Как банки сливают персональные данные своих клиентов
 

Главная новость Центробанк и Минцифра активируют систему тотальной слежки и торговли личными данными россиян прошла незамеченной, народ был сильно занят Коронавирусом, который выжег всё информационное пространство.
Потом стали появляться заголовки "Персональные данные россиян снова выставили на продажу в интернете", но они тоже прошли мимо. Это ведь, не мои данные продают, а каких-то там лохов, которые допустили их утечку.

Нет, это продают именно ваши данные, а не каких-то там абстрактных россиян.


TL;DR или однажды вечером.
Обычным вечером серфил я по интернету, и угораздило меня зайти на сайт Сбербанка (Россия). Интернет был медленный, и в правом нижнем углу браузера можно было успеть рассмотреть имена доменов, с которых браузер загружал элементы страницы. И вдруг этой кучи незнакомых имён промелькнуло что-то до боли знакомое - cdn.rutarget.ru.
Стоп, я знаю что это такое! Я же недавно делал обзор по этой «шпионской» сети BigData, собирающим персональную информацию пользователей!

Так, вечер перестаёт быть томным. Ни один вменяемый банк не будет загружать что-либо с таких сомнительных доменов. Но консоль браузера упрямо говорит, что на сайте Сбербанка загружается скрипты и трекинг пиксели, и не только с rutarget.ru – там более 20 DMP и рекламных сетей, как российских, так и зарубежных.

Как же весь этот мусор мог попасть на сайт Сбербанка? Вирус на компе? Вредоносное расширение в браузере?
Открываю второй ноутбук – там тот же rutarget.ru. Захожу в свой банк HSBC – там всё чисто.
Нет, на вирус или вредоносный плагин это не похоже.

Звоню знакомому IT-шнику в Россию – у него тот же rutarget.ru. Начинаем разбираться в «4 руки».

Как российские банки сливают персональную информацию своих клиентов.
Проведённое расследование показало, что чужие скрипты и трекинг пиксели на сайте Сбербанка вставляются через систему Google Tag Manager, в котором подключён вредоносный скрипт с rutarget.ru. А скрипты Rutarget уже вставляют трекинг-пиксели и скрипты других сетей сбора Big Data.

Но самое интересное было впереди:
- оказывается, скрипт с rutarget.ru вставлен на страницу логина в Сбербанк! Да, он может прочитать ваш логин/пароль и передать его на свой сервер!
- более того, скрипт rutarget.ru вставлен на все страницы вашего персонального аккаунта Сбербанка! Да, он может читать номера ваших счетов, количество денежных средств, привязанный к аккаунту номер телефона, все движения средств по счетам. Всё, что видите вы в своём аккаунте, видит и скрипт.

Дальнейшие исследования выявили, что скрипт от rutarget.ru вставлен на страницах российских банков HomeCredit и Альфабанк, причём, на Альфабанке есть и другие сторонние скрипты сборщиков персональных данных.
Значит, проблема слежки в российской части интернета носит глобальный масштаб.

У вас есть счёт в российском банке? Бегите, пока не поздно!

Жесть... Спасибо, что поделились!

Не только банки. В большинстве мест, когда что-то оформляешь есть приписка мелким шрифтом, что личная информация может передаться 3им лицам или компаниям партнерам. Еще меня очень удивила ситуация в свое время, когда умер дядя и быстрее скорой приехал мужик и начал предлагать ритуальные слуги со скидкой

Это уже давно известна история, и поверьте ваши данные возможно никому и не нужны по-вашему, однако в даркнета есть свои способы использовать ее с прибылью.