Сбербанк подтвердил утечку данных 5 тыс. учетных записей кредитных карт

    Появились дополнительные факты, выявленные в ходе расследования по обнаружению канала утечки данных учетных записей по кредитным картам клиентов. Согласно пресс-релизу банка от 7 октября 2019 года, подозреваемый в совершении утечки сотрудник финансового учреждения в конце сентября 2019 года продал информацию, содержащую в совокупности данные о пяти тысячах учетных записей кредитных карт Уральского банка Сбербанка. Ранее представителями банка было заявлено об утечке данных только по 200 картам.

    Два дня назад Сбербанк сообщил, что завершил внутренне расследование и нашел сотрудника-злоумышленника. Им оказался руководитель сектора в одном из бизнес-подразделений. Согласно предоставленной ранее информации в пресс-релизах банка, этот сотрудник уже дал признательные показания о хищении двухсот учетных записей кредитных карт. Теперь же это количество похищенных записей стало в 25 раз больше.

    Сотрудниками службы безопасности банка совместно с правоохранительными органами собрали и задокументированы улики совершенного преступления. В ходе расследования дополнительно было установлено, что пойманный за сбор и кражу данных сотрудник все же смог продать в конце сентября 2019 года одной из преступных групп в теневом интернете (даркнете) пять тысяч учетных записей кредитных карт Уральского банка Сбербанка. Продажа проходила в несколько этапов. Большая часть записей в проданной базе данных является устаревшей и неактивной.

    В проданной базе есть данные: ФИО, номер паспорта, номер карты, ОСБ, филиал, лимит кредита, дата опердня, место и адрес работы, срок действия карты, номер счета карты, дата рождения держателя и его адрес, процентная ставка.

    По заявлению представителей банка, на данный момент активные карты из этой утечки перевыпущены, угрозы для средств клиентов нет. Виновному в утечке данных клиентов сотруднику Сбербанка грозит уголовная ответственность. Сотрудник объяснил свои действия личными причинами. На данный момент в СМИ информации о возбуждении уголовного дела нет. Налицо лишь признаки незаконного получения и разглашения сведений, которые составляют банковскую тайну (ст. 183 УК). Максимальное наказание по этой статье — принудительные работы на срок до 5 лет либо лишение свободы до 7 лет.

    По данным издания "Коммерсантъ", эксперты по ИБ ранее находили в открытом доступе разбитые на несколько фрагментов базы данных в совокупности на 2 тыс. записей, часть из которых может быть еще не заблокирована на данный момент.

    Для предотвращения утечек данных Сбербанк использует DLP-систему компании InfoWatch. По заявлению зампреда правления банка Александра Ведяхина, который возглявлял штаб по проведению внутреннего расследования этой утечки, файлы с данными учетных записей кредитных карт не были доступны извне и находились во внутренней директории одной из систем, а копию данных на внешний носитель или на другое устройство во внутренней сети пользователь сделать не может.

    Руководитель отдела аналитики Searchinform Алексея Парфентьева считает, что расследование еще проведено не полностью и банк не знает точно, сколько утекло в действительности данных, либо его реальные результаты умышленно умалчиваются.

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 76

      +6
      смог продать в конце сентября 2019 года одной из преступных групп в теневом интернете

      А что это именно преступная группа, а, например, не какой-нибудь одиночка или вообще исследователь в области безопасности — следствие тоже уже установило? Их арестовали? :)
      Большая часть записей в проданной базе данных является устаревшей и неактивной.

      То есть банк уже проверил все 5000 записей на предмет ФИО, телефона, даты рождения, места работы и места жительства, номера паспорта — и все эти данные уже недействительны у большинства из этих 5000 записей?
      не были доступны извне и находились во внутренней директории одной из систем, копию которой на внешний носитель или другое место пользователю с правами, которые были у злоумышленника, невозможно было сделать

      Это означает, что следствие знает кто, знает когда, знает кому, знает сколько… но не знает как? Как-то бредово звучит :) Ну или непонятно для чего вообще он озвучил это замечание.
        +2

        Особенно ФИО деактивировалось, либо все умерли, либо это были не замужние девушки и они все разом женились.

          0
          Почему обязательно девушки? ФИО может сменить любой гражданин и меняют вполне спокойно, процедура достаточно проста. Хотя бредовости заявления это не отменяет.
            0
            не замужние девушки и они все разом женились.

            Несоответствие некоторое наблюдаю я. Или они вместе с фамилиями ещё и ориентацию сменили. для пущей безопасности. А может и ещё пол.
              0

              Да, опечаточка.

                +1

                Ударим, граждане, неактуальностью по утечкам, сменим пол и крышей уедем!

                  +4
                  — Здравствуйте, для вас предварительно одобрен…
                  — Откуда вы взяли мой номер?
                  — Так у [роскомнадзор] банка украли базу, мы оттуда и того, значит.
                  — Вы разве не знаете, данные в этой базе уже неактуальны.
                  — Ой, извините, хорошего вам дня, до свидания!
            +2
            Перевыпуск карты сделает устаревшей в украденной базе только номер карты (срок действия зато станет известным даже тем кто базу не видел), а учитывая что последние пару раз мне сбербанк перевыпускал карты с тем же самым номером…
            С остальными то данными о человеке что делать?
              0
              Тот же самый номер при штатном перевыпуске по истечению срока действия. При принудительном перевыпуске с блокировкой предыдущей карты номер меняется.
                0
                Нифига. Продлевал карту 2015 года, которая истекла в 2018-м. Выпустили с новым номером, но привязали к тому же р\с.
                  0
                  Может они не могут тот же номер дать если предыдущий период не закончился? У меня тоже был случай когда карту с тем же номером давали.
                    0
                    У меня как раз закончился. Пару дней спустя спустя после того, как карта превратилась в тыкву, я об этом вспомнил, и заказал перевыпуск.
                      0
                      Ну у меня опыт только со сбером, а они сами перевыпуск делают с сохранением номера.
                        0
                        Так я про сбер и говорю. Вот ровно год назад делал.
                          0
                          Видимо, когда клиент заказывает перевыпуск, то номер меняется. Хотя странно, что Сбербанк сам не почесался, обычно у них это автоматически происходит и надо самому не провафлить момент, если сменил место жительства, чтобы заранее изменить отделение, куда карту пришлют.
              +12
              Хм, еще через неделю выяснится, что не 5`000, а 50`000. А через месяц… ну, вы поняли.

              Жду, когда с отечественных баз массово биометрия потечёт (или уже?). Тогда вообще киберпанк настанет и фиг кому что докажешь :(
                +2

                То есть он всё-таки продал. А раз продал, значит вынес. Что там, расследование завершено, да?

                  +6

                  Так стоп! Они же уверяли что была утечка по 200 картам. Было такое дело?

                    0

                    Так эта… Вскрылись новые факты!

                      +1
                      А сколько на самом деле украли Вы узнаете после рекламы!
                      Не переключайте канал!
                    0
                    Интересно, сколько ему светит
                      +2
                      Смотря сколько успел заработать… Если продал много, то светит мало, если продал мало, то светит много… А так, написано в статье до 5 лет принудительных работ или 8 лет лишения свободы.
                        0
                        Из чего можно сделать вывод, что 1 год на работе равен 1.6 годам в колонии. Всегда подозревал подобное соотношение
                        +1
                        Практически полный аналог
                        Ленинский районный суд г. Владивостока вынес приговор по уголовному делу в отношении местной жительницы, которая признана виновной в совершении преступления, предусмотренного ч. 4 ст. 274.1 УК РФ
                        Обладая достаточными знаниями о работе в специальной автоматизированной системе, имея к ней доступ, она осуществила копирование компьютерной информации, содержащей персональные данные абонентов

                        По статье 274.1 — нарушение правил работы в сети с КИИ. И это просто против
                        +7
                        Судя по новостям идет какой-то торг то 60кк, то 200, теперь 5к юзеров.
                          +2
                          По 5 рублей за запись. Мы ж все верим, что человек будет рисковать свободой ради 25к.
                            0
                            На самом деле история знает много случаев, когда человек рисковал свободой и за куда меньшие суммы.
                          +9
                          Появились дополнительные факты

                          Все по методичке «Как сварить лягушку заживо». Через несколько серий появятся реальные цифры. Но эта тема уже настолько надоест, что и внимания особо никто не обратит.
                            0

                            Как скрыть хищение 60 млн записей? А просто сделать громкую новость, что кто-то точно украл 200 записей. Потом оказывается, что 5000. А потом выяснится, что еще больше, но про исходное сообщение все забудут — точно.

                              0
                              Вот оно и странно. Я вообще не понимаю, зачем им надо было идти дальше 200, которые они были просто вынуждены подтвердить, потому что Ъ так сказал. Разве что кто-то продолжает сливать и поэтому можно предположить, что лягушек у нас на самом деле два вида: зеленые и зеленые у зеленых.
                              +1

                              "Копию данных на внешний носитель или на другое устройство во внутренней сети пользователю сделать невозможно."
                              Ну… я бы не был столь категоричен в утверждениях после ТАКОЙ утечки.

                                0
                                Ну можно на телефоне включить запись видео, а на компьютере пролистывать страницы. Потом нарезать кучу кадров и отдать в яндекс.толоку капчи разгадывать.
                                  +1

                                  А еще можно переписать на листок бумаги с экрана (наверняка, это не запрещено?)

                                    0
                                    А можно скопировать бэкап, а потом развернуть его у себя дома
                                      0
                                      Можно конечно, но
                                      Картинко
                                      image
                                        0
                                        Ну в общем-то запрещено инструкциями. Да и частично данные все равно звездочками закрыты, так что и видео/фотосъемка не поможет (которая кстати тоже запрещена).
                                      0
                                      один мой друг, имя которого я не помню, работал в сбере, флешки пихались только влет, курсачи распечатать например. Но да, сделать «пользователю сделать невозможно».
                                      +1
                                      Начальник сектора в 28 лет. Хорошая зарплата. Вся жизнь впереди.
                                      Откуда такое желание спустить свою жизнь в унитаз?
                                        +1

                                        Жадность, ипотека, отношения с дорогой во всех смыслах девушкой, болезнь… Мало ли возможных причин.

                                          0

                                          "Почему я, будучи начальником, не могу себе позволить вон тот красивый автомобиль за 7 лямов, а на сдачу еще и особняк купить?"

                                            +1
                                            Да в том-то и дело, что шанс уйти безнаказанным настолько мал, что им можно пренебречь.
                                            В Сбере очень серьёзная система кибер-безопасности, каждый чих логируется. Каким же надо быть остолопом, чтобы надеяться на чудо?
                                              0
                                              Ну чудо же произошло. Данные были украдены.
                                                0
                                                Внимательно читайте новости: его поймали. Так что чуда не произошло.
                                                  0

                                                  Чуда бы не произошло, если бы СБ его накрыла в тот момент, когда он пытался эту базу, условно говоря, "скачать".


                                                  Хотя да, чуда и так не произошло, произошло обычное разгильдяйство.

                                                    +1
                                                    Специально для «танкистов»: да хрен с этими данными! Его же взяли, и он сядет. И не сможет воспользоваться деньгами. Сам — в тюрьме, а жизнь — в дерьме.
                                                    Я никак не могу понять, чем думают подобные люди, когда решаются на такое. На что они рассчитывают? Откуда у них такая бешеная уверенность, что их не найдут?
                                                      0
                                                      На что они рассчитывают? Откуда у них такая бешеная уверенность, что их не найдут?

                                                      Горизонт планирования, как у золотой рыбки. Плюс наша действительность — «вон, пилят даже не особо скрываясь, а я что хуже?»
                                                        0
                                                        Даже обидно и завидно немного. Как эти «золотые рыбки», имея такие интеллектуальные неспособности, попадают на такие должности?
                                                        Сам-то и старался, и жопу рвал, а до главного инженера так и не дошёл. :-(
                                                          0
                                                          Как эти «золотые рыбки», имея такие интеллектуальные неспособности, попадают на такие должности?

                                                          Эффективный менеджер, это особый склад ума — там подсидеть, тут подосрать, здесь вовремя лизнуть, приподняться, срубить бабла, развалив при этом всё, до чего дотянулся, вовремя спрыгнуть в другую контору.
                                                          Повторить.
                                                            0

                                                            Вы не понимаете. Это ошибка выжившего. Те люди, которые глупее вас и на ваших или более худших позициях — они в принципе не выживают. Те кто — глупее, но на более высоких позициях — как раз из-за последних и нормально существуют.

                                                          0

                                                          Ну, во-первых, да, люди творят порой невероятнейшую дичь, человеческая глупость – это же не вселенная, она и правда бесконечна.


                                                          А во-вторых, где гарантии, что он и правда истинный виновный, может просто "партия" его назначила.

                                                            0
                                                            Ну может и не назначила, а он например тоже кой-чего пытался вынести, но начали копать везде и всплыло
                                                            Опытных манагеров везде (не только в банке) ждут на новом месте со своей «базой клиентов», многие пытаются себе заначку сделать. Без базы светят только начальные позиции и голый оклад.
                                                              0
                                                              Это как раз одна из причин воровства, а если нет базы иди на авито и смотри телефоны там.
                                                              –1
                                                              человеческая глупость – это же не вселенная, она и правда бесконечна.

                                                              А с чего Вы взяли, что вселенная не бесконечна?)
                                                                0

                                                                Это была отсылка к цитате:


                                                                Есть две бесконечные вещи: Вселенная и человеческая глупость. Впрочем, насчет первой я не уверен.
                                                              +2
                                                              Кого-то взяли и возможно кто-то сядет. Имеет ли этот человек отношение к произошедшему неизвестно. Вполне может быть договорняк, что человек берет на себя этот факап Сбера, а его отмазывают и снабжают деньгами до конца жизни. Либо просто взяли первого попавшегося не имеющего отношения и на него повесили.
                                                              Оба варианта гораздо вероятней, чем то, что взяли преступника.
                                                              0

                                                              Чудо произошло — показательная порка заставит остальных лучше продумывать свои дейсвтия (а у большинства вообще отобьёт желание сказочно разбогатеть). Задача не сделать невозможной жизнь сотрудника, когда на каждый необходимый в работе чих нужно получать служебку с 7 печатями, а отбить мысли о нанесении вреда компании (в некоторых компаниях, возможно, наоборот). И даже если на самом деле не он, то воспитательный эффект для остальных всё равно будет.


                                                              Gar02


                                                              Я никак не могу понять, чем думают подобные люди

                                                              Я самый умный, никто не догадается что я задумал, а вы лохи и лузеры. Мог считать себя героем фильмов про мошенников, которые мастерски кидают всех — работодателя, покупателя с предоплатой, а в конце уезжает в кабриолете в закат, для такого достаточно и 200 записей (вот только необходимого условия не спалиться он не выполнил).


                                                              balamutang


                                                              а он например тоже кой-чего пытался вынести,

                                                              На самом деле там каждый менеджер пытался вынести и продать 200 записей, иногда они пересекались и потом получилось 60 лямов из 40 возможных.

                                                                +1
                                                                понимаю что опоздал на много лет, но может еще не поздно:
                                                                Идея для стартапа — надо сделать соцсеть vSbere для обмена вынесенными данными. Можно обменять свои 200 строк на другие 200 строк. Также посредничество и арбитраж сделок. Посредник будет автоматически сверять базы на совпадения строк и прочие услуги.
                                                                Распространить инвайты можно по той базе сотрудников что утекла раньше. Со временем можно выйти на другие банки и даже на международный рынок. Бонус — бесплатная музыка и рубрика Знакомства.
                                                                  0
                                                                  Лайки ставить можно будет?
                                                                  Home video банить не будете?
                                                                    0
                                                                    Они будут называться «строки», они же будут внутренней валютой
                                                              +2
                                                              В первой новости уже написали что поймали, и утечка только 200 клиентов. Остальным — нет причин для беспокойства. Подчеркнуто, извинения были принесены только этим двум стам.
                                                              Во второй новости пишут что утекло 5000.
                                                              В третьей, возможно, выяснится, что пока не поймали или поймали не всех и утекло еще на порядок больше.
                                                                0
                                                                он мог сказать, что украл только 200, а про остальное умолчать, т.к. деньги получил, и они ему пригодятся, когда выйдет из заключения (если вообще сядет, а то может и условку получить)
                                                                  +2
                                                                  Если бы о 60 млн расстрелянных лично не написали бы в СМИ — произошло бы.
                                                                  Смотрите на даты:
                                                                  удалость продать — в конце сентября
                                                                  похищены — очевидно, раньше.
                                                                  СБ зачесалась — после публикации в СМИ, и за 2 дня нашла крайнего. То есть, никакой алерт на вынос данных (ни 200, ни 5 000, ни 60 000 000) не срабатывал.
                                                                    0
                                                                    Мы обсуждаем с Вами факт утечки. Человек может и сядет, а данные людей Вы тоже арестуете?:)
                                                                    Плюс это известный случай и если бы его СБ приняло при попытке утащить это одно. А тут начали расследование после попытки продать.
                                                                    Т.е. сколько реально было утечек, которые продали по приватным каналам — неизвестна, зато понятно, что при такой организации работы СБ это возможно.

                                                                    Или ещё короче мысль — сгоревший дом не тушат.
                                                            0
                                                            Возможно, что это стрелочник.
                                                              +2

                                                              Откуда такое желание верить тому, что говорит Сбер?


                                                              Возможные варианты реальных событий:


                                                              • базу слил рядовой сотрудник, но это нельзя признавать, все поймут, какие у них дыры в безопасности
                                                              • базу слил сторонний сотрудник, но это нельзя признавать...
                                                              • базу слил вообще неизвестно кто, никого не поймали, но это нельзя признавать...
                                                              • базу слил (потерял?) крупный начальник, но получилось свалить на этого молодого нач.сектора.
                                                                … и так далее

                                                              Так что нет смысла гадать о мотивах некоего виртуального персонажа, которого Сбер создал толпе на растерзание. Пока не появится интервью с конкретным человеком, да и там нельзя быть 100% уверенным.

                                                                0
                                                                Не факт что все так уж хорошо. ЗП в больших конторах не только от должности зависит, но и от стажа в конторе. Вполне может быть ситуация что начальник отдела, который пришел год назад получает меньше чем кассир-операционист, который уже 15 лет работает.
                                                                  0
                                                                  таких кассиром-операционистов после прихода Грефа уже нет. Выперли всех на улицу.
                                                                0
                                                                Так где санкции против сбербанка? Почему он безнаказанный за такую подставу, где куча извинений и мы больше так не будем, что за ересь быть настолько худыми в плане безопасности и настолько наглыми чтобы забить на клиентов
                                                                  +1
                                                                  Чего вы ждёте от банка, если его глава не стесняясь говорит, что подавляющая масса населения — дебилы, а оставшуюся часть надо привести к такому состоянию, чтобы было проще «управлять» страной?
                                                                  Греф о народе
                                                                    0
                                                                    Простите, а разве говоря, что подавляющая масса населения — дебилы Греф говорит неправду?
                                                                      +1
                                                                      К сожалению, это ужасная правда.
                                                                      Я вот недавно забыл об этом, и чуть не поплатился: радостно вызвался помочь людям решить проблему с их коммерческим ПО. И получил обвинения в саботаже: чего это я сразу не сказал, что такая проблема есть в их ПО? А они потратили время, чтобы найти причину! Вот я сволочь-то!
                                                                      То есть я должен был догадаться, что они не читали баг-трекер Linux и не выпилили именно эту известную «фичу» из своего коммерческого дистрибутива. Виновный найден!
                                                                      Впредь буду хитрее.
                                                                      +1
                                                                      Это вполне укладывается в стиль управления Грефа, в год когда Сбер впервые заработал рекордный доход, о котором по телику помню трубили, рядовые сотрудники получили почти половину премии от обычной. Так, что его высказывания не удивляют ни разу.
                                                                    +3
                                                                    Отлично, осталось еще 59'994'800.
                                                                      0
                                                                      «Ты руки то поменьше сделай, а то я же сейчас город расфигачу» (Ц) Диалог рыбаков.
                                                                      +2
                                                                      Может, это вообще разные кражи? один 200 украл, другой 5к, третий — 60м. Мы же не знаем. Если организация взяла курс на отрицание, то верить ничему нельзя.

                                                                      Да, кстати, задачка по теорверу для сотрудников сбера. Сбер утверждает, что большинство украденных данных устарело.
                                                                      Коммерс взял наугад 20 карт из 2000, проверил их — все оказались действующими (https://www.newsru.com/finance/08oct2019/sber_fraud.html).
                                                                      Предположим, что в украденной базе 50% карт актуальны. С какой вероятностью журналисту коммерсанта повезло наугад вытащить 20 актуальныз карт?
                                                                        0
                                                                        Тут ведь какое дело. Для банка может быть период обновления актуальности данных, к примеру 2 года, и все данные не обновленные после этого срока, они могут считать устаревшими.
                                                                        Устаревшие данные != недостоверные.

                                                                      Only users with full accounts can post comments. Log in, please.