В соцсетях разгорелась полемика вокруг сообщений Сбербанка клиентам с кодами, содержащими слова CRY, KILL и даже KILLJEWS. Пресс-служба банка заверила, что речь идет о неудачном совпадении: код представляет собой случайный набор символов, генерация которого не предполагает участия сотрудников. В банке обещают изменить процесс формирования кода. Эксперты полагают, что причиной проблемы могла стать недоработка в настройке системы генерации кода. Но признают, что обычно семантическим тонкостям кодов придают значение только в отношении продуктов для детей.
Фото: Олег Харсеев, Коммерсантъ / купить фото
Фото: Олег Харсеев, Коммерсантъ / купить фото
Клиент и акционер Сбербанка Александр Шишов 20 ноября опубликовал на своей странице в Facebook снимок рекламного сообщения от банка, в котором содержится предложение оформить кредит. Оно заканчивается словами «Подайте заявку в офисе банка — пароль CRYVKILLJEWS». В переводе с английского пароль содержит слово «плачьте» и фразу «убивать евреев», что вызвало возмущение клиента.
Фото: Александр Шишов
Фото: Александр Шишов
Сотрудник Сбербанка, отвечающий за мониторинг социальных сетей, сперва заявил, что «на скриншоте хорошо видно, что пароль отредактирован», и заявил, что «кто-то явно хочет нас подставить». Но позже там признали достоверность сообщения. Пресс-служба Сбербанка пояснила “Ъ”, что пароль представляет собой набор случайных символов:
«Мы используем сгенерированные коды в регулярных рассылках персональных предложений по потребительским кредитам для максимально быстрой консультации клиентов. В год мы формируем около 13 млрд паролей, механизм генерации такого большого количества уникальных сочетаний символов осуществляется системой автоматически и не предполагает участие сотрудника».
В то же время в банке пообещали в ближайшее время пересмотреть процесс формирования кода.
Как выяснилось, случай господина Шишова не был единичным. Пользователь сайта Pikabu накануне опубликовал снимок сообщения Сбербанка, содержащий часть тех же слов. В его пароле также фигурировала фраза «CRYVKILL», но продолжение был иным — «ML8P».
Эксперт центра информационной безопасности компании «Инфосистемы Джет» Алексей Куприянов считает, что код представляет собой не пароль, а идентификатор кредитного продукта. Он генерируется случайно с использованием программного обеспечения.
«Судя по представленной последовательности, в алгоритме генерации заданы два условия: длина пароля и использование букв латинского алфавита,— пояснил “Ъ” господин Куприянов.— С такими ограничениями в какой-то момент сгенерированный идентификатор может показаться неслучайным и носить определенную смысловую нагрузку, в том числе и негативную». Вероятность появления отдельных слов при генерации подобных строк невысока, но всегда существует, соглашается технический директор Qrator Labs Артем Гавриченков. По его словам, чтобы избежать неприятных совпадений, достаточно исключить из генератора гласные буквы. Но, признает эксперт, обычно такие предосторожности предпринимают только при разработке сервиса для детей.
IT-специалист крупного банка уточняет, что генераторов кодов очень много, некоторые из них целенаправленно используют именно слова. Преимущество таких генераторов — удобство с точки зрения клиента, поскольку такие коды проще запомнить, поясняет собеседник “Ъ”.
Он допускает, что Сбербанк мог недавно перейти на использование генераторов такого типа, но не позаботился об исключении вероятности генерации неудачных комбинаций. В кредитных предложениях Сбербанка, отправлявшихся в октябре в том числе сотрудникам “Ъ”, пароль состоял из 11 знаков (а не 12, как в сообщениях со словами) и не содержал осмысленных слов. В Сбербанке пояснили, что существуют два алгоритма формирования кодов в разных системах для генерации персональных предложений. В одной формируются коды на 11 знаков, в другой — на 12 знаков. Ни одна из систем, заверили в банке, не использует словари или библиотеки.