Информация о сотрудниках Сбербанка утекла в Сеть
В сбербанке крупнейшая утечка в истории российского банковского сектора
9409
03.10.2019, Чт, 11:24, Мск , Эльяс Касми
Неизвестный злоумышленник выложил на продажу базу данных с украденными сведениями о 60 млн клиентах Сбербанка. Подлинность информации подтверждена, а ее источником могли стать сотрудники банка, поскольку серверы, на которых она размещена, не подключены к внешней сети.
В интернет утекла база данных клиентов Сбербанка, содержащая информацию о нескольких десятках миллионов владельцев кредитных карт.
Дата утечки на момент публикации материала известна не была, но объявление о продаже базы данных появилось в Рунете в последних числах сентября 2019 г.
и было обнаружено основателем компании DeviceLock по вопросам защиты информации Ашотом Оганесяном. По мнению экспертов, ознакомившихся с данными, утечка стала самой крупной в российском банковском секторе.
Как пишет «Коммерсант», кража информации могла произойти в конце августа 2019 г. Объявление было размещено на одном из русскоязычных форумов, заблокированных «Роскомнадзором».
По утверждению человека, опубликовавшего его, в предлагаемой им базе содержатся сведения о 60 млн клиентов.
В качестве пробной партии злоумышленник предлагает небольшой фрагмент этой базы – подробности о 200 клиентах банка из разных городов, которые обслуживает Уральский территориальный банк «Сбербанка».
Что содержится в базе данных
Выставленная на продажу база содержит подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Продавец утверждает, что вся БД состоит из 11 частей, по количеству территориальных банков Сбербанка. Стоимость информации – 5 руб. за каждую строку.
Скомпрометированная личная информация миллионов держателей карт Сбербанка. Источник изображения: Telegram-канал «Банкста»
«Коммерсант» убедился в подлинности информации – корреспонденты попросили продавца найти в БД свои данные, и тот предоставил им нужные сведения, совпавшие с реальными данными.
Реакция Сбербанка
Сбербанк сообщил, что получил информацию о возможной крупной утечке информации вечером 2 октября 2019 г. Он инициировал служебное расследование, итоги которого будут раскрыты дополнительно.
Специалисты финансового ведомства выдвинули основную версию инцидента – они предполагают, что кража информации о клиентах стала результатом умышленного преступления, совершенного одним или несколькими сотрудниками банка. Представители Сбербанка утверждают, что проникновение в базу данных извне попросту невозможно по причине ее «изолированности от внешней сети».
Также в банке заверили, что украденная неизвестными информация не угрожает сохранности средств клиентов, потому что не содержит коды CVV. К тому же для выполнения транзакции без предъявления самой карты в Сбербанке необходимо подтверждение в виде одноразового СМС-пароля, высылаемого на телефон владельца карты.
Мнение экспертов
По словам главы DeviceLock Ашота Оганесяна, специалисты его компании проанализировали около 240 записей из базы данных и пришли к выводу об их подлинности. Эксперты отметили, что выставленный на продажу массив информации может оказаться сохраненной частичной или полной копией базы данных Way4 – процессинговой платформы, используемой Сбербанком на протяжении практически 10 лет.
В подлинности БД уверен и неназванный источник «Коммерсанта», приближенный к Центробанку. Он назвал предложенный продавцом файл с 200 строками данных «выгрузкой базы» Сбербанка.
«Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах.
Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных», – отметил источник издания.
Возможные последствия
Ашот Оганесян сказал, что столь крупная утечка отразится на всей банковской отрасли. Расследованием произошедшего, по его мнению, займутся ЦБ России и Роскомнадзор и, возможно, правоохранительные органы.
Не исключено и подключение иностранных регуляторов: к примеру, в случае, если украденная БД содержит сведения о гражданах ЕС, то Сбербанк должен будет уведомить об инциденте Еврокомиссию, в соответствии с «Общим регламентом по защите данных» (GDPR) – постановлению ЕС, вступившему в силу в мае 2018 г.
Роскомнадзор проверит информацию о возможном нарушении российского закона о персональных данныз «в рамках своей компетенции». «Меры реагирования будут приниматься после установления признаков нарушений», – сообщили в ведомстве.
Не в первый раз
Для Сбербанка эта утечка не стала первой в его истории. К примеру, практически год назад, в конце октября 2018 г., в открытый доступ были выложены данные о 421 тыс. сотрудниках банка, включая Германа Грефа. Как и в этот раз, предположительным источником утечки был назван нынешний или бывший сотрудник банка, действовавший со злым умыслом.
Выложенная в сеть база с данными о сотрудниках Сбербанка была актуальна на 1 августа 2018 г. Иными словами, содержащаяся в ней информация на момент ее появления в интернете еще не успела устареть, и даже если часть людей, чьи имена и адреса электронной почты числятся в ней, уже сменили место работы или e-mail, то их на тот момент было явное меньшинство.
Достоверность сведений в утекшей базе уже подтвердили некоторые сотрудники банка, чьи адреса почты и имена были в этом списке. Подтверждение также поступило от представителя одной из сторонних организаций, связанной с информационной безопасностью банка.
- Короткая ссылка
- Распечатать
Источник: https://cnews.ru/news/top/2019-10-03_sberbank_dopustil_krupnejshuyu
Данные Сбербанка в Даркнет слил обычный коллектор. Даже не надо быть хакером..
В ходе спецоперации МВД задержан сотрудник коллекторской организации Волгограда. Пользуясь близостью к базам данных, он скопировал и пытался “толкнуть” на одном из форумов в Даркнете довольно внушительную базу данных, скрываясь под никнеймом Антон2131. Лайф разбирался, чем грозят подобные утечки клиентам и можно ли вообще предотвратить подобное.
В начале октября появилась дурная новость о большой утечке личных данных владельцев кредиток Сбербанка. Вначале банк признал двести скомпрометированных карт, но, как потом оказалось, в Сеть утекли данные пяти тысяч карт, которые, правда, были уже перевыпущены. Тогда же был задержан сотрудник банка, укравший и продававший эту информацию…
Поэтому информация об ещё одной утечке, появившаяся 23 октября, не на шутку перепугала клиентов Сбербанка.
Но, как оказалось, сотрудники банка в этот раз оказались ни при чём: данные украл и пытался продать работник волгоградского отделения крупного коллекторского агентства. Поиски злоумышленника продлились не больше суток.
В настоящее время недохакер задержан и устанавливается его причастность к другим подобным преступлениям. На сайте МВД пока появился только ник подозреваемого — Антон2131.
Базы данных банков обычно покупают мошенники, которые, пользуясь методами социальной инженерии, выдают себя за службу поддержки банка и в телефонных разговорах выманивают у клиентов банков ПИН-коды, просят сообщить кодовое слово и прочитать банковское СМС или похищают денежные средства другими довольно изощрёнными способами.
К этим базам данных банков имеют доступ не только сами сотрудники банков, но и коллекторы, выкупающие у банков просроченные долги, а также некоторые другие партнёры и контрагенты банков.“Национальная служба взыскания“, в которой работал задержанный Антон2131, входит в тройку крупнейших коллекторских агентств России.
Компания работает почти во всех регионах России, оказывая “полный спектр услуг на всех этапах работы с просроченной задолженностью” в России и ста двадцати других странах.
С НСВ работают более девяноста крупнейших банков России, операторы телефонной связи, жилищники, страховщики и другие организации. Оборот данных в этой компании крайне высок. Этим и решил воспользоваться нечистый на руку коллектор.
Предприимчивый коллектор
Скопированные данные злоумышленник выставил на продажу на одном из форумов в Даркнете. В его объявлении о продаже говорилось, что база Сбербанка состоит из миллиона строк полных данных, включая серию и номер паспорта, прописку, адрес проживания, телефон и номер расчётного счёта.
Антон2131 был готов продавать данные в любом объёме и в любой сегментации, в том числе и территориальной. В выгрузке оказались данные десяти территориальных банков Сбербанка. Также продавец сообщил о возможности для покупателя получить аудиозаписи разговоров клиентов с кол-центрами.
Эксперты практически сразу сделали вывод, что эти данные ушли из какого-нибудь кол-центра, обеспечивающего работу с должниками.
При участии сотрудников Бюро специальных технических мероприятий МВД, ФСБ и ГУ МВД по Волгоградской области Антона2131 удалось задержать.
В настоящее время производится фиксация доказательств его причастности к преступлениям статьи 183 УК “Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну”.
“Хакер”, который не хакер…
Лайф попросил известного хакера Александра Варского прокомментировать информацию некоторых СМИ, называвших задержанного сотрудника коллекторской службы хакером.
— Антон2131 продавал информацию на форумах Даркнета или же таком форуме, как dublik, который, к примеру, спокойно существует в Интернете и даже не блокируется Роспотребнадзором.
Судя по статье, по которой его задержали, 183 УК, он не является хакером и даже сотрудником службы безопасности. “Хакерская” статья — 272 УК “Неправомерный доступ к информации”. Просто благодаря своей работе этот человек получил доступ к базе данных.
И вовсе не факт, что получилось их продать, — предполагает известный хакер.
Что же касается Сбербанка и безопасности личных данных россиян — клиентов этого крупнейшего банка страны, то Варской пояснил, что паниковать не стоит.
— Всё-таки культура безопасности у Сбербанка есть, в отличие от некоторых других банков.
Но у Сбербанка огромное количество отделений, ответвлений, бизнес-подразделений, в том числе и довольно сомнительных. И где-то оттуда надо ждать следующую утечку.
Потому что бизнес и безопасность — это несочетаемые понятия. Если очень много внимания уделять безопасности, все бизнес-процессы просто могут застопориться.
Хакер и эксперт по информационной безопасности Варской считает, что всё происходящее довольно естественно и в конце концов приведёт к тому (и уже почти привело), что продажа big data станет фактически бесполезной, поскольку мошенники просто не смогут воспользоваться этой информацией в своих целях. А сама информация давно “гуляет” по специализированным рынкам в глобальных масштабах.— Некоторые крупные корпорации давно обмениваются такой информацией с другими компаниями и корпорациями на рынках — почти так же, как и на этих форумах в Даркнете. И эти процессы довольно трудно контролировать, поскольку корпорации в современном мире — это своего рода государства в государстве.
Ответственность за кражу данных ужесточат
— В первую очередь нужно существенно увеличивать ответственность за такие преступления. Они представляют собой общественную опасность, — поделился своим мнением с журналистами глава Сбербанка Герман Греф.
Лайф изучил судебную практику по вынесению приговоров по 183-й статье УК. И правда — в большинстве случаев (даже по третьей части) судья обычно выносит штраф от пятидесяти до ста пятидесяти тысяч рублей.
Реальное наказание в виде лишения свободы по этой статье выносится довольно редко.
Теперь, после этого скандального происшествия, Сбербанк расторгнет договор с “Национальной службой взысканий”, а также проведёт аудит систем защиты персональных данных проблемных заёмщиков, используемых подрядчиками Сбербанка.
И, как всегда, Сбербанк рекомендует клиентам быть максимально бдительными и никогда не сообщать конфиденциальные сведения (полный номер карты, PIN и СVС-код) даже самим сотрудникам банка.
Мошенники не дремлют и идут на любые уловки, чтобы выманить нужную им информацию.
Источник: https://life.ru/1250722