сбербанк сливает номера телефонов клиентов
СМИ обнаружили новую утечку данных клиентов Сбербанка
В даркнете появились две базы данных, в которых содержится информация о 20 тыс. и 100 тыс. клиентов Сбербанка соответственно, сообщают «Известия». Предварительная проверка показала, что по меньшей мере одна из них подлинная.
Одна база данных была опубликована 12 февраля. Как указывает издание, продавец в описании заявил, что у него есть 20 тыс. записей о клиентах Сбербанка, проживающих в Уральском и Приволжском федеральных округах, стоимостью 35 руб. каждая. В распоряжении «Известий» оказался тестовый фрагмент этой базы из десяти записей. Каждая содержит название банковского подразделения, полные ФИО, номер счета, паспортные данные, дату рождения и телефоны.
Еще одна база на теневом форуме содержала данные о 100 тыс. клиентов. Проверить ее подлинность не удалось, так как владелец отказался предоставить тестовый фрагмент, пишут «Известия». РБК обратился за комментарием в Сбербанк.
Эксперт «Лаборатории Касперского» Сергей Голованов пояснил, что информация, которая содержится в базах, не позволяет напрямую списывать средства со счетов или оплачивать покупки. Однако эти данные вполне пригодятся использующим социальную инженерию и телефонным мошенникам. К примеру, они могут предложить сверить паспортные данные и в процессе выяснить CVC-код и одноразовый пароль.
Заместитель генерального директора компании по кибербезопасности Zecurion Александр Ковалев заявил, что обычно такие базы данных выставляются на продажу самими сотрудниками кредитных организаций.
В Сбербанке заявили РБК, что проверяют информацию об утечке. «Ежедневно в Сети появляются десятки сообщений с предложением продать базы данных клиентов различных банков и компаний. Мы проверяем информацию, о которой идет речь в публикации, там есть данные, ранее уже предлагавшиеся к продаже на теневом рынке и относящиеся к 2015–2016 годам. Сбербанк не являлся источником утечки этих данных», — сообщили в банке.
В начале октября Сбербанк признал утечку данных клиентов в виде 5 тыс. учетных записей кредитных карт. Впоследствии было установлено, что хищение данных совершил один из сотрудников банка, который имел к ним доступ.
Позднее, 23 октября, стало известно об утечке базы данных клиентов Сбербанка, где были накоплены сведения о заемщиках с 2015 года по настоящее время. Всего в Сети оказалось данных на 11,5 тыс. клиентов. Как выяснилось, в этой утечке был виноват сотрудник одного из коллекторских агентств, с которым работал банк.
Персональные данные 60 млн клиентов Сбербанка утекли в сеть
По данным издания «Коммерсантъ», база данных с подробной информацией о владельцах 60 млн кредитных карт, как действующих, так и закрытых Сбербанка оказалась на черном рынке. Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет, никаких внешних кибератак не зафиксировано. Сбербанк сообщает о проводимых мероприятиях в связи с возможной утечкой информации.
Обновление [на 5.10.19]: добавлены в конце публикации комментарии Роскомнадзора и компании OpenWay, которая занимается разработкой программного обеспечения WAY4 для Сбербанка, Сбербанк нашел виновного в утечке данных клиентов.
Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца в объявлении, в базе данных содержится информация о более 60 млн кредитных карт. Потенциальным покупателям продавец предлагал пробный фрагмент выборки из базы в составе двухсот строк. По информации специалистов компании DeviceLock, которые первыми обнаружили такую масштабную утечку, данный фрагмент содержал данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.
База разбита на 11 частей (именно столько у Сбербанка сейчас территориальных банков). Каждая отдельная строка продается за пять рублей.
Для проверки гипотезы корреспонденты издания “Коммерсантъ” попросили продавца найти в базе свои данные. Вскоре им была предоставлена информация о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Специалисты из центробанка также изучили «пробник» и выразили уверенность в том, что эта таблица является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. Таким образом, по словам специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти только из самого банка.
«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка, набор полей действительно поражает», — заявили в компании DeviceLock.
Последствия такой большой утечки данных будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию.
Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объём активных кредитных карт в несколько раз меньше (у банка сейчас около 18 млн активных карт)».
Пресс-релиза Сбербанка по утечке данных
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.
В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.
По заявлению Сбербанка, похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Фрагмент таблицы с некоторыми строками из этой базы содержит такие данные:
Заявление Сбербанка в FB (Мы приносим свои извинения за эту ситуацию и обязательно будем держать вас в курсе нашего расследования):
По данным нового пресс-релиза для СМИ и слов первого заместителя председателя правления Сбербанка Александра Ведяхина:
1. В интернет действительно попали технические данные по учетным записям кредитных карт. Данные по зарплатным или социальным картам не были затронуты.
2. На данный момент подтверждена утечка записей по кредитным картам 200 клиентов. Пострадавших клиентов уведомили об утечке, их карты были перевыпущены. Банк не зафиксировал ни одной мошеннической операции по этим картам.
3. Информацию об утечке персональных данных 60 млн клиентов банк не подтверждает и считает ее «несколько некорректной из-за многочисленных несовпадений». Банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.
4. «Сбербанк работает с правоохранительными органами, Центральным банком и Роскомнадзором для скорейшего раскрытия преступления». Также была проведена проверка всех систем банка без исключения. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.
5. В утечке подозревают одного из сотрудников, обладавшего правами администратора.
Реакция на проблему с утечкой от РКН
Роскомнадзор потребовал от Сбербанка предоставить информацию, касающуюся возможной утечки персональных данных 60 млн клиентов кредитного учреждения.
Как говорится в сообщении пресс-службы Роскомнадзора, поступившей в «Интерфакс» 3 октября 2019 года, федеральная служба направила Сбербанку письмо с требованием предоставить информацию о причинах этого инцидента, о виновных в этом ЧП, а также о том, что какие меры принимаются для ликвидации последствий утечки.
Между тем, по данным Роскомнадзора, в свободном доступе данной базы нет. Расследование инцидента продолжается. Доступ к указанному ресурсу (на котором опубликовали персональные данные) ограничивается на территории России с апреля 2019 года по основаниям, не связанным с нарушениями в сфере персональных данных.
Комментарий для Хабра представителя компании OpenWay, которая занимается разработкой программного обеспечения WAY4 для Сбербанка
Основную версию инцидента – хищение данных сотрудником банка – мы комментировать не можем. По нашей информации, данные могли быть скопированы из внешнего корпоративного хранилища данных, за периметром WAY4.
Что касается самой системы WAY4, она имеет сертификат PA DSS – он означает, что система поддерживает шифрование наиболее критичных для потенциальных мошенников данных, таких как номера карт, ПИН-коды и других данных. Мы всегда тесно взаимодействуем с клиентами, но по данному вопросу Банк к нам не обращался.
Согласно сообщению самого Сбербанка на его официальной странице в FB, утечка данных затронула не более 200 клиентов банка. «Средства на кредитных картах всех наших клиентов, включая тех, чьи данные попали в сеть, в безопасности. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.»
Сбербанк нашел виновного в утечке данных клиентов
Банк утверждает, что виновный — сотрудник кредитной организации, который руководил «сектором в одном из бизнес-подразделений банка». Сбербанк совместно с правоохранительными органами установил виновного в утечке персональных данных клиентов. Об этом говорится в поступившем в издание «РБК» сообщении от банка.
По информации кредитной организации, им стал сотрудник банка 1991 года рождения, «руководитель сектора в одном из бизнес-подразделений банка». Банк утверждает, что у работника был доступ к базам данных клиентов в связи со своими обязанностями, и что он пытался украсть информацию о клиентах «в корыстных целях».
По данным из банка сотрудник дал признательные показания, правоохранительные органы ведут с ним процессуальные действия. В банке заверили, что дальнейшей угрозы утечки, кроме уже ушедших в Сеть данных о картах 200 клиентов, нет.
«Мы сделали серьезные выводы и кардинально усиливаем контроль доступа к работе наших систем сотрудников банка, чтобы минимизировать влияние человеческого фактора», — приводятся в сообщении слова президента кредитной организации Германа Грефа. Он заявил, что преступление было раскрыто «в течение считанных часов».
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное: