Shiftキーを5回押すと、スティッキーキーをオンにするための特別なウィンドウが表示され、ゲーマーに特に馴染みのあるWindowsの最も厄介な機能の1つを覚えていますか? ちなみに、この「機能」はWindows 10までそのまま残っています。 さて、フルサイズのキーボードを備えたSberbankターミナルに立って、オペレーターが電話で応答するのを待っている私は、この同じShiftを退屈から押し出すことにしました。ファンクションキーがなければ何も起こらないと単純に信じていました。 どんなに! このキーを5回すばやく押すと、タスクバーにすべての銀行ソフトウェアが表示されるほか、同じウィンドウが表示されます。 バッチファイル(以下のビデオのタスクバーを参照)を停止してから、バンキングソフトウェア全体を停止することにより、ターミナルを破壊できます。
「これを自分自身に」と思い、見つけた問題を報告しようとしました。 これが私の最初の欲望だったので、Sberbankの従業員に誰に伝えることができるかについて質問することほど良いものは思いつきませんでした。 少女は何も知らずに不本意ながら答え、上司に連絡する方法についての質問に答え、簡潔な沈黙で応答し、端末自体に書かれた電話でサポートに連絡することを勧めました。 はい、電話しましょう。 残念ながら、会話の録音はありません。通話の日付を示す小さなスクリーンショットしかありません。
テクニカルサポートでは、フレンドリーな女の子が、脆弱性を報告したいと言った後、すぐに他の専門家に切り替えました。 彼は最初に私に連絡する方法と端末番号を尋ね、次に問題の本質について質問し、それから私は長い間音楽を聴きました、そして結局、男は問題が修正されたと言いました。 そのような問題を報告するためにボーナスが必要かどうかという質問に対して、彼はそのような情報を持っていないと答えた。 これで会話は終わりましたが、私は3回目の運試しをすることに決め、クライアントを端末でサポートする女の子になりました。 彼女はまた、ポップアップウィンドウを見て、コレクターに電話するようにアドバイスしました。私は、コレクターに番号を提供するという要求に対する明確な答えを受け取りました。
これはすべて12月6日に起こりました。 2週間後、私はターミナルに何があるかを確認することにしました。 それでもやはり、彼らは問題を「修正した」と言った。おそらくすでに修正しているはずだったが、いや-まだそこにあり、ウィンドウがポップアップする。 私は情報セキュリティの分野の専門家ではなく、この「機能」がどのような損害をもたらすかを判断することはできませんが、反応の鈍さによって判断することはできません。 したがって、Sberbankの不作為の事実の後、私は陽気なSberShiftキャンペーン、最愛のKhabrovitesについてお知らせします。
2017年12月29日からの更新
TL; DR:脆弱性が修正され、ウィンドウが開かなくなりました。 個人的に確認した。 このために、彼らは日記とカード名義人を与えました。
この投稿の翌日、Sberbankの代表者からsberbank .ruドメインからの電子メールで連絡がありました。Sberbankは、「相談の質に関する質問を提起し、延期された質問がどこに飛んだかを確認しようとしています」。 コンタクティーは私の電話番号と上訴の日付を尋ねました。 私は彼にこのデータを伝え、その翌日、Sberbankの従業員がすでに問題を修正していることが報告されました。
さらに、12月22日に、彼らは、「謝罪の贈り物」を受け取るために本社に来るようにとの要請とともに、スベルバンクの地方支店から携帯電話で私に電話をかけました。 そのような贈り物として、会社の日記と銀行カードの財布が提示されました。 同じ日、私はあまり面倒ではなく、Sberbankターミナルに「訪問中」に行き、再びShiftで彼を突っついた。 反応がなかったため、問題は解決しました。
今日、 Sberbankから連絡があり、このアップデートを書くように頼まれました。 正直なところ、私は長い間これを行うつもりでしたが、私の研究は常に気を散らせていました。 今日は自由な一日でした。 実際、スペルを維持しながら、Sberbankのコメントを引用しています。Sberbankはここに追加するように依頼しました。
この情報は現在では関係ありません。 現在までに、記載されている脆弱性は、拡張フルサイズキーボードを備えた同様のすべてのSberbank情報および支払い端末で修正されています。 また、記載されている脆弱性はデバイスのセキュリティにリスクを伴わなかったことにも注意してください。 使用済みの保護具は、顧客または銀行に損害を与える可能性のある端末またはATMでの違法行為を許可しません。
同時に、システムの検出された構成機能についてのお客様の注意とフィードバックに感謝しています。 また、できる限り迅速に対応し、すべてのシステムとサービスの運用に対するお客様の希望を考慮に入れます。