В Сбербанке произошла крупнейшая утечка персональных данных

kommersant.ru — Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором.
Новости, Политика | Фрол 02:48 03.10.2019
47 комментариев | 180 за, 0 против |
#1 | 02:50 03.10.2019 | Кому: Всем
Персональные данные клиентов Сбербанка оказались на черном рынке. Продавцы уверяют, что владеют данными о 60 млн кредитных карт, как действующих, так и закрытых (у банка сейчас около 18 млн активных карт). Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет.

Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца, он реализует данные о более 60 млн кредитных карт. Первым объявление заметил и обратил на него внимание “Ъ” основатель DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк. “Ъ” изучил его.

В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.

Для проверки этих данных “Ъ” нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.

По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 руб. Для проверки гипотезы корреспонденты “Ъ” попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Источник “Ъ”, близкий к ЦБ, изучив «пробник», выразил уверенность в том, что он является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. По словам других собеседников “Ъ”, специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти из банка.

«Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах,— указывает собеседник “Ъ” в крупном банке.— Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных». По словам другого источника, информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы». Еще один эксперт отметил, что чисто теоретически такие данные могут быть получены путем склеивания данных с точки выдачи карт и данных из процессинга, но в данном случае это маловероятно, учитывая объем данных. «Если это и подделка, то очень качественная»,— указал еще один эксперт.

Ашот Оганесян утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». По его мнению, база может являться сохраненной копией (полной или нет) базы данных продукта Way4.

По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию, указывает господин Оганесян.

В ЦБ не ответили на запрос “Ъ”. В Роскомнадзоре обещают «в рамках своей компетенции» проверить информацию о возможном нарушении законодательства о персональных данных. «Меры реагирования будут приниматься после установления признаков нарушений»,— заявили в ведомстве.

Пока статья готовилась к выпуску, Сбербанк выпустил пресс-релиз, сообщив о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников.

Дополнительно в Сбербанке пояснили “Ъ”, что изучается подлинность информации и пока нет ясности, подлинная она или нет. Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объём активных кредитных карт в несколько раз меньше».

Похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, пояснили там, а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Karhashim
надзор »
#2 | 03:07 03.10.2019 | Кому: Всем
Это же биг-дата и блок-чейн по-грефовски! Каждый участник хранит у себя данные обо всех остальных.
#3 | 03:14 03.10.2019 | Кому: Всем
Ресурс заблокирован Роскомнадзором, а туда ходят, все кому не лень, выкладывают что попало, покупают, что пожелают. Может, не его, не роскомнадзоровское это - роскомнадзорить?
#4 | 03:16 03.10.2019 | Кому: Всем
И че теперь, Грефу в отставку подавать?
#5 | 03:53 03.10.2019 | Кому: Всем
Ресурс заблокирован Роскомнадзором, а КоммерсантЪ туда зашёл и узнал о продаже базы. Добропорядочные граждане так не поступают! Надо бы их самих того, заблокировать :)
#6 | 03:54 03.10.2019 | Кому: Andjey
Ты просто не понимаешь, как оно работает. Раз ресурс заблокирован, значит, его не существует. И данных на нем не существует. Значит, расследовать нечего. Проблема решена. Вот двести записей журналисты вытащили - они существуют, по ним сбер пресс-релиз выкатил.
#7 | 03:54 03.10.2019 | Кому: Shnyrik
Зря ты думаешь, что это шутка
#8 | 04:00 03.10.2019 | Кому: Всем
Сбер отмазывается

2 октября 2019 года, Москва — Сбербанк сообщает о возможной утечке персональных данных клиентов.

Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.

В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.
Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.


[censored]

"Какие миллионы? Всего-то 200 штук."
#9 | 04:01 03.10.2019 | Кому: Сибирский Кошак
> Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.

Ну ещё бы они заявили что-то другое
#10 | 04:02 03.10.2019 | Кому: rahs
[пытается пропихнуть свою сберкарту в шреддер]
#11 | 04:08 03.10.2019 | Кому: Сибирский Кошак
Чего там пытаться, большинство шредеров карты жрать умеют.
И всё равно не поможет!
#12 | 04:51 03.10.2019 | Кому: rahs
> > Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.

Ага. У меня как раз в середине сентября 4800 увели с кредитки, и у жены 3000. Вот только недавно вернули.
Сберу надо банковскими делами заниматься, а не всякой херней типа ИИ итд.
#13 | 04:54 03.10.2019 | Кому: несмышленыш
> Вот только недавно вернули.

Это тебе несказанно повезло
#14 | 05:03 03.10.2019 | Кому: несмышленыш
> в середине сентября 4800

[утер пот! посмотрел на календарь, узбагоился]
#15 | 05:10 03.10.2019 | Кому: rahs
> > Вот только недавно вернули.
>
> Это тебе несказанно повезло

Надо закрывать долги и валить из этой клоаки в нормальный банк.
#16 | 05:17 03.10.2019 | Кому: несмышленыш
Ты его ещё найди, нормальный-то
pyth2000
не фашист »
#17 | 05:41 03.10.2019 | Кому: Всем
Набор полей там, конечно, огонь. Можно даже данные карт оттуда убрать, все равно пиздец.
#18 | 06:16 03.10.2019 | Кому: Всем
Прощелкала внутренняя безопасность жадного сотруднка-то. Надеюсь, его поймают и закопают.
dio45rus
надзор »
#19 | 06:19 03.10.2019 | Кому: Smokva
С их текучкой кадров и зарплатой - никакой внутренней безопасности не справиться.
#20 | 06:21 03.10.2019 | Кому: Smokva
> Прощелкала внутренняя безопасность жадного сотруднка-то.

Эээ! На Грефа бочку не кати, он неуиновник!

> Надеюсь, его поймают и закопают.


Толку-то чуть. 60 миллионов да по пять рублей, да продать можно не по одному разу - желающие всегда найдутся.
#21 | 06:38 03.10.2019 | Кому: Всем
Вот в ЕС, за такую утечку данных полагается штраф в 4% от годового оборота , а кто-то может и конкретно присесть :) Вычесть бы такие денежки из зарплаты Грефа, может что-то и поменялось бы?
#22 | 06:49 03.10.2019 | Кому: eric.romanoff
У нас не ЕС, у нас духовность!
#23 | 06:52 03.10.2019 | Кому: Andjey
Что за ресурс? Ужас как интересно. Намекни пожалуйста.
#24 | 06:57 03.10.2019 | Кому: Всем
У правления Сбера гораздо важнее вопросы есть - фантазии грефовы реализовывать, "бигдату" и "искусственный интеллект" имитировать.
Государственные миллиарды и народные копейки сами не своруются и не распилятся.

Понимать надо - люди важным делом заняты, не до информ.безопасность и сохранности денег вкладчиков им.

P.S.
Сбербанк 14 декабря утвердил новую стратегию развития: банк должен превратиться в универсальную технологическую компанию и вступить в конкуренцию за клиентов с Google, Apple, Facebook, Amazon


[смеётся]

"И смех, и Греф" (с)
#25 | 07:08 03.10.2019 | Кому: Simple_qwerty
В одном заблокированном мессенджере есть канал, посвященный утечкам информации.
То что долетает до нас через сми - вершинка айсберга.
#26 | 07:19 03.10.2019 | Кому: dio45rus
В центральном аппарате с зарплатой всё ок.
#27 | 07:35 03.10.2019 | Кому: Всем
> По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы.

Вот это особо умиляет. ПД миллионов граждан несанкционированно используются - а правоохранители ВОЗМОЖНО (но это неточно) займутся своей работой.
#28 | 07:52 03.10.2019 | Кому: Всем
Была зарплатная карта от сбера, срок годности вышел.
По религиозным соображениям попросил бухгалтерию присылать деньги в другой банк.
Новый банк, не совсем типичный банк, скорее инвестиционная контора.
К карте прибито три счета, евро, доллар, рубль.
Открытые соответственно в дойче банке, голдман сакс, и непосредственно в эНтом банке.
Очень удобно покупать/продавать валюту по курсу ЦБ без комиссии прямо в личном кабинете.
Снять/положить на карту наличную валюту можно в их банкоматах.
Да, комиссия, при переводе на счета других банков.
Но, все платежи без комиссии, по аналогии со сбером, в том же л/к.
Дискомфорта не ощутил.

И да, это конечно ничего не гарантирует 8) но этот банк-не банк существует с 1996 года.
Нормально так, рекламнул 8))
Ringo
шутил про красные линии »
#29 | 07:56 03.10.2019 | Кому: несмышленыш
> Надо закрывать долги и валить из этой клоаки в нормальный банк.

Надо наличкой расплачиваться. Хотя, как раз с ней бороться думают. Совпадение?
#30 | 08:05 03.10.2019 | Кому: Ringo
> Совпадение?

Нет
#31 | 08:24 03.10.2019 | Кому: dio45rus
Там ведь наверное не каждый рядовой опреационист доступ ко всей базе имеет, а шишкм покрупнее. Или у шишек все так же плохо с текучкой и зарплатами? Что тут сказать, эффективное руководство издалека видно.
#32 | 08:38 03.10.2019 | Кому: GROM
> У правления Сбера гораздо важнее вопросы есть - фантазии грефовы реализовывать, "бигдату" и "искусственный интеллект" имитировать.
> Государственные миллиарды и народные копейки сами не своруются и не распилятся.

Подобная утечка это конечно лютый фейл. Но с технологиями в сбере все норм, в топе российских банков по технологичности процессов, да и среди европейских, по оценкам тех же Gartner например. Греф свои фантазии вполне успешно реализует, эффективный ) Многие даже не представляют, насколько больший бардак в европейских финансовых структурах творится, несмотря на всю зарегулированность и дикие штрафы в случае чего.
#33 | 08:44 03.10.2019 | Кому: БэкИнБлэк
Спасибо! Все ч0тко!
#34 | 08:45 03.10.2019 | Кому: Smokva
> Там ведь наверное не каждый рядовой опреационист доступ ко всей базе имеет, а шишкм покрупнее.

Это не рядовой операционист слил, это или начальник админов, или безопасников. Не топ, но и не линейный сотрудник, при этом из IT.
#35 | 08:51 03.10.2019 | Кому: Всем
Программисты не нужны! (с) Греф
#36 | 09:17 03.10.2019 | Кому: Всем
Ах, как же так! Уже и модели угроз пишут, и 10500 журналов учета всякой хуйни заведено, но нет! Ничего не помогает!
dio45rus
надзор »
#37 | 09:58 03.10.2019 | Кому: andre.bliz
[censored]
#38 | 10:44 03.10.2019 | Кому: Beefeater
> > Там ведь наверное не каждый рядовой опреационист доступ ко всей базе имеет, а шишкм покрупнее.
>
> Это не рядовой операционист слил, это или начальник админов, или безопасников. Не топ, но и не линейный сотрудник, при этом из IT.

Не обязательно. Тут главное получить логины-пароли доступа тех сотрудников, которые имеют доступ к архивам-бэкапам либо физический доступ в аппаратную к серверу бэкапов. Не нужно ломать базы, запросами скачивать данные - зачем? Бэкапы делаются? Делаются. Скопировал бэкап, унёс, поднял в нужном месте. Можно даже горячее на руках не иметь - купил хостинг, поднял сервер, залил базу (выбросил палевный бэкап), настроил доступ и ходишь к нему через ТОR/ цепочку взломанных компьютеров.

Может этот некто специально в Сбер устроился, рядовым админом например. Узнал, где лежит ключ от серверной и... ) Может даже и не админом - поставил кей-логгер, написал заявку, чтобы установили программу, пришёл админ вбил логин/пароль на запуск установки... Если у этой учетки не просто права на установку, а может это вообще учётка админа - тоже отлично. ) Сколько таких нарушений безопасности? Да не сосчитать!
#39 | 11:05 03.10.2019 | Кому: Rubberman
Там всё идеально! Вотт так сказать взгляд изнутри![censored]
#40 | 11:57 03.10.2019 | Кому: глюкер
> Сколько таких нарушений безопасности? Да не сосчитать!

Камрад. Как у айтишника, твой коммент вызвал у меня сразу несколько возражений чуть ли не по каждому твоему предложению. Начиная от разделения офисных и датацентровских админов/учёток, заканчивая мониторингом действий любых пользователей на сервере/видеонаблюдения/мониторингом самих серверов. А уж в банках с безопасностью всё ещё суровей.
#41 | 12:14 03.10.2019 | Кому: Beefeater
> А уж в банках с безопасностью всё ещё суровей.

Сам утверждать не буду, но неоднократно видел уверения тех, кто по их словам работает/работал в банках, что там такой же бардак, а может даже и похлеще, чем в обычных частных конторах. )
#42 | 13:33 03.10.2019 | Кому: глюкер
> Сколько таких нарушений безопасности? Да не сосчитать!

Вполне себе сосчитать, тащемта:

In its latest report on the cyber threat landscape, cybersecurity intelligence firm IntSights reveals that among its sample of financial services customers, the number of batches of leaked credit card numbers jumped from just over 3,000 instances in the first quarter of 2018 to almost 10,000 a year later.

That represents a 212 percent increase or more than triple the number of leaks.

It also includes a jump of more than 50 percent from just the previous quarter, when Q4 2018 leaks numbered about 6,400 batches.

[censored]


Ну и как это бывает обычно:

A software engineer in Seattle hacked into a server holding customer information for Capital One and obtained the personal data of over 100 million people, federal prosecutors said on Monday, in one of the largest thefts of data from a bank.

In addition to the tens of millions of credit card applications stolen, the company said on Monday, the breach compromised one million Canadian social insurance numbers — the equivalent of Social Security numbers for Americans.

The information came from credit card applications that consumers and small businesses had submitted as early as 2005 and as recently as 2019, according to Capital One, which is the nation’s third-largest credit card issuer, according to its website.

The bank also said it expected that the breach would cost it up to $150 million, including paying for credit monitoring for affected customers. Last week, the credit bureau Equifax settled claims from a 2017 data breach that exposed sensitive information on over 147 million consumers, costing it about $650 million.

[censored]


Ну и не так давно был случай, когда больше 1 миллиона южнокорейских карт слили вместе с кодами CVV.
#43 | 16:22 03.10.2019 | Кому: Beefeater
> Это не рядовой операционист слил, это или начальник админов, или безопасников.

Слил тот, у кого физдоступ к шкафу с бэкапами БД есть.
#44 | 18:54 03.10.2019 | Кому: dse
> > Это не рядовой операционист слил, это или начальник админов, или безопасников.
>
> Слил тот, у кого физдоступ к шкафу с бэкапами БД есть.

Вы ещё не шифруете свои бэкапы?! Тогда мы идём к вам!!!
#45 | 20:04 03.10.2019 | Кому: Beefeater
> > Слил тот, у кого физдоступ к шкафу с бэкапами БД есть.

> Вы ещё не шифруете свои бэкапы?! Тогда мы идём к вам!!!


Это в Сбере их не шифруют.
#46 | 08:15 04.10.2019 | Кому: Всем
вот эти граждане усиленно убеждают сдавать биометрию, красота.
#47 | 14:34 04.10.2019 | Кому: Всем
Хм, мне как раз мошенники вчера звонили, рассказывали сказки про перевод денег третьему лицу ))
Войдите или зарегистрируйтесь чтобы писать комментарии.