+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Информация о сотрудниках Сбербанка утекла в Сеть

В сбербанке крупнейшая утечка в истории российского банковского сектора

Информация о сотрудниках Сбербанка утекла в Сеть
9409

03.10.2019, Чт, 11:24, Мск , Эльяс Касми

Неизвестный злоумышленник выложил на продажу базу данных с украденными сведениями о 60 млн клиентах Сбербанка. Подлинность информации подтверждена, а ее источником могли стать сотрудники банка, поскольку серверы, на которых она размещена, не подключены к внешней сети.

В интернет утекла база данных клиентов Сбербанка, содержащая информацию о нескольких десятках миллионов владельцев кредитных карт.

Дата утечки на момент публикации материала известна не была, но объявление о продаже базы данных появилось в Рунете в последних числах сентября 2019 г.

и было обнаружено основателем компании DeviceLock по вопросам защиты информации Ашотом Оганесяном. По мнению экспертов, ознакомившихся с данными, утечка стала самой крупной в российском банковском секторе.

Как пишет «Коммерсант», кража информации могла произойти в конце августа 2019 г. Объявление было размещено на одном из русскоязычных форумов, заблокированных «Роскомнадзором».

По утверждению человека, опубликовавшего его, в предлагаемой им базе содержатся сведения о 60 млн клиентов.

В качестве пробной партии злоумышленник предлагает небольшой фрагмент этой базы – подробности о 200 клиентах банка из разных городов, которые обслуживает Уральский территориальный банк «Сбербанка».

Что содержится в базе данных

Выставленная на продажу база содержит подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Продавец утверждает, что вся БД состоит из 11 частей, по количеству территориальных банков Сбербанка. Стоимость информации – 5 руб. за каждую строку.

Скомпрометированная личная информация миллионов держателей карт Сбербанка. Источник изображения: Telegram-канал «Банкста»

«Коммерсант» убедился в подлинности информации – корреспонденты попросили продавца найти в БД свои данные, и тот предоставил им нужные сведения, совпавшие с реальными данными.

Реакция Сбербанка

Сбербанк сообщил, что получил информацию о возможной крупной утечке информации вечером 2 октября 2019 г. Он инициировал служебное расследование, итоги которого будут раскрыты дополнительно.

Специалисты финансового ведомства выдвинули основную версию инцидента – они предполагают, что кража информации о клиентах стала результатом умышленного преступления, совершенного одним или несколькими сотрудниками банка. Представители Сбербанка утверждают, что проникновение в базу данных извне попросту невозможно по причине ее «изолированности от внешней сети».

Также в банке заверили, что украденная неизвестными информация не угрожает сохранности средств клиентов, потому что не содержит коды CVV. К тому же для выполнения транзакции без предъявления самой карты в Сбербанке необходимо подтверждение в виде одноразового СМС-пароля, высылаемого на телефон владельца карты.

Мнение экспертов

По словам главы DeviceLock Ашота Оганесяна, специалисты его компании проанализировали около 240 записей из базы данных и пришли к выводу об их подлинности. Эксперты отметили, что выставленный на продажу массив информации может оказаться сохраненной частичной или полной копией базы данных Way4 – процессинговой платформы, используемой Сбербанком на протяжении практически 10 лет.

В подлинности БД уверен и неназванный источник «Коммерсанта», приближенный к Центробанку. Он назвал предложенный продавцом файл с 200 строками данных «выгрузкой базы» Сбербанка.

«Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах.

Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных», – отметил источник издания.

Возможные последствия

Ашот Оганесян сказал, что столь крупная утечка отразится на всей банковской отрасли. Расследованием произошедшего, по его мнению, займутся ЦБ России и Роскомнадзор и, возможно, правоохранительные органы.

Не исключено и подключение иностранных регуляторов: к примеру, в случае, если украденная БД содержит сведения о гражданах ЕС, то Сбербанк должен будет уведомить об инциденте Еврокомиссию, в соответствии с «Общим регламентом по защите данных» (GDPR) – постановлению ЕС, вступившему в силу в мае 2018 г.

Роскомнадзор проверит информацию о возможном нарушении российского закона о персональных данныз «в рамках своей компетенции». «Меры реагирования будут приниматься после установления признаков нарушений», – сообщили в ведомстве.

Не в первый раз

Для Сбербанка эта утечка не стала первой в его истории. К примеру, практически год назад, в конце октября 2018 г., в открытый доступ были выложены данные о 421 тыс. сотрудниках банка, включая Германа Грефа. Как и в этот раз, предположительным источником утечки был назван нынешний или бывший сотрудник банка, действовавший со злым умыслом.

Выложенная в сеть база с данными о сотрудниках Сбербанка была актуальна на 1 августа 2018 г. Иными словами, содержащаяся в ней информация на момент ее появления в интернете еще не успела устареть, и даже если часть людей, чьи имена и адреса электронной почты числятся в ней, уже сменили место работы или e-mail, то их на тот момент было явное меньшинство.

Достоверность сведений в утекшей базе уже подтвердили некоторые сотрудники банка, чьи адреса почты и имена были в этом списке. Подтверждение также поступило от представителя одной из сторонних организаций, связанной с информационной безопасностью банка.

  • Короткая ссылка
  • Распечатать

Источник: https://cnews.ru/news/top/2019-10-03_sberbank_dopustil_krupnejshuyu

Данные Сбербанка в Даркнет слил обычный коллектор. Даже не надо быть хакером..

Информация о сотрудниках Сбербанка утекла в Сеть

В ходе спецоперации МВД задержан сотрудник коллекторской организации Волгограда. Пользуясь близостью к базам данных, он скопировал и пытался “толкнуть” на одном из форумов в Даркнете довольно внушительную базу данных, скрываясь под никнеймом Антон2131. Лайф разбирался, чем грозят подобные утечки клиентам и можно ли вообще предотвратить подобное.

В начале октября появилась дурная новость о большой утечке личных данных владельцев кредиток Сбербанка. Вначале банк признал двести скомпрометированных карт, но, как потом оказалось, в Сеть утекли данные пяти тысяч карт, которые, правда, были уже перевыпущены. Тогда же был задержан сотрудник банка, укравший и продававший эту информацию…

Поэтому информация об ещё одной утечке, появившаяся 23 октября, не на шутку перепугала клиентов Сбербанка.

Но, как оказалось, сотрудники банка в этот раз оказались ни при чём: данные украл и пытался продать работник волгоградского отделения крупного коллекторского агентства. Поиски злоумышленника продлились не больше суток.

В настоящее время недохакер задержан и устанавливается его причастность к другим подобным преступлениям. На сайте МВД пока появился только ник подозреваемого — Антон2131.

Базы данных банков обычно покупают мошенники, которые, пользуясь методами социальной инженерии, выдают себя за службу поддержки банка и в телефонных разговорах выманивают у клиентов банков ПИН-коды, просят сообщить кодовое слово и прочитать банковское СМС или похищают денежные средства другими довольно изощрёнными способами.

К этим базам данных банков имеют доступ не только сами сотрудники банков, но и коллекторы, выкупающие у банков просроченные долги, а также некоторые другие партнёры и контрагенты банков.

Национальная служба взыскания“, в которой работал задержанный Антон2131, входит в тройку крупнейших коллекторских агентств России.

Компания работает почти во всех регионах России, оказывая “полный спектр услуг на всех этапах работы с просроченной задолженностью” в России и ста двадцати других странах.

С НСВ работают более девяноста крупнейших банков России, операторы телефонной связи, жилищники, страховщики и другие организации. Оборот данных в этой компании крайне высок. Этим и решил воспользоваться нечистый на руку коллектор.

Предприимчивый коллектор

Скопированные данные злоумышленник выставил на продажу на одном из форумов в Даркнете. В его объявлении о продаже говорилось, что база Сбербанка состоит из миллиона строк полных данных, включая серию и номер паспорта, прописку, адрес проживания, телефон и номер расчётного счёта.

Антон2131 был готов продавать данные в любом объёме и в любой сегментации, в том числе и территориальной. В выгрузке оказались данные десяти территориальных банков Сбербанка. Также продавец сообщил о возможности для покупателя получить аудиозаписи разговоров клиентов с кол-центрами.

Эксперты практически сразу сделали вывод, что эти данные ушли из какого-нибудь кол-центра, обеспечивающего работу с должниками.

При участии сотрудников Бюро специальных технических мероприятий МВД, ФСБ и ГУ МВД по Волгоградской области Антона2131 удалось задержать.

В настоящее время производится фиксация доказательств его причастности к преступлениям статьи 183 УК “Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну”.

“Хакер”, который не хакер…

Лайф попросил известного хакера Александра Варского прокомментировать информацию некоторых СМИ, называвших задержанного сотрудника коллекторской службы хакером.

— Антон2131 продавал информацию на форумах Даркнета или же таком форуме, как dublik, который, к примеру, спокойно существует в Интернете и даже не блокируется Роспотребнадзором.

Судя по статье, по которой его задержали, 183 УК, он не является хакером и даже сотрудником службы безопасности. “Хакерская” статья — 272 УК “Неправомерный доступ к информации”. Просто благодаря своей работе этот человек получил доступ к базе данных.

И вовсе не факт, что получилось их продать, — предполагает известный хакер.

Что же касается Сбербанка и безопасности личных данных россиян — клиентов этого крупнейшего банка страны, то Варской пояснил, что паниковать не стоит.

— Всё-таки культура безопасности у Сбербанка есть, в отличие от некоторых других банков.

Но у Сбербанка огромное количество отделений, ответвлений, бизнес-подразделений, в том числе и довольно сомнительных. И где-то оттуда надо ждать следующую утечку.

Потому что бизнес и безопасность — это несочетаемые понятия. Если очень много внимания уделять безопасности, все бизнес-процессы просто могут застопориться.

Хакер и эксперт по информационной безопасности Варской считает, что всё происходящее довольно естественно и в конце концов приведёт к тому (и уже почти привело), что продажа big data станет фактически бесполезной, поскольку мошенники просто не смогут воспользоваться этой информацией в своих целях. А сама информация давно “гуляет” по специализированным рынкам в глобальных масштабах.

— Некоторые крупные корпорации давно обмениваются такой информацией с другими компаниями и корпорациями на рынках — почти так же, как и на этих форумах в Даркнете. И эти процессы довольно трудно контролировать, поскольку корпорации в современном мире — это своего рода государства в государстве.

Ответственность за кражу данных ужесточат

— В первую очередь нужно существенно увеличивать ответственность за такие преступления. Они представляют собой общественную опасность, — поделился своим мнением с журналистами глава Сбербанка Герман Греф.

Лайф изучил судебную практику по вынесению приговоров по 183-й статье УК. И правда — в большинстве случаев (даже по третьей части) судья обычно выносит штраф от пятидесяти до ста пятидесяти тысяч рублей.

Реальное наказание в виде лишения свободы по этой статье выносится довольно редко.

Теперь, после этого скандального происшествия, Сбербанк расторгнет договор с “Национальной службой взысканий”, а также проведёт аудит систем защиты персональных данных проблемных заёмщиков, используемых подрядчиками Сбербанка.

И, как всегда, Сбербанк рекомендует клиентам быть максимально бдительными и никогда не сообщать конфиденциальные сведения (полный номер карты, PIN и СVС-код) даже самим сотрудникам банка.

Мошенники не дремлют и идут на любые уловки, чтобы выманить нужную им информацию.

Источник: https://life.ru/1250722

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.