Comments 264
Информацию об утечке персональных данных 60 млн клиентов банк отрицает, не подтверждает и считает ее «некорректной из-за многочисленных несовпадений». Так как, например, банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.
Какое отношение имеют 40 млн кредитных карт к персональным данным 60 млн клиентов?
Вообще как-то очень сихронно обе новости появились, не находите? Из заголовка я думал, что речь именно про 60 млн записей. А по факту… Туфта. Такое сплошь и рядом — сотрудники опсосов торгуют данными даже почаще. Сколько уже кейсов было, причем описанных на Хабре.
Естественно, ни слова о том, как это вообще стало возможным, почему «сотрудник кредитной организации» имеет доступ к БД, какие технические и административные меры приняты для предотвращения повторения этого.
Да-да, за два дня успели пистона вставить, выбрать добровольца, которого записали виноватым, и на которого все списали.
Забыли только рассказать, как сотрудник (даже начальник) сектора кредитной организации имел доступ к миллионам данных о клиентах.
Что он украл всего 200, и не сделал заранее копию всех миллионов — мало верится.
Тут Греф ничего не сказал. Думаю, ответа особо нет, чего на этом акцентировать ему?
И кстати, у каждого Тербанка база своя, отсюда и мем «где открывали туда и идите». По идее и речи не может быть о доступе к информации всех клиентов с одного АРМ.
Но возможно, что то могло и поменяться уже.
Ну и странно, что нет мониторинга как в ГИСах: заранее подготовленные фейковых данные, при выгрузке которых триггирится сием.
«Мы попробовали провести рассследование, и у нас получилось! »,
«Мы нашли ленивую жопу которая скопировала все! данные и не пряталась»,
«Мы прочитали логи доступа и о чудо! оно работает! »…
Значит, журналист соврал, который писал, что продемонстрировали его данные, или он был в списке тех 200 клиентов, или взлома не было, и этот 28 летний сотрудник попался при получении данных журналиста?
Также вполне возможно, что выгрузить всю базу не возможно, но делок имея доступ к базе (в режиме поисках отдельных записей), наковырял 200 записей, а реального покупателя просто собирался нажухать, ведь любые запросы на проверку базы, он может пройти имея доступ к ней в режиме поиска отдельных записей.
Никого не защищаю и не оправдываю. Просто озвучиваю предположения.
Я примерно тоже так полагаю. Посмотрим на дальнейшее развитие событий.
И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.
Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
в этой информации нет, например, CVV и пин-кодов, потому что сотруднику банка в работе они нужны быть не могут даже теоретическиПотому что PCI DSS не разрешает доступ сотрудникам к чувствительным данным во время аутентификации, а по админским причинам — вполне можно с обязательным журналированием «кто, куда и зачем», чтобы было что аудиторам показывать.
Cvv*, pin-ы и прочие крипто-величины нигде не хранятся. Хранятся только их верификационные значение (типа pvv в виза или offset в схеме ibm3624)
В банках может быть и нет, а вот с магазинами случаи были.
Если какой то магазин сохранил у себя CVV — он нарушил правила PCI DSS.
И может запросто лишиться доступа к платежной системе — жалуйтесь.
По этой причине я предпочитаю бронировать отели через соответствующие агрегаторы типа букинга или эйрбнб.
А то лет 8 назад случилась довольно необычная ситуация — сотруднику финслужбы крупного клиента московского СБРФ из этого банка была прислана табличка с ФИО и кодовыми словами. Получатель в рамках акции «Вы все молодцы» разослал по адресной книге этого клиента. На тот момент в организации было 3 (прописью — три) службы безопасности.
А что мешает все же хранить хэш. Когда клиент называет слово, оператор его вбивает в поле и зажигается красная или зеленая лампочка.
На слух вбить?
Плюс грамотность у всех разная.
Плюс кодовое слово может быть любым, которое и в природе не существует и на которое правила русского языка, даже если их и знает идеально оператор, не подходят.
Или это иностранное слово.
Хэши хороши когда информацию вбивает ручками сам знающий ключевое слово и в дальнейшем передача идет по техническому каналу.
А человеческое ухо — тот еще элемент «испорченного телефона» (в детстве не играли в такую игру? )
Поэтому, действительно, слово «холодильник» может вызвать затруднения.
Мне кажется, что
- Проверочное слово эффективно можно заменить цифровой комбинацией. Набирать в ivr колл центра.
- Никакой проблемы хранить хэш и не показывать кодовое слово нет. Тем более, что вроде как его поменять по телефону нельзя. Только через анкету в отделении. Но это не точно. А раз так — им может быть любая комбинация букв и цифр. И, да, желательно, сразу чтобы было нормальные правила. Вроде "только заглавными, только кириллица и цифры". Даже лучше без цифр. Чтобы не было неоднозначностей — "С, C", или "H, Н", или "О, O, 0", или "1, I, l"
У него вообще могло не быть возможности что-либо выгрузить независимо от размера, а был доступ к данным клиентов в ручном режиме поштучноЕсли в сбере админы закончили хотя бы 5 классов «церковно-приходской», а я думаю что там достаточно грамотные люди работают, то никакой ДБА не даст выполнить запрос «выхлопом» которого будут 60 млн записей.
И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.
Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
"1991 года рождения (то есть сейчас ему 28 лет)" — а была вся жизнь впереди...
Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.
Точно он ли? Нас вообще всегда напрягала эта система. Дядя из СБ с высочайшим уровнем доступа вдруг говорит «вот этот парень, смотрите, вот я логи на флэшку копирнул, по ним видно что это он»© И все ему сразу верят.
Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.
Используется система «разделяй и властвуй».
Дядя из СБ вовсе не один.
Если вы полагаетесь на одного сотрудника на 100%, — конечно он может подделать.
А нескольким людям договориться куда как сложнее между собой.
Тем более, что они в разных подразделениях работают — админы и СБ (которые частенько еще и недолюбливают друг друга).
По идее, у этого дяди доступ только на чтение.
Вспоминается
Предупреждение от НЛО, не просто так добавлено.
Это про желчь.
IMHO, рекомендую не ввязываться в дискуссии, ибо чревато.
P.S. Я сам 10 лет в банках, проработал, смысл вашего комментария, лично мне совершенно ясен. Как говориться ППКС
В пдф ссылка для перехода/загрузки.
И другие подобные, то от «налоговой», то от «поставщиков». Но вирус/троян обычно посылают прямо в письме, а не как в последнем случае
А у ИП она личная.
Вы кредитку оформляли или дебетку?
Допускаю, что если кредитку, то инфа уходит в БКИ (она считается как полноценный кредит) и другие банки могут по ней увидеть инфу по вам. Но тут более сведущие товарищи подскажут.
Дебет, никогда не брал кредитов, чистая история
Допускаю, что если кредитку, то инфа уходит в БКИ
Интересно, а когда мне Сбер сам без спроса оформил кредитку и начал названивать с просьбой её забрать, данные были туда отосланы?
1) Кредитку могут и без БКИ выдать. Просто лимит будет маленький.
2) А вы уверены, что это не маркетинговое разводилово? Мне тоже постоянно приходит «Вам одобрен кредит» от очень разных банков. Но стоит реально сходить в банк — как там только начинается оформление. Да если только с паспортом оформлять и сумма иная, не та, что обещали. Вернее те 5 миллионов, к примеру, что обещали, тоже готовы выдать. Под нехилый пакет документов. А сами то карты сейчас выдают моментально, они не индивидуально под вас выпущены.
Это маркетинговый ход. Без подписания вами договора они карту не выпустят. А "готовы" там моментальные карты без имени, они в общем-то всегда готовы, так как их готовить вообще не нужно.
Нет. У меня тоже был случай. Карта была готова, без подписания договора. Т.е. лежала в отделении. Достаточно было подписать акт о выдаче карты и получить ее. И тут у меня возникли вопросы зачем они мне предодобрили кредитную карту, хотя речи об этом не шло. Решилось уничтожением карты в отделении и не подписании акта о получении карты мной. Ну, и извинениями с обеих сторон.
А по факту, ее без личного присутствия не могут выпустить, но потом пришел другой эффективный менеджер, изменили инструкцию и начали просто массово выпускать их зарплатникам с минимальным лимитом. Чтобы человек приходил не два раза (оформление-получение) а один раз. Потом стали выпускать карты MC/Visa momentum unembossed.
Так никто не может запросить по вам данные из БКИ без вашего письменного согласия.
(если сейчас кто-то тянется к клавиатуре написать про телефон в ЕГРЮЛ, то я про ЕГРИП — там телефон не является публичным, это личные данные 100%).
Baigildin
в Эстонии, например, через банк можно получить доступ практически к любым госуслугам. Кроме, разве, информации о здоровье и голосования на выборах. Налоговая, авторегистр, данные об образовании — что угодно с аутентификацией через банк. Логично полагать, то если ты им доверяешь свои деньги, то и данные можно.
Как только вам открывают карту — на нёё можно сделать перевод по номеру телефона.
И, по умолчанию, все у кого есть сбербанк онлайн на телефоне видят в телефонной книге напротив вашего номер — зеленый сберовский кружочег.
Я в своё время заметил прямую корреляцию по плотности холодны звонков — как только поставил в сбербанке-онлайн галочку «не показывать никому, что к этому телефону привязана карта» (не помню как называется, но по умолчанию — показывают), так сразу поток звонков исчез. У меня есть подозрение, что у сбера API на это голой ж' торчит где-то.
Вопрос только в одном — есть все же утечка ещё 59 999 980 карт или нет? Потому что это была бы дыра совсем иного уровня, данные 200 карт можно и с экрана сфотографировать
Но, утверждать, что данные продаются налево-направо я бы точно не стал. Ни разу сам не встречал в продаже.
О, крайне веский аргумент, крайне! :)))
Знаете, я вот ни разу в жизни жирафа не встречал. Говорят, что они есть, но наверное врут — я-то сам не видел…
habr.com/ru/post/423947
Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).
Эта новость для меня звучит как "в госкомпании без конкурентов опять косяк, крайние найдены, виновные свободны".
Государственный банк — это ВТБ, например. Сбербанк же не является госкомпанией.
Там все сложно. Поэтому зря минусуете коллегу.
Мы уже в одном похожем треде разбирали этот вопрос.
Сбер — вполне себе коммерческий банк.
На госуслугах можно верифицировать свой аккаунт через сбербанк.онлайн. Разве коммерческим организациям разрешено настолько доверять?
Почему нет?
Посмотрите, где можно сдать биометрические данные, посмотрите, где можно зарегистрироваться на госуслугах.
cbr.ru/fintech/remote_authentication
cbr.ru/fintech/remote_authentication/map
Там и частные банки есть.
Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.
Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.
У меня сейчас произошел когнитивный диссонанс. Я думал госуслуги как государственный сервис, предоставляя блага этого самого государства, как раз в первую очередь должен заботится за достоверность предоставленной информации от граждан.
Центробанку, а не государству.
Правовое положение ЦБ вызывает споры, как и его принадлежность к государству.
В любом случае, Сбербанк — это коммерческое предприятие, первая цель которого — получение прибыли, а не какая-то социальная роль в обществе.
А целью ВТБ будто не является прибыль?
ВТБ может работать в убыток, может вкладываться в убыточные, но социальнозначимые проекты.
Например, ВТБ выкупил теле2, объединил с Ростелекомом и создал конкурента большой тройке. С выходом т2 цены на тарифы упали в полтора-два раза. Развивается направление lte450 как наиболее перспективное для обеспечения малонаселенных и удаленных объектов.
Что делает Сбербанк? Объединяется с Яндексом, чтоб создать аналог Амазон.
В то же время ВТБ — худший банк, которым приходилось пользоваться, сбер среди других коммерческих банков — середнячок.
Целью ВТБ, как любого АО в госсобственности, номинально является прибыль, но фактически — выполнение целевых показателей, установленных госчиновниками из совета директоров.
Правильную мысль какую? Что Сбер — госпредприятие?
Извините, но это только у Вас в голове (как и у миллиона других граждан).
Государственный банк — это ВТБ, например
Да, кстати, только лишь потому что 60% ВТБ принадлежит госимуществу (хотя ВТБ — ПАО). И получается, что даже в этом смысле ВТБ "более" государственный, чем Сбер.
Но это все софистика...
Никаких споров о принадлежности ЦБ не может быть, если человек знаком с Конституцией РФ и законами РФ.
Глупости о ЦБ несет движение сумасшедших под названием НОД, движение создано депутатом Федоровым, которому так же принадлежат фразы про то, что Цою песни писали в ЦРУ и что депутатам ГосДумы как голосовать приказывает ГосДеп(в том числе и ему самому, очевидно).
ЦБ РФ прописан в Конституции и действует на основании Федерального Закона РФ.
Конституция:
Статья 75
1. Денежной единицей в Российской Федерации является рубль. Денежная эмиссия осуществляется исключительно Центральным банком Российской Федерации. Введение и эмиссия других денег в Российской Федерации не допускаются.
2. Защита и обеспечение устойчивости рубля — основная функция Центрального банка Российской Федерации, которую он осуществляет независимо от других органов государственной власти.
Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)»:
Статья 1. Статус, цели деятельности, функции и полномочия Центрального банка Российской Федерации (Банка России) определяются Конституцией Российской Федерации, настоящим Федеральным законом и другими федеральными законами.
Функции и полномочия, предусмотренные Конституцией Российской Федерации и настоящим Федеральным законом, Банк России осуществляет независимо от других федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
Банк России является юридическим лицом. Банк России имеет печать с изображением Государственного герба Российской Федерации и со своим наименованием.
Местонахождение центральных органов Банка России — город Москва.
Статья 2. Уставный капитал и иное имущество Банка России являются федеральной собственностью. В соответствии с целями и в порядке, которые установлены настоящим Федеральным законом, Банк России осуществляет полномочия по владению, пользованию и распоряжению имуществом Банка России, включая золотовалютные резервы Банка России. Изъятие и обременение обязательствами указанного имущества без согласия Банка России не допускаются, если иное не предусмотрено федеральным законом.
Государство не отвечает по обязательствам Банка России, а Банк России — по обязательствам государства, если они не приняли на себя такие обязательства или если иное не предусмотрено федеральными законами.
Банк России осуществляет свои расходы за счет собственных доходов.
Теперь рекомендую перечитать внимательно статью 2 про то, что все имущество ЦБ является федеральной собственностью. Осознать. Понять, что принадлежность ЦБ РФ = принадлежность РФ. Прекратить повторять глупости Федорова в приличном обществе.
2. Совет директоров ЦБ назначается в соответствии с вышеобозначенным ФЗ. В ФЗ говорится о том, что совет директоров назначается Государственной Думой Федерального Собрания Российской Федерации по представлению Председателя Банка и по согласованию с Президентом РФ.
3. Председатель ЦБ назначается Государственной Думой Федерального Собрания РФ по представлению Президента РФ.
О каком еще можно говорить управлении, если ЦБ описан в Конституции как «независимо от ДРУГИХ органов власти», то есть по факту считается одним из органов власти, если его руководство назначается одной из палат парламента по согласованию с президентом, а его председатель вносится президентом и утверждается парламентом?
Управление ЦБ это управление государством. Контроль ЦБ это контроль государства. Все четко описано в Федеральном Законе от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)».
Не нужно выдумывать про «а это не государство». ЦБ РФ — орган власти описанный в Конституции РФ и действующий на основании Федерального Закона.
“Статьей 75 Конституции Российской Федерации установлен особый конституционно-правовой статус Центрального банка Российской Федерации…
Ключевым элементом правового статуса Банка России является принцип независимости, который проявляется прежде всего в том, что Банк России выступает как особый публично-правовой институт, обладающий исключительным правом денежной эмиссии и организации денежного обращения. Он не является органом государственной власти”
Сами с собой спорите и это как раз то, о чем я и писал, что правовой положение ЦБ вызывает споры, как и принадлежность государству. То есть по закону это одно, то как видят обыватели — второе, то как есть на самом деле — знает лишь малая категория лиц.
А уж на каких правах сбер тут выступает, можно только догадываться.
Те кто говорят про неопределенность и тем более, что собственность ЦБ не принадлежит государству либо заблуждаются, либо врут сознательно.
что правовой положение ЦБ вызывает споры
Только у любителей теории заговора. У большинства вопрос правого положения ЦБ в принципе не стоит. Т.е. в обществе такой дискуссии нет, непонятно откуда вы вывели это.
НОДовцы бывают двух видов: пропагандисты на зарплате Федорова и буйный сумасшедшие. К какому виду относится человек прогнавший здесь нодовскую телегу про ЦБ я не знаю.
Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).и надо бы продолжить — и журналистам. Или где-то были доказательства про 60 млн.? я на выходных не следил за новостями, мог пропустить, если было — направьте. Пока было только 200 записей и заявление о возможном сливе.
Не пытаюсь никого защищать, т.к. сам клиент сбера и уже промелькнула мысль «а нельзя ли тут где какой иск от неопределённого круга лиц, за такой слив?».
в настоящее время представители правоохранительных органов осуществляют с ним процессуальные действияБутылирование?
Наказание невиновных – Награждение непричастных
Ну это же смешно, такие утечки не делаются рядовыми сотрудниками. Ну нету у них доступа такого, нету у них списка клиентов хотя бы с пагинацией. А тем более кнопок выгрузить данные пачкой. Да они могут собирать данные тех клиентов которых обрабатывают в текущий момент, тупо скриншотами или сохранять страницу или просто копировать текст, но это надо прям сеть чтобы работала в режиме нон-стоп, чтобы собрать столько данных. Да они могут выборочно запрашивать данные на продажу, типа «пробить» клиента за деньги.Ну ваще-то у рядовых «маринок» USB отключены, поэтому вариант один — переписывать с экрана.
Да и АБС построены так что не может быть на одном экране всех сведений о клиенте. «Маринка» в каждый конкретный момент времени работает в определенной ветке ( а может даже в разных АБС — это не редкость) которая посвящена, например, паспортным данным, КИ, банковским продуктам и тд
Говорили что-то типа вы выиграли бонусы, назовите номер карты, щас вам на телефон придет код, назовите его и т.д.
В итоге, таким образом получили доступ к онлайн-кабинету, смогли перевести оттуда деньги (благо немного, 20-500р), карту заблокировали, надо перевыпускать.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос. По времени это подозрительно совпадает с обсуждаемой утечкой.
назовите номер карты, щас вам на телефон придет код, назовите его и т.д.
где они нарыли телефоны владельцев карт — вот в чем вопрос.
Звони любому, с большой вероятность у каждого второго хоть одна карта да есть.
А номер карты, по вашим словам, они сами называли.
Т.е. если Ваши перс.данные были слиты 20-10-5-1 лет назад, они в большей своей части много лет будут актуальны.
Поэтому вычислить человека и все его связи при наличии пары-тройки, можно сказать, общедоступных баз данных — как два байта переслать.
Пример из жизни.
У меня зазвонил телефон.
Кто говорит?
Какая-то непонятная личность выяснила, имеется ли какая-то связь между мной и моей дочерью.
Далее оказалось, что эта личность разыскивает двоюродного брата мужа дочери, потому как он задолжал денег. (т.е. личность оказалась коллектором).
Когда я это понял, личность была послана, не дождавшись от меня ни чьих контактов.
После каких-то сумбурных угроз, личность начала также названивать моей жене и отцу.
Потом обзвонила вплоть до высшего начальства персонал предприятий, где они работали (мне повезло, у меня начальства нет-).
Короче, данная личность без каких либо проблем находила контакты связанных между собой индивидуумов(как родственными связями, так и «рабочими»)
PS… На сколько я знаю, история не кончилась ни чем. На стол местной полиции легли как минимум 5 заявлений. Телефон с которого звонила «личность» и его владельца нашли, но доказать причастность к данному беспределу, почему-то не получилось.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.
1. В Сбербанк Онлайн пробуем сделать перевод небольшой суммы по номеру телефона.
2. Сбербанк Онлайн показывает имя и отчество владельца карты.
3. Перевод не подтверждаем.
4. PROFIT.
Таким образом, узнаем привязана ли карта к номеру телефона и если да, то имя-отчество владельца карты.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.
Мне несколько раз "блокировали" сберовскую карту, когда у меня карты сбера никогда не было. Другие предложения по отсутствующей у меня сберовской карте тоже поступали.
По версии банка какой-то манагер построчно (по всей видимости) выдернул из базы сведения о 200 картах дабы доказать, что это выборка из более обширной базы, которая у него на руках. Ключевой момент в его предложении-простота получения сведений. Есть вероятность что у него был штатный функционал (чего ?) для таких действий (массовой выгрузки)
А теперь вопросы:
1. Что это за служебные обязанности для выполнения которых необходимы подробные сведения по клиентам в больших количествах? Ну не аналитику же он в уме считает.
2. Запросы сведений в базе логируются и статистика анализируется для предотвращения. Как бы так быть должно.
3. Это может показаться странным, но у руководителя вообще доступа к сведениям о клиентах быть не должно.
4. Мне одному кажется, что действия преступной группы пытаются выставить как самодеятельность мелкого манагера? А ведь преступная группа, имея административный доступ к БД вполне могла и логи сделать правильные и слить парня.
Но всё это пол беды. Если допустить, что версия банка правдива, то дела всё так же плохи ибо получается, что практически любой сотрудник (сколько таких манагеров по стране) может выгрузить базу и начать ей торговать. А сколько торгуют, но не палятся?
Мы приносим свои извинения за эту ситуацию...
Многомиллионный штраф сделал бы эти раскаяния намного более искренними.
Ну это уже регулятору решать, а не самому Сбербанку.
Смешно, но это не поможет. Это очень похоже на перекладывание денег из одного карман в другой. А страдают обычные налогоплательщики.
Надо наказывать конкретных виновных — кто спёр данные, кто построил систему, которая это позволяет, кто недосмотрел и т п.
Просто как пример — мы судились с администрацией (считай — гос.структура власти) по поводу того, что их сотрудники по халатности нанесли ущерб. Угадайте — был ли кто наказан? Нет. Выплатили компенсацию? Да. Но откуда? Точно не с бюджета казённой структуры, которая финовата, а из общей казны. Т.е. по сути — денег налогоплательщиков. Фейспалм. Занавес
По логике вещей штрафы и должны работать как по цепочке: сбер оштрафовали, он проснулся и полез разбираться, нашли условно косяк в ИС в мониторинге — оштрафовали субподрядчика, который писал эту ИС, субподрядчик проснулся — раскидал люлей по отделам и т.д.
Но это, как обычно, работает только в теории.
И мне кажется хватило бы всего лишь лишить месячной зарплаты главу Сбербанка Германа Грефа. Но похоже, что кому-то выгодно такое положение вещей.
Т.е. сколько записей он украл — ХЗ, но скомпрометированными признаны те 200, которые он разослал потенциальным покупателям базы.
Цирк с конями и колхоз во всей красе. А Греф лучше бы вообще рот не раскрывал, после его "разъяснения" стало ясно, что всё ещё хуже, чем казалось:
- Мелкий клерк заштатного филиала имеет несанкционированный доступ к приватным данным неограниченного круга клиентов.
- Этот доступ не вызывает срабатывания триггеров системы безопасности — СБ узнаёт об этом не от своих алармов, а из сми.
- Факт доступа не логгируется — СБ проводит расследование не с помощью анализа логов, в телефонным звонком злоумышленнику!
Меня просто поражают люди, добровольно несущие собственные деньги этим жуликам и криворуким идиотам. И ограбление сберкассой почти всего населения страны не стало уроком и этот колхоз не станет. Мыши плакали, кололись…
1. Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов. Вас же не возмущает ситуация, когда вы приходите за выпиской по счёту, операционистка смотрит ваш паспорт — и через три минуты отдаёт вам распечатку ваших операций по счёту?
2. У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?
3. Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?
Тысяча сотрудников по тысяче запросов в день, это всего-то миллион записей в базе, два айди (клиента и оператора) и время доступа — по объему это копейки, по нагрузке тоже. Рекламная сеть за час получает миллион событий (показ, просмотр, клик, метрики и т.д.)
Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.
Я не знаю, но не думаю что прям вот так всем менеджерам доступны данные всех клиентом. По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне). Ну это не одна СБ не пропустит и многочисленные сертификации, что данные клиентов из Москвы, доступны например менеджерам из отделения в Самаре (причем что 99% из этих клиентов никогда не бывали и не будут в Самаре).
Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.
Я откуда знаю, почему предыдущий оратор считает, что там по любому чиху должны триггеры срабатывать?
Что же касается сотрудников — у Сбера 15 тысяч офисов, в них работает больше ста тысяч человек. Удачи вам в поиска в этих логах события «В. Пупкин запрашивал данные клиента, который на самом деле к нему не приходил» (отдельный вопрос — как вы по логам будете определять, приходил ли клиент).
По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)
То есть, по вашей логике, «где карту получали — туда и идите», и в отделении Сбера в Самаре я принципиально не смогу получить выписку по счёту, открытому мной в Сбере в Москве?..
Я чуть ниже написал как это решается, через введение кода пароля с смс, для доступа оператора к данным клиента. Или если нет телефона, то набора для слепого контроля, по сути это форма не с одним, а с многими вопросами и кнопкой проверить(получить доступ).
Процетирую себя же
(местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)
Если ваша карточка по геолокации из браузера или мобильного приложения засветилась в Самаре, или же просто была любая операция на просмотр баланса или снятие денег с любого банкомата или в отделении в г. Самара, то система понимает где карта находиться, и разрешает доступ операторам из данного региона к вашим данным. Или это технически нереализуемо? Очень даже реализуемо, и скорее всего такие вещи уже сделаны так или иначе.
Все остальные действия по запросу личной информации должны не просто логироваться, а логироваться с высшим приоритетом, для просмотра и анализа службой СБ.
А если смс не пришла: глюк оператора, сел телефон и тд — все, нет обслуживанию в банке?
Не надо множить сущности, в конце концов аутентификация происходит в момент предъявления паспорта, а уж в банке вы его показываете или опсосу — не важно.
С таким же успехом можно паспорт левый сделать и украсть личность, перевыпустив сим и получив доступ к банковскому счету.
Не бывает абсолютной безопасности, всегда есть баланс между стоимостью мошенничества и его прибыльностью и в безопасности вы будете только тогда когда стоимость поддельного паспорта (и расходов на адвоката/судью) будет выше чем та сумма что у вас на карте лежит.
Кстати непонятно почему вы так сильно на СБ рассчитываете, это просто еще один человек на окладе, который может быть точно так же слаб как и тот менеджер, который слил карты.
Ну вообще во многих банках за этим следят на автомате. У меня было как-то, что я заплатил с карты одного крупного российского банка в мелком городе у подножия Уральских гор, при том, что до этого всегда платил в Москве и Питере, так мне через минуту поступил звонок от СБ банка со словами «С вашей карты оплатили покупку в магазине «ДНС» в таком-то городе. Это были вы?», на мой ответ «Да, это я, все нормально» сказали «Хорошо, тогда помечаем, что оплата вами в этом городе нормальна, а не вашу карту увели».
То есть банки и так следят за тем где ты.
Это не улучшает идеи человека которому вы отвечали, она бредовая. Во всех банках я могу прийти в любое отделение и получить обслуживание в любой момент, без каких-то привязок, что «где карту получали, там и обслуживайтесь».
В Сбере это так не работает. Я уж не знаю, что у них в головах, но буквально недавно:
- Карту мы не перешлём в отделение в другом городе. Хотя любой нормальный коммерческий банк это умеет.
- Звонили, предлагали кредит в отделении ХХХ. Прихожу. Мне говорят: "А Вы обслуживаетесь в УУУ — туда и идите". Между прочим, все происходило в рамках одного города (СПб), т.е. это был один макрорегиональный филиал или как там оно называется.
Сплошь и рядом такое. А комиссии при переводе на карту Сбера, но в другом регионе? Но через банкомат или кассу ее (карту другого региона) можно пополнить без Комиссии — т.е. не-клиенты банка в более выгодном положении, чем клиенты. Впрочем, как и граждане РФ по отношению к не-гражданам РФ
И это только вершина айсберга
В нормальных банках я прихожу в любое отделение в стране и меня обслуживают, а при перевыпуске карты еще и привозят ее домой бесплатно.
Я всё же люблю Хабр, этот ресурс IT-профессионалов.
Родной, это такие азы, которые известны любому, кто хоть немного касался информационных систем с разграничением доступа. А уж если имел какое-то отношение к разработке банковских систем, то там этим всю плешь проедают до самого мозжечка.
- Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов.
Я понимаю, что в колхозной сберкассе это сделано именно так — даже Греф это подтвердил, но в настоящих банках это сделано не через жопу, а как положено. И всякий сотрудник, даже отдалённо не касающийся работы с реальными данными клиента раз в несколько месяцев проходит обязательный тренинг в котором всё это разъясняется и описывается. Повторю, в номальных банках. Европейских и штатовских точно. Если на пальцах — не всякому менеджеру положен неограниченный доступ к неограниченному кругу клиентов и к неограниченному объёму данных даже тех клиентов которым ему позволено доступиться. Это самые основы. Азбука, тскзть. Если ещё более на пальцах, то даже(!) у опсосов (тоже, очевидно, не у всех, но, хотя бы, у некоторых) это сделано более грамотно, чем в сберкассе. Когда-нибудь пробовали получить дубль симки, скажем ребёнка, выданной на паспорт одного из родителей (и вы не помните какого)? Вы диктуете номер телефона и номер своего паспорта оператору, а он вам говорит, — нет, эта симка выдана не на этот паспорт, а на какой я не могу сказать — система проверяет введённые данные, но не показывает сами данные оператору, предотвращая утечку. В данном же случае, массив данных содержит персональные данные клиентов, к которым юный менеджеришка из филиальчика не должен был иметь доступа. А если получил его, то получил несанкционированно и на это должны были сработать системы безопасности. В нормальном банке.
- У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?
Да, если этот менеджер залез в персональные данные, которые его не касаются. Но, во-первых, его не должны туда пустить, во-вторых, если ему это край как нужно, он должен составить заявку в СБ на временный доступ, в которой должен обосновать причину необходимости такого доступа и срок на который ему этот доступ требуется, в третьих, если он таки залез туда без санкции, да, должны сработать триггеры. Повторю ещё раз — так обстоят дела в нормальных банках. И даже здесь на хабре была статья в которой было описано как "ловили" пентестера, который пытался такое проделать в тестируемой системе. И это была даже не западная компания, а вполне российская, только нормальная, а не сберкасса.
- Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?
С точки зрения ардуинщика, это, конечно, нереальный объём, ни в одну ардуинку не влезет, но, вообще-то, это объём ниочём. И, скажу вам по секрету, для быстрого доступа к данным давным-давно изобрели БД и индексы. А если данных и правда много, то есть такая BigData, умением работать с которой тот же Греф очень хвалился.
А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.
А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.Глупости изволите
PS Посмотрите на скриншот отчета. Такой отчет без палева может получить для себя только админ БД, но я думаю что ему это как раз нафиг не надо.
Второй, реальный вариант, это отчет (выгрузка) для бизнес-департамента банка.
Но опять-таки заказать на исполнение такой полный отчет (на 60 млн клиентов или карт) — это сразу спалиться напрочь. Я думаю что это кусочек небольшого отчета типа по просроченной кредитной задолженности клиентов в филиале, потому как выведены полные паспортные данные и адреса. Для расчета всяких экономических показателей этого ну никак не требуется.
Сотрудник спросил номер телефона, взял паспорт старого владельца, посмотрел на него и на экран и вернул паспорт. Дальше взял паспорт нового владельца и начал печатать.
То есть обычный мальчик на месте видит паспортные данные по номеру телефона
Месяц назад менял владельца сим-карты у Билайна.… обычный мальчик на месте видит паспортные данные по номеру телефона
Всё правильно. Рядом с новостью о слитой базе сберкассы маячит новость о базе билайна на 8 млн записей. Причём база ещё 16-го года, но, судя по вашим словам, у билайна с безопасностью всё по-прежнему никак. Совпадение? Не думаю!
Я писал об опыте с нормальными опсосами и нормальными банками. Пара европейских операторов (GDPR отрезвля-я-яет!). И у теле2, по-моему, так же устроено, но давно проверял, сейчас не уверен.
То есть по большому счету Билайн просто перевыпустил симку постороннему человеку который знал кому принадлежит номер. Это у Билайна в порядке вещей.
Ну да, в сбере и во всех банках именно так. Если вы придете с паспортом — этого достаточно. В чем проблема?
Ну, как минимум в Альфе — при получении кредита — просили посмотреть в веб-камеру. Т.е. у них еще и фото моего лица сохранилось. Вероятно, для уменьшения вероятно мошенничества. Молодцы.
В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личности
В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личностиСМС нужна чтобы привязать ДБО.
Никакого отношения эта СМС к подтверждению личности это не имеет, личность только по паспорту (или квалифицированной ЭЦП).
Пришли Вы с паспортом в отделение. Оператор посмотрел лицо клиента, фотку в паспорте, все гуд лезет в данные. Это необходимо, но недостаточно для защиты данных от утечки через оператора. Поэтому идет подтверждение через смс код, чтобы оператор получил доступ к запрошенным данным. Так же вместо паспорта достаточно только карточки, при получении карточки некоторые банки делают фотку. Тут тоже оператору надо просто сравнить лицо клиента и фотку в системе. Если, например телефон утерян или еще какая-то беда приключилась, то никто не мешает оператору в присутствии клиента получить доступ к данным и нужным функциям через форму Вопрос-Ответ, но не только ключевая фраза, а по расширенному списку, например:
У вас недавно была операция снятия налички, сколько сумма была и где находиться банкомат?
Вы расплачивались картой в магазине, название магазина и сумма оплаты?
У вас было пополнение наличкой через терминал, сколько и где было совершено пополнение?
Вот эти вопросы — это вопросы из анкеты по транзакциям. Система вполне может сама список вопросов генерировать, не показывая всю историю.
Давайте
Давайте предметно.
1. Названия финансовых структур.
2. Что будет, если я туда приду с паспортом без телефона и попрошу список своих транзакций у оператора.
3. Что будет если я приду без паспорта и с телефоном попрошу список своих транзакций у оператора.
1. Украина «ПриватБанк», «УкрСибБанк». Можно предьявить паспорт или карту, фотка в системе есть, без смс кода оператор не получает доступа к данным.
2. При наличии паспорта, вы можете запросить выписку со счета с движением средств, как и задолженность/остаток на счету. Это вообще в любом банке стандартная процедура.
3. Если у вас есть телефон, на нем скорее всего есть приложение для онлайн банкинга, в котором Вы можете посмотреть свои транзакции. Зачем тут оператор?
Расширю дальше список, того что есть в ПриватБанке. Можно снять, пополнить карту через терминал не имея карты — подтверждая доступ или кодом с смс или qr кодом с мобильного приложения. Так же при изменении данных в системе оператором, делается фотка (получение новой карты, замена старой, смена телефона, при закрытии карты фотка не делается).
Повторю еще раз — отличить «клиент с паспортом запросил свои данные» от «оператор лезет смотреть данные клиентов» — технически весьма тяжело, если не вводить биометрию.
Еще раз повторяю, и выше ответил на Ваши вопросы, это задаче технически решаемая, и решенная в других банках.
Противоречие какое-то. Так нужен только паспорт чтобы запросить выписку, задолженность или обязательно телефон тоже?
С телефоном подтверждение будет быстрее, иначе контрольный вопрос и прочие проверки. Да без телефона получите доступ к своим данным или оператор, если потребуется. Я нигде не писал, что без телефона Вас развернут из отделения и не дадут никакой информации.
Да это в любом банке есть, не только на украине.
И да, приводить в пример «приват-банк» как эталон безопасности — это смешно.
Выше Вы как раз утверждаете обратное, да и не только Вы, но и другие, что ни в каком банке такого нету в россии. Теперь уже оказывается это все уже есть, но только мимо Сбера проходит. Да «приват-банк» не эталон, но что-то не слышно про утечки данных постоянно.
Паспорт это необходимое и достаточное условие для обслуживания в отделении банка, но для защиты персональных данных паспорт всего лишь необходимое, но недостаточное условие. Чтобы защитить данные от несанкционированного доступа сотрудниками и вводят пароли подтверждения из смс. Если нет телефона, тогда опросник для для получения доступа оператором к данным. В любом случае если вы будете в отделении, то при Вас доступ к Вашим данным оператор сможет получить, в обход смс и опросов, но это будет проверять СБ в первую очередь.
1. Если доступ был получен без смс и вопросов, то это пишется в логи с высшим приоритетом и проверяется СБ. Мало ли, у клиента телефон украли, и что делать? Восстанавливать номер? А если другой город? Да этот способ должен быть, и причем в приоритете как для доступа клиента к своему счету, так и для СБ при проверке. В идеале еще и фотку должны делать, чтобы точно было видно клиента.
2. Списать данные можно, вопрос как их выносят потом — это уже вопрос к СБ. Даже если и можно вынести данные, то это сеть сотрудников должна работать, чтобы приличный объем собрать. И данные по остаткам будут неактуальные в большинстве таких случаев.
И ограбление сберкассой почти всего населения страны не стало уроком и этот колхоз не станет.
Я полагаю, вы про историю с "протуханием" вкладов в результате гиперинфляции?
Если так, то, справедливости ради, Сбер не грабил "почти все население страны".
Все вклады были сохранены в исходном объеме. И их даже вполне можно было получить в том же объеме (с учетом деноминации).
Компенсировать инфляцию никто, (кроме государства, да и то в весьма ограниченном объеме), вкладчикам не обещал.
«протуханием» вкладов
По рассказам «очевидцев», проблема была не в гиперинфляции, а в том, что обналичить эти вклады не удавалось за приемлемое время. А когда подходила очередь, «уже можно было и не спешить».
Сейчас такая же политика проводится — выдавливание валютных вкладов, закручивание гаек по обналичке (особенно валюты) и т.д. Ну и смотрю, некоторые действительно переходят в «рублевую зону»
Если бы тогда разрешали держать в валюте, золоте и т.д. просто диверсифицировать свои сбережения в разных банках — тогда можно было бы говорить, что государство никого не кинуло, а население — ССЗБ
В золоте можно было держать. Ювелирка продавалась, ломбарды работали. Некоторые как раз тогда в ювелирку и вложились.
Другой вопрос, что метод, мягко говоря, не очень. Но потери в любом случае меньше были бы.
Опять же, никто не мешал деньги хранить в обычной стеклянной банке.
Так что по вашему и получается, что можно говорить, что население — ССЗБ (на самом деле нет).
что государство никого не кинуло
А каким боком тут сам сбер? Он, как и вкладчики, под государством был.
Учитывая деревянные двери, одинаковые замки («С легким паром») и отсутствие квартирной сигнализации как факта в Советском Союзе — то хранить дома налик в стеклянной банке была так себе идея.
А Сберу запретили выдавать вклады. См. Павловскую реформу.
Учитывая деревянные двери, одинаковые замки («С легким паром»)
В СССР, внезапно, ставили и железные двери (если ориентироваться на фильмы той эпохи, то, однако, "Бриллиантовая рука"). Ставили, конечно, сами жильцы, а не государство.
А уж замки были самые разные: сувальдные, реечные, классические цилиндровые (в том числе с извращениями вроде крестообразного ключа), дисковые.
И квартирная охранная сигнализация была (правда ее могли подключить только при наличии телефона без блокиратора). Другой вопрос, что "наши люди в булочную на такси не ездят", но все же.
И часто новый жилец при вселении первым делом врезал свой новый замок или хотя бы менял личинку старого.
А Сберу запретили выдавать вклады.
Отож, сами же написали — Сберу запретили, а не Сбер ограбил.
Учитывая деревянные двери, одинаковые замки («С легким паром»)
Это и сейчас есть — купите ультрабюджетную квартриру в новом доме без отделки. Только дверь будет "картонной", а не деревянной. Хотя, у нас в СССР тоже была деревянная дверь и один замок (двойную деревянную поставили когда старая стала чуть не выпадать и замок заедать, а новый туда не врезать). При демонтаже выяснился забытый факт — замок "от строителей" был заменён и от него остались дырки, закрытые обивкой двери. Был более-менн спокойный район (и сейчас такой же), в 90е чуть пошумели, квартиры пообносили (кто-то на хабре называл это "время возможностей") на предмет телевизора и хрусталя, потом снова всё тихо.
Я чуть ниже написал как это решается, через введение кода пароля с смс, для доступа оператора к данным клиента.
У клиента нет с собой телефона (украли и он снимает нал, чтобы купить новый, находясь в командировке) или сел. Вы теряете клиентов банка сильнее, чем от таких утечек.
Если ваша карточка по геолокации из браузера или мобильного приложения
Телефон уехал в братскую республику (да ещё и в выключенном состоянии), какая и чего геолокация? Не говоря о том, что часть клиентов Сбера даже сотовый недавно стала использовать, а уж смарты… (ГПС в бабушкофонах нет, а читать смс транслитом для многих не представляется возможным).
понимает где карта находиться
Нье-ньет, карта не есть находиться в тот город, это есть плохой вариант.
Или это технически нереализуемо?
Это технически нереализуемо. Кстати, у меня нет приложения Сбера (у меня есть приложение Сбера, но ему запрещён доступ к ГПС). Как решите эту проблему? (На самом деле у меня нет и карточки Сбера, а есть счёт с доступом по паспорту и сберкнижка, ваша идея провалилась третий раз).
У клиента нет с собой телефона (украли и он снимает нал, чтобы купить новый, находясь в командировке) или сел. Вы теряете клиентов банка сильнее, чем от таких утечек.Доступ без пароля, с алертом в СБ, в идеале с фоткой клиента.
(у меня есть приложение Сбера, но ему запрещён доступ к ГПС).И небось еще ВПН включен? По айпи геолокация приблизительно определяется.
Это технически нереализуемо. Кстати, у меня нет приложения Сбера (у меня есть приложение Сбера, но ему запрещён доступ к ГПС). Как решите эту проблему? (На самом деле у меня нет и карточки Сбера, а есть счёт с доступом по паспорту и сберкнижка, ваша идея провалилась третий раз).У оператора в отделении тоже геолокация пропала? Вы так описываете, как будто система вообще не знает что где и кто делает?
Да давай на единичных случаях показывать что ничего не работает и спасет только биометрия с чипами :)
в 90е чуть пошумели, квартиры пообносили (кто-то на хабре называл это «время возможностей») на предмет телевизора и хрусталя, потом снова всё тихоДа-да, пообносили, потом перестали. Вас просто не было в 90-х, ну разве что в раннем детском возрасте, вот вы эти глупости с десятых источников и повторяете, все логично. Квартиры тогда еще не обносили в столь промышленном масштабе, как сейчас, хотя тогда были у многих деревяшки. Масштаб несравним, конечно: меня за последние 10 лет пытались обнести дважды, первый раз успешно — всю лестничную клетку тогда же вскрывали, тоже с переменным успехом. Ну и опыт родственников и знакомых (масштабы вместо фантазий) о чем-то говорит. Москва, почти окраина, да.
Вот и ключ к вашему спору.
Может у вас в поселке деревяшки стояли, не исключаю, а в миллионнике в котором жил я в начале 80ых начали массово ставить железные двери.
Может у вас в поселке деревяшки стоялиДа, «у нас в поселке» именно деревяшки стояли. Не то что в аж целом миллионнике, там-то было все на широкую ногу, как раз Москве на зависть? Что-то мне подсказывает, что не так.
Я полагаю, вы про историю с "протуханием" вкладов в результате гиперинфляции?
Да, эти деньги были украдены сберкассой у всего населения страны.
Все вклады были сохранены в исходном объеме. И их даже вполне можно было получить в том же объеме
Воровство как раз и заключалось в том, что их нельзя было получить ни в каком объёме. Но, "когда-нибудь потом", о, да, можно. После того, как деньги обесценились на три порядка. Вы не считаете это воровством? Ну, а я считаю.
Компенсировать инфляцию никто, (кроме государства, да и то в весьма ограниченном объеме), вкладчикам не обещал.
А вот доступность вкладов была обещана.
Если так, то, справедливости ради, Сбер не грабил "почти все население страны".
Угу. Всё божья роса...
Воровство как раз и заключалось в том, что их нельзя было получить ни в каком объёме. Но, "когда-нибудь потом", о, да, можно. После того, как деньги обесценились на три порядка. Вы не считаете это воровством? Ну, а я считаю.
Вы человека, который вовремя долг не отдает, тоже вором называете? Причем вне зависимости от причин задержки?
А вот доступность вкладов была обещана.
Это да, но эта доступность была отозвана не собственной волей Сбера, а волей государства.
— А мы назвали сына Изяслав
— А что, удобно. Если нужно Изя, если нужно Слава.
Когда Сбер хочет рассказать какой он старый они пишут, что они существуют с 1841 года. А как только напоминаешь, что кое-кто тут кинул сначала в 1917-1921 годах людей, потом на реформе 1947, потом на реформе 1961, потом на развале союза, они тут же из Изи становятся Славой и рассказывают, что существуют с 1992 года и во всех кидках не виноваты. Про 1998 они стараются отмалчиваться.
Вообще именно Сбер это синоним кидалова, остальные банки в РФ в подобном не замечены.
Когда Сбер хочет рассказать какой он старый они пишут, что они существуют с 1841 года.
Брешут. Конечно, приятно протянуть свои корни в древность подальше, но кроме названия абсолютно ничего общего.
А как только напоминаешь, что кое-кто тут кинул сначала в 1917-1921 годах людей,
Этот Сбер к тому никакого отношения не имеет. Тот накрылся в 1917 с концами. Советский был создан с нуля в 1922. Нынешний Российский в 1991. Это разные конторы.
потом на реформе 1947, потом на реформе 1961
Реформы, внезапно, проводились не Сбером. Сбер в данном случае только посредник, выполняющий распоряжения руководства страны.
Вы еще пожалуйтесь, что Сбер самовольно при последней деноминации вам уменьшил вклады в 1000 раз.
и рассказывают, что существуют с 1992 года
Тоже брешут.
В нынешней форме они существуют с 22 марта 1991 года.
Им, конечно, хорошо обломилось от расформированного 1 января 1992 Сбера СССР (получили со всеми потрохами Российский республиканский банк Сбербанка СССР), но это совсем другая история.
Стройности этой картины несколько мешает то, что 1998 году было то же самое в миниатюре. Как только начался дефолт, Сбер прикрыл выдачу денег.
Пес его знает, но мне случалось в это время забирать деньги со вклада.
Очереди были большие. Наличка в отделениях и банкоматах быстро кончалась. Но чтобы совсем прикрывали выдачу — не было такого.
Вы человека, который вовремя долг не отдает, тоже вором называете?
Человека, взявшего деньги в долг и не отдающего, да, вором. А вы как-то иначе?
Человека, взявшего в долг количество денег равное эквиваленту стоимости квартиры, а вернувшего эквивалент стоимости обеда в столовке, тоже да, вором. Или мошенником. А вы как-то иначе? А, кстати, дадите в долг? Я с процентами верну. На денюжках будет ровно столько же в цифрах, сколько брал (ну, и плюс проценты, конечно). Денюжки, кстати, классные — их стирать можно, они пластиковые, не растворятся.
эта доступность была отозвана не собственной волей Сбера, а волей государства.
А ничего, что это тот же самый карман? Но вы, разумеется, можете верить, что это злое государство не позволило доброму сберу расплатиться по долгам. Ну, и будете раз за разом получать вот такие "приветы". Мне одного раза хватило. А мыши продолжают жрать этот кактус.
Человека, взявшего деньги в долг и не отдающего, да, вором. А вы как-то иначе?
Долг не отдающего — это да. Я же спрашивал про долг отдающего, просто не вовремя.
Я с процентами верну. На денюжках будет ровно столько же в цифрах, сколько брал (ну, и плюс проценты, конечно).
Вот почему-то мне кажется, что проценты будете возвращать те, которые договорено изначально, а не скорректированные с учетом инфляции.
Долг не отдающего — это да. Я же спрашивал про долг отдающего, просто не вовремя
Вы второе предложение не прочли? Так я повторю!
<Человека, взявшего в долг количество денег равное эквиваленту стоимости квартиры, а вернувшего эквивалент стоимости обеда в столовке, тоже да, вором. Или мошенником. А вы как-то иначе?
Вот почему-то мне кажется, что проценты будете возвращать те, которые договорено изначально, а не скорректированные с учетом инфляции.
И что?
Правоохранительные структуры имеют право на многое.
Опубликовано-то на Заблокированном форуме, т.е. теоретически российские структуры не имеют права на этот форум заглядывать, даже если блокировка дырявая.
Чё это?
У нас нет запрета читать запрещенную информацию. Этот «оруэлл» вы путаете с западным подходом, там тебя могут арестовать за отказ расшифровать мусор на твоем компьютере: «В Англии ты можешь попасть за решётку за хранение шума».
У нас запрет только распространять запрещенную информацию.
Минутка заботы от НЛО
Гм, а в этой статье это зачем?
Статья ведь не про политику, а про дырявый банк.
Не пора ли дорогой редакции полным составом к мозгоправу, параною лечить?
Заодно, возможно, придёт и понимание, что глупые подписи в подвале ресурс от уничтожения не спасут.
Я от СБ уже ничего не ожидаю. Меня зовут Иван и мне на почту начали приходить промо-письма, в которых меня приветствовали, как "Дамиржан Байжанович". На просьбу объяснить, как такое вообще могло случиться, поддержка ответила, мол, другой клиент на эту почту подключил рассылку. Т.е. при подключении рассылки они даже не подтвердили адрес.
При всём при этом, отказались вмешаться в процесс вручную, и исключили мой адрес из рассылки (внимание!) в автоматическом режиме через 14 дней.
Т.е. добавили без моего ведома — моментально, а отписать — 14 дней. И эти 14 дней я читал "Здравствуйте Дамиржан Байжанович, а купите-ка наш продукт!". (т.е. не исправили даже обращение).
Свиньи, да и только.
Хотя, я предполагаю, что никакой другой клиент ничего на мой адрес не подключал. Очередной чёрный коричневый маркетинговый ход. Что не отменяет, а только подтверждает свинство организации.
Тогда они могли пойти мне на встречу и отписать моментально, как я и просил. Но мне ответили, что такой возможности нет, хавайте читайте ещё 2 недели
Что было значение почты по-умолчанию, если оно не заполнено, и оно принадлежало совсем левому третьему лицу на сервисе публичной почты, куда отсылались письма для тысяч разных людей.
Что-то типа ivan.ivanov@mail.ru
А потом таки провел ревизию и эти адреса схлопнул.
С тех пор «живу» вместе с Сарой из Британии на одном почтовом адресе.
Но т.к. моя почта была зарегана первой, я же и признан владельцем (хоть тут пронесло).
А Сарина почта теперь вся видна мне. И даже её попытки как-то в этом разобраться (переписка с саппортами)… весело.
На текущий момент мы обнаружили в совершенно свободном доступе (даже без пароля) 2499 строк из утекшей базы
Анализируют и купируют слухи.
Как только появилась информация об утечке — сразу начали форсить эту утечку в 200 карт. Если бы сберовцы отрицали — было бы хуже. А так все пожали плечами — мол ничего страшного, подумаешь карты пострадавшим перевыпустят.
А теперь хоть 1млн человек карты перевыпусти — никто и не поймет масштаба, будут думать что они просто попали в эти 200 человек из выборки.
А вот Роскомнадзор в традиционной позиции незамечания отечественных утечек. И это грустно
Чтобы минимизировать человеческий фактор, нужно использовать постоянное шифрование.
Подобные методы есть в разных СУБД.
Тогда никто не сможет увидеть всех данных, даже сам DBA.
На самом деле DBA может расшифровать, но если сможет, то это очень ценный и единичный спец.
Сбербанк заявил, что нашел виновного в утечке данных клиентов