Клиент Сбербанка получил доступ к терминалу пятикратным нажатием на Shift
Деньги так украсть нельзя, но можно вывести устройство из строя.
19 декабря пользователь «Хабрахабра» под ником namikiri сообщил об уязвимости в терминалах Сбербанка с обычной (не цифровой) клавиатурой. Пока клиент ждал ответа оператора, он пять раз нажал на Shift, что открыло ему доступ к компьютеру.
На экране появилось меню «Пуск», через которое можно было перезагрузить или отключить терминал. Также появилась возможность вывести устройство из строя или удалить файлы с компьютера. Клиент Сбербанка пояснил, что такая проблема наблюдалась на всех трёх терминалах, которые стояли в отделении. Снять деньги с помощью такой уязвимости невозможно — к тому же терминал не предназначен для вывода средств.
«Залипание клавиш», которое предназначено для тех, кому сложно нажимать несколько клавиш сразу, работает в том числе на Windows 10. Несмотря на возможность отключить функцию, у пользователей получалось это не во всех случаях.
Пользователь «Хабрахабра» по горячей линии сообщил о проблеме сотрудникам Сбербанка, которые якобы заявили, что она зафиксирована. По его словам, через две недели (первая попытка произошла 6 декабря) он заново провёл эксперимент с терминалом — и снова получил доступ к компьютеру. Только после этого он решился рассказать о проблеме публично.
Окошко всё так же всплывает. Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой.
В разговоре с Life представители Сбербанка подтвердили наличие проблемы и пояснили, что «сейчас закрывают» её. Для клиентов и самого банка уязвимость не несёт «никаких рисков», подчеркнули в компании.
До сих пор неизвестно, устранил ли Сбербанк уязвимость в работе терминалов. TJ направил запрос в компанию, но не получил оперативного ответа.
#технологии #банки