менеджера привносит просто больше разнообразия в невнятицу, но совершенно понятно что концов найти нереально. Бросил. Если ваша затея дойти до суда и разобраться удастся- будет вам большое спасибо.

    • yard
      /#21848162 / +2

      Спасибо. Сейчас жду ответ от ЦБ по этому вопросу. Если реакции не последует, будем обращаться уже в другие более серьезные инстанции. Вопрос принципиальный. Ибо Сбербанк не предпринял ничего для повышения безопасности.

  23. /#21848250

    Сбер те ещё аферисты, когда получал карточку, специально не давал номер своего мобильного. Однако они его каким-то боком заимели. Понял это когда на телефон посыпался от них спам. Ладно сходили пожаловался, обещали удалить, но нет! Спам продолжался, пришлось уже углублённо пройти квест «удали номер». Да да типа при мне они удалил номер. Вроде бы тишина, но это не так. Периодически они вспоминают и присылают свой спам, вот так то.

    • yard
      /#21848252

      Про спам я писал выше комментарий. Если номер не указывали, подайте обращение в ФАС. Пусть заведут дело по этому поводу и проведут проверку.

  24. iRedds
    /#21848258

    Почта Банк «подписал» меня на ежемесячную «рассылку» с выпиской по кредиту в комплекте персональными данными неизвестной мне гражданки.
    Саппорт, на мой вопрос «какого...?» и просьбой отписать меня, запросил мои ПД для тикета.

    Для регистрации запроса уточните Ваши данные ФИО, номер телефона и электронный адрес, также сообщите данные Клиента, на чье имя поступают письма.

    В ответ были отправлены все данные их клиента, но саппорт упорно требовал мои данные.
    После чего был послан лесом, а письма в спам.

    • yard
      /#21848276 / +1

      Какие молодцы. С другой стороны, у email действительно сложно установить «владельца». Поэтому все эти механизмы ввода email в оборот должны быть четко регламентированы. В том числе регулятором ЦБ РФ. По-другому, как мне видится, эту проблему не решить.

  25. stanislavkulikov
    /#21848296 / +2

    Мне периодически звонят мошенники, представляются «службой безопасности Сбербанка» и пытаются узнать номер и CVC2 моей карты. Раньше, после таких звонков, я звонил в настоящую службу безопасности Сбера, но после того, как мне там несколько раз говорили, что телефонные номера звонивших их не интересуют, перестал это делать. Собственно это ещё один штрих к тому, как они относятся к безопасности клиентов.

    • McDuk
      /#21848826

      телефонные номера звонивших их не интересуют


      Вам было бы спокойнее, если бы этот номер торжественно записали в книжечку? Раскрутить, кто звонит, без привлечения правоохранителей не получится. Заблокировать — тоже.

      • yard
        /#21848878 / +1

        История является массовой. Поэтому правоохранители должны были уже стоять сами возле дверей банка и пресекать такие звонки. И служба безопасности банка имеет для этого все связи и возможности. Вопрос желания и подхода.

        • gecube
          /#21848900

          Я уж не говорю о том, что есть мизерна возможность, что такими формами мошенничества занимаются сами сотрудники банков, а это тогда 100% попадание в сферу интересов СБ

          • yard
            /#21848928

            Мы проводили эксперимент. Брали чистую сим-карту. Подавали заявку на кредит в Сбербанке. Больше никуда не звонили с этой карты, в интернет не выходили. От Сбербанка был получен отказ в кредите. Через 2 дня начался спам с предложениями кредитов из других банков. Думаю, сомнений ни у кого нет, что «утечка» была именно из банка. Сбербанка!

            • stanislavkulikov
              /#21848972

              Мне только сегодня звонили и предлагали продлить страховку на машину. На вопрос, откуда у них мой номер, честно сказали, что купили у банка, выдавшего мне кредит на машину. В банке мне сказали, что раз я подписал соглашение на обработку моих персональных данных они имеют право передавать их третьим лицам.

              • yard
                /#21849086

                Да, так и есть. НО в соглашении об обработке и передаче третьим лицам лично я всегда вычеркиваю эти пункты и ставлю рядом «верно» и подпись. В таком случае передача считается незаконной.
                Вы вправе сами менять правила обработки перс данных — можете оставить только то, что относится непосредственно к услуге, которую вам оказывают. Остальное имеете полное право вычеркнуть. И отказать вам в этом не могут.

                • DMGarikk
                  /#21849178

                  можете оставить только то, что относится непосредственно к услуге, которую вам оказывают.

                  У банка могут быть подрядчики которые учавствуют в исполнении услуги, особенно если это касается банковских карт. далеко не все банки имеют процессинги и пользуются услугами сторонних и вынуждены передавать им права на обработку перс.данных.

                  • yard
                    /#21849460

                    Цели и задачи могут быть прописаны. Я вычеркиваю фразу, которая касается рекламных сообщений. С другой стороны, исполнителем является банк. Меня не интересуют его отношения с третьими лицами. Достаточно фразы, которая определяет цели и задачи обработки для исполнения по договору. Поэтому фраза про третьих лиц смело может вычеркиваться. Передача данных здесь как субъекта не требуется.

            • /#21849450

              Аналогично, с нового номера сделал запрос в сбер, отказ и посыпался телефонный спам, но служба поддержки после моих возмущений ответила, что вы сами дали согласие (галочка на согласие обязательна, что бы дать запрос на кредит) и мы имели право. Что бы отказаться, приезжайте и пишите заявление.

              • yard
                /#21849472

                Достаточно устного обращения или написания email с отказом. Закон «О рекламе» не определяет письменную форму как обязательную для отзыва согласия. ФАС России мне присылало разъяснение на эту тему — я делал запрос к ним.

  26. Artem_7
    /#21848814 / +3

    У нас пару лет назад зарплатный проект переводили в другой банк. Представители банка приехали в контору и мы потоком оформляли договоры и заявления. Через пару дней мне стали приходить смс по операциям с двух чужих карт. Позвонил в банк, мне сказали, что отвязать свой номер от чужого счета я не могу. Опа-па! Мою просьбу уведомить владельцев счетов оставили без внимания.

    Первую девочку я поймал быстро. Она часто снимала деньги в банкомате на первом этаже конторы. Курю как-то на крыльце, приходит смс, врываюсь в холл — здрасте, я ваш друг по карте. От девочки я узнал, что номер телефона был не перепутан, а к ее счету было две привязки. Т.е. девочка тоже получала свои смс.

    Второго я ловил полгода. Он снимал деньги очень редко — не более одного раза в месяц. Я знал про него все — оклад, сумму накоплений, места, где он бывает (в смс приходили адреса банкоматов). И вот однажды его карта была пополнена в нестандартное время на нестандартную сумму. Отпускные! Я вычислил по окладу, что чувак взял 3 дня. Корпоративная система контроля отпусков мне вернула семь фамилий с отпусками в три дня в текущем месяце. Четыре фамилии отпали сразу. У нас зарплату переводят по алфавитному списку, его смс приходила всегда раньше моей, значит по алфавиту от был раньше меня. Дальше просто — на корпоративном портале у всех указаны мобильники. Перевод 1 рубля по номеру телефона и тут же смс о зачислении. Привет, друг, как долго я тебя искал!

    • yard
      /#21848862 / +2

      Прям как детективный рассказ читается комментарий! Вот так и нашим клиентам пришлось сотрудников отлавливать с перепривязкой. И таких историй, как я понимаю, на каждом шагу. Неужели банк это не беспокоит? А потом все сваливают на простых пользователей — мол, сами виноваты. Так если система гнилая, может банкам стоит начать с себя?

      • Artem_7
        /#21848938

        Мне повезло, что мои друзья по картам были из моей же конторы. Иначе бы не вычислил. У ребят из банка, судя по всему, для ускорения ввода заявлений форма не очищалась. И они для нескольких заявлений бахнули один и тот же номер. А когда к ним пришли клиенты с жалобой на отсутствие СМС — просто добавили доп. номер, не убрав старый.

        • yard
          /#21848956

          А что за банк был?

          • Artem_7
            /#21849528

            Левобережный, Новосибирск.

    • ursaa
      /#21850474

      А вот когда только «свежий» контракт на номер телефона подписан (15 лет назад) и тут внезапно начинают сыпаться сообщения о покупке с карточки на Бали, городе Парижу и иже, при том, что номер уж как 3 года был как неактивен — я не сказать, что удивился, но тем не менее. Но вот при звонках в банк «вы не есть владелец счета — идите в отделение», откровенно напрягло. Причем только 8-800, тогда был платным. Да, дошел, девочка в отделении точно также пыталась послать с мыслью «да кто ты такой!!! И вообще не наш клиент!», но у меня есть ФИО, номер карты полный (тогда его не резали, ибо PCI видимо не боялись), т.е. на руках типичная «банковская тайна». И только после фразы, что мол вы разглашаете банковскую тайну третьему лицу, глаза девочки округлились на размер блюдца, они зашевелились и было обещано, что сейчас вот, 5-10 минут и ВСЕ!, и отвязали номер от счета. Прям чудо. А так бы видимо до сих пор знал похождения владельца счета.

    • Artem_7
      /#21850758

      История неожиданно ушла в твиттер (ссылка), у меня аккаунта в твиттере нет, поэтому напишу пояснения здесь.
      Банк — не Сбер, а Левобережный (Новосибирск). Уточню, что контора не меняла зарплатный проект (нашел скан заявления своего), а меняла карты (переходили на VISA), т.е. мы не заключали договор, а писали заявления на выдачу новой карты.

      Самое забавное, что молодой человек номер два работал со мной в одном кабинете (мы были мало знакомы — разные отделы, то виделись каждый день). Т.е. два раза в месяц (аванс и зарплата) на протяжении полугода он слышал мои громогласные маты про себя, — я при получении очередной СМС в выражениях не стеснялся. Он даже принял участие в паре кабинетных конкурсов на лучшую идею, как напакостить мистеру Икс.

      Когда все открылось, мне было очень неловко. Слава богу, что он не слышал мои «юмористические» предположения о его покупках и оценки его любимых мест для снятия наличных. По понятным причинам, в момент получения СМС о списаниях с карты, его в кабинете не было.

      З.Ы. Мой номер телефона «друзья по карте» смогли отвязать в ЛК банка. Молодой человек, спустя еще полгода, уволился. Девушка, вроде, еще работает — видел ее этой зимой (до карантина).
      З.З.Ы. Моя карта VISA валяется где-то в коробке с документами. Оказалось, что в банке по картам зарплатного проекта есть неизменяемый годовой лимит. Т.е. к апрелю-маю она превращается тыкву. Пришлось выпускать к счету еще одну карту (за деньги), которая лимитов уже не имеет

      • ne_kotin
        /#21851318 / +1

        Банк — не Сбер, а Левобережный (Новосибирск). Уточню, что контора не меняла зарплатный проект (нашел скан заявления своего), а меняла карты (переходили на VISA), т.е. мы не заключали договор, а писали заявления на выдачу новой карты.

        … А «контора» — видимо ЦФТ. Кто там еще в Левобережке пасётся, кроме ЦФТ и бюджетников — я не знаю )

  27. Alex_Tver
    /#21848992

    В плане верификации номеров телефонов — бесит, что при выдаче кредитов никто эти данные никак не проверяет, ни в одном банке.
    У меня давно полученный красивый номер и сколько мне коллекторов звонит — не рассказать.
    Люди в условном МВидео при покупке айфона указывают левые данные, которые никак не верифицируются. Потом коллекторы звонят по этим номерам и портят жизнь нормальным людям.

    • yard
      /#21849092

      Да, это одна из ключевых проблем рынка спама — верификация номера. Но приличных решений до сих пор нет (удобных и юридически обеспеченных).

      • McDuk
        /#21849142

        Но приличных решений до сих пор нет


        «Продиктуйте пжлст код из СМС» — вполне работающее решение, достаточно удобное. Другое дело, что без верификации клерк, оформляющий кредит, скорее получит свою премию. А заниматься обзвоном по левым номерам будут совсем другие люди…

        • Alex_Tver
          /#21849232

          А банк — как организация, при этом теряет деньги на поиске этих товарищей.

        • yard
          /#21849326

          Я про оформление подписок на рекламу. СМС недостаточно.

  28. YMA
    /#21851662 / +2

    Хотите еще забавность от Сбербанка? Обратился в поддержку по поводу начисления бонусов Спасибо (не сходится арифметика — в одном месте личного кабинета показывается снятие наличных 14%, в другом — траты по карте 84%, пытаюсь понять — куда еще 2% делись), сегодня пишу письмо с пояснениями — не проходит, отвергается спам-фильтром.
    А что, хорошая идея — режем все жалобы от клиентов по ключевым словам как спам, и сокращаем расходы на поддержку, одновременно поднимая показатели качества обслуживания.

    Это письмо создано автоматически сервером Mail.ru, отвечать на него не нужно.
    К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:

    problema@SPASIBOSB.ru
    SMTP error from remote mail server after end of data:
    host mail.spasibosb.ru [77.246.228.14]: 550 5.7.1 Message rejected as spam by Content Filtering.

    Рекомендуем Вам проверить корректность указания адресов получателей.
    **********************

    • yard
      /#21852056 / +1

      А если попробовать по-другому сформулировать? Может там слишком много стоп-слов типа *&уя, *&^ец и прочие?

  29. yard
    /#21852044 / +1

    UPD (16 июля 13:20):
    Сбербанк решил пойти еще дальше. И буквально вчера прислал мне «поздравление» с днем рождения. То есть мало ему оказалось нарушения банковской тайны — Сбербанк решил нарушить еще и Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. Как далеко зайдет Сбербанк?

    • JerleShannara
      /#21853110

      Зато у вас теперь два дня рожденья, попробуйте в книгу рекордов Гинесса заявку подать, вон, сбер же это вам подтверждает.

  30. YemSalat
    /#21852310

    Но спешу всех успокоить: в данной ситуации с моей стороны не было не сделано ничего, что привело к раскрытию банковской тайны.

    Двойное отрицание. Хитро :)

  31. ZhelezoDev
    /#21862404

    Не утверждаю что намеренно, но выглядит как заказная статья. Все 3 пункта можно сказать про любой банк.

    • yard
      /#21864512

      Это кейсы, которые мы получаем из практики. Причем тут «заказ»? В чем его «тайный» смысл? И главное — кто заказчик?