Сбербанк нашёл виновного в утечке данных клиентов — им оказался один из сотрудников компании Материал редакции

В банке подчеркнули, что утечка коснулась только 200 клиентов. Ранее СМИ сообщали об объявлении о продаже данных 60 миллионов кредитных карт.

В закладки

Сбербанк закончил внутреннее расследование утечки персональных данных 200 клиентов и нашёл виновного. Им оказался руководитель сектора в одном из бизнес-подразделений банка , у которого был доступ к базам данных.

По словам пресс-службы Сбербанка, 28-летний сотрудник признался, что «попытался осуществить хищение клиентской информации в корыстных целях». Теперь им занимаются правоохранительные органы.

В компании подчеркнули, что дальнейшей угрозы утечки данных, помимо информации о кредитных картах 200 клиентов, нет, и угроз для сохранности средств клиентов не было. Ранее «Коммерсантъ» со ссылкой на компанию DeviceLock рассказал об объявлении о продаже данных 60 миллионов клиентов Сбербанка. В тестовом фрагменте было 200 строк — банк подтвердил только эту утечку.

{ "author_name": "Женя Кузьмин", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u0441\u0431\u0435\u0440\u0431\u0430\u043d\u043a","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 36, "likes": 24, "favorites": 6, "is_advertisement": false, "subsite_label": "news", "id": 119724, "is_wide": true, "is_ugc": false, "date": "Sat, 05 Oct 2019 21:18:58 +0300", "is_special": false }
0
{ "id": 119724, "author_id": 20443, "diff_limit": 1000, "urls": {"diff":"\/comments\/119724\/get","add":"\/comments\/119724\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/119724"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 245416, "last_count_and_date": null }
36 комментариев
Популярные
По порядку
Написать комментарий...
13

Один ньюанс, журналисты запрашивали свои данные у этих хакеров и получали их, хотя не входили в изначально опубликованные 200 карт.

Ответить
15

Тоже думаешь, что Сбер пиздит?

Ответить
8

Не, что ты, там же доступ к таким данным вообще только у том менеджеров

Ответить
5

Я не думаю, я уверен, чтоб Сберб пиздит.

Ответить
1

1. Журналисты не запрашивали никаких данных.
2. DeviceLock рассказала, что проанализировала около 240 записей из предполагаемых 60 миллионов и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке.
3. Проанализировали как раз таки эти самые 200-300 строк, из которых можно делать вывод только о совпадении 200-300 строк, но никак не о фантастических 60 млн! Чеуж мелочиться, можно было и озвучить в 100 миллиардов данных, все равно бы схавали)
4. Из всей этой инфы можно сделать только один вывод - была слита база только в 200-300 строк, их же анализировали, их же и подтвердили и в Сбере, и в DeviceLock.
5. Ну и как то слабо предсставляется, что можно единоразово слить все данные всех клиентов одно банка по всей стране - такая инфа не хранится централизовано в одном месте как минимум.
6. Цифра в 60 млн - явно взята с потолка и не от большого ума самого сливщика, дабы набить себе ценник.

Ответить
1

«Коммерсантъ» запрашивал, ну как минимум, они так писали 

Ответить
1

Просят своего человека в сбере посмотреть в базе инфу и сфоткать/надиктовать

Ответить
13

Надо было им предоставить тестовый образец из 60 миллионов записей

Ответить
0

Пусть выложат, будет справедливо)

Ответить
5

Было бы забавно, если в этих 200 аккаунтах попался бы резидент ЕС. По GDPR так смачно бы прилетело, что проще было бы этому человеку квартиру купить

Ответить
1

Другое дело, что резидент ЕС не настолько дурак, чтоб брать кредит в РФ.

Ответить
5

Я мы 28-летний сотрудник Сбербанка. Не дадим случиться полицейскому произволу!

Ответить
1

Даже если у него был доступ к базам, как он их вынес? На компе с доступом интернета нет. Флешки не запрещены чтоли?

Ответить
1

Очень сомневаюсь что на пк с доступом нет инета

Ответить
2

Иначе никакой PCI DSS не пройти. Даже в газпромах всяких для инета используется отдельная цитрикс сессия, куда ничего не проброшено. Совершенно другая сеть и ОСь

Ответить
0

Регулярно работаю в банках, в том числе с ПД.
Если ПД не обезличены - Отсутствие интернета и удалёнки это норма в такой среде.

Ответить
0

Тоже работаю, помимо клиентской инфы есть ещё много всего, что попадает под банковскую тайну и что крутится у меня на пк - с доступом к инету и все такое

Ответить
0

Скажи, что за банк. Давно проверки не было?

Ответить
0

Ну знаешь, NDA, все дела. Возможно мы просто говорим про разные вещи - как ты представляешь работу тех же аналитиков без интернета? Базы, которыми они пользуются под банк. тайну точно попадают. Тот же риск менеджмент тоже должен быть весь без интернета?

Ответить
1

А какой смысл одновременно иметь доступ и к данным и к инету? Они их в амазон грузят чтоль для аналитики?

Ответить
0

Ну представь себя работающим каждый день без интернета вообще - на такое сложно согласиться. Да и впринципе тогда весь банк можно отрубать от инета, кроме коллцентра разве что - инфа о готовящихся проектах или о том, как работает да тот же кредитный скоринг сливается легко и без инета. Я думаю с тех. стороны от такого невозможно обезопаситься, а вот нанять человека, который не будет пиздить данные - можно

Ответить
1

А чего мне представлять? Делается белый список сайтов (или категорий сайтов) и по умолчанию всем даётся такой доступ. Если по своим делам нужен инет, то есть телефон.

Ответить
0

Ну знаешь, белый лист очень сложно организовать - проще уже инет отрубить чем так. Ну и повторюсь - есть куча всякой инфы, которую можно слить и без инета вообще - так что отсутствие инета вообще никак не ограничивает сливы

Ответить
1

Ничего не сложно. Лично настраивал, за пару месяцев набивается список по потребностям. Никто не говорит что нельзя ничего слить. Речь идёт о защите от массовых сливов данных.

Ответить
0

Ну ладно, я думаю нам не суждено друг друга переубедить насчёт инета. А как составлял белый лист? Просто только по рабочей нужде чекаю вещи начиная от стак оверфлоу заканчивая всякими paperswithcode - не представляю как можно сформировать общий такой перечень для, допустим, банка?

Ответить
0

Так мы говорим про тех, у кого есть доступ к данным клиентов. Но вообще что в этом сложного? Ставишь в разрешенные категорию coding и туда попадает все стэковерфлоу и иже с ними

Ответить
0

Окей, тогда какие категории блокировать? Я думал мы говорим в целом за сливы критичнее чем "<сотрудник нейм> - пидарас" и необязательно клиентские

Ответить
1

Довелось мне поработать в Одной аутсорс компании специализирующейся на разработке и тестировании ПО для гос структур и банков. Так вот, одним из клиентов был банк и доступ был к данным вплоть до имен, номеров, адресов и прочего в открытом доступе, мы даже себя искали по базам, ибо у всех были втб карточки (требование компании).

Ты сильно переоцениваешь защиту данных в РФ.

Ответить
0

Я знаю конкретно про сбер, ибо у меня там много бывших коллег работает и работали. На весьма высоких должностях

Ответить
1

Конкретно про сбер ничего не скажу. Я в общем про систему безопасности данных в РФ, у нас все много осталось совкового в плане документооборота. Поэтому даже в компаниях старающихся придерживаться последних тенденций в плане защиты персональных данных, случаются утечки из-за человеческого фактора.

Ответить
1

Ну сбер это всё-таки не только эджайл и машин ленинг на словах. Там внутри достаточно прогрессивно местами. Ещё году в 2011 у сбера был самый большой ИТ бюджет в Европе.

Ответить
0

Может он их по памяти дома переписывал

Ответить
0

Тут есть такие обходные пути:
1) флешки запрещены в windows (DeviceLock), но если bios не запаролен, с них можно загрузиться

2) можно соединить ethernet-кабелем личный ноут и рабочий комп и перекинуть данные с рабочего компа на ноут

3) если вся работа ведётся через виртуалку, с которой не работает copy/paste - инфа преобразовывается в qr code и выносится телефоном. За раз базу не вынесешь, но это проще, чем 200 клиентов руками переписывать

Ответить
0

1. А смысл грузиться с флешки, если диск зашифрован плюс п.2?
2. 802.1x как только что-то левое в сеть втыкается, приходит уведомление безопасникам
3. Как сгенерить qr-код на машине без инета и даже пэинта?

Единственное от чего сложно защититься - на телефон снять таблицу. Но если ограничено количество одновременно выводимых строк и таблица большая, то это тот ещё гемор

Ответить
0

Смотрите пункт 5.1.3 вот здесь: https://www.sberbank.ru/ru/pol_pd
Воспринявшие к действию да наслаждайтес.

Ответить
Обсуждаемое
Интернет и мемы
Евгений Понасенков — человек-мем. Как «маэстро» к этому пришёл: конфликты с историками, армия фанатов и золотые цитаты
Давний «враг» Олега Соколова снова стал обсуждаемым после ареста доцента. Теперь он вспомнил, что «предсказал» убийство ещё год назад.
Интернет и мемы
Комментарии под русскими клипами 90-х и «нулевых» на YouTube — концентрация ностальгии и грусти
Люди приходят туда, чтобы вспомнить ушедшую молодость, выговориться и рассказать о любимых, которых уже нет рядом.
Интернет и мемы
Сбербанк отправил клиенту сообщение с паролем «Плачь, убивай евреев». Компания обвинила в ошибке генератор кодов
Банк сначала заявил о том, что SMS «отфотошопили», а потом признал ошибку и извинился.
Популярное за три дня
Интернет и мемы
Пользователь, который заходит на TJ только после рабочего дня
Интернет и мемы
Когда мир больше не крутится вокруг тебя
Новости
В России уволили врача, спасшего сотни детей
Михаил Каабак, который работал в Национальном медицинском исследовательском центре здоровья детей (НЦЗД ЗД) и проводил уникальные операции по трансплантации почек взрослого человека детям, вынужден покинуть центр. Вместе с ним уволена врач Надежда Бабенко.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]