Суд опубликовал подробности утечки персональных данных клиентов Сбербанка в 2019 году



    Красногорский городской суд Московской области опубликовал на своем портале приговор сотруднику Сбербанка, который смог похитить персональные данные клиентов банка в 2019 году. В данном документе подробно описаны действия злоумышленника, а также показания свидетелей и представителей пострадавшей финансовой организации.

    Подсудимый по этому делу получил срок 2 года 10 месяцев с отбыванием наказания в колонии-поселении по ст. 183 ч. 3 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Также он должен выплатить Сбербанку ущерб от репутационных потерь в размере 25 856 157 рублей.

    В конце 2020 года решение о взыскании с подсудимого 25,8 млн. рублей в пользу Сбербанка отменено.

    Злоумышленником оказался действующий сотрудник банка, который имел рабочий доступ к одному из каталогов закрытого сетевого сегмента Сбербанка. Он, используя корпоративные ПК и ноутбук, смог скопировать персональные данных клиентов банка, в том числе информацию о счетах, реквизитах платежных средств, номерах телефонов и учетных записях, составляющих банковскую тайну.

    Как происходила кража данных:

    • сотрудник с помощью системы предварительной обработки операций с банковскими картами Сбербанка сформировал единую выгрузку за некоторый промежуток времени и сохранил в виде архива под именем «2019-08-24-svod.rar» в доступном ему сетевом каталоге;
    • потом сотрудник скопировал архив с выгрузкой себе на рабочий ПК, размер файла выгрузки составлял около 5,7 ГБ;
    • на следующий день сотрудник переименовал файл «2019 08 24-svod.rar» в файл «мундиаль.mp4», чтобы скрыть настоящее содержимое архива, и переархивировал его, разбив на 187 частей. У него на ПК появились файлы «мундиаль.partXXX.rar», где XXX — порядковый номер фрагмента с 001 по 187. Архив имел части по 30 МБ, зашифрованные паролем;
    • на следующий день сотрудник скопировал многотомный архив из 187 частей из закрытой сети с одного своего ПК в сеть общего корпоративного сегмента сети Сбербанка, доступную более широкому кругу сотрудников. Для копирования файла сотрудник использовал корпоративный сетевой файловый перекладчик (так указано в приговоре), установленный на своем рабочем компьютере. Далее он выполнил копирование многотомного архива из 187 частей в почтовый ящик своей корпоративной электронной почты;
    • потом сотрудник с помощью корпоративной электронной почты произвел копирование многотомного архива из 187 частей на свой корпоративный ноутбук. С этого ноутбука он скопировал архив на личный флэш накопитель объемом 8Gb. Далее эти данные были им скопированы на личный ноутбук, который находился по месту его жительства. После копирования данных сотрудник, с целью сокрытия следов преступления, попытался уничтожить флэшку (написано, что он мог ее сжечь);
    • вечером из дома сотрудник с помощью личного ноутбука на теневой торговой площадке сети Интернет «HYDRA» под псевдонимом «kr33pm41» связался с покупателем, чтобы продать содержимое ранее скопированной информации по цене 5 рублей за строку;
    • на следующий день сотрудник выложил в сети Интернет файл с данными о не менее 200 клиентах банка, произвольно скопированных из общего архива. Ссылку на этот файл он передал неустановленному лицу;
    • далее сотрудник с помощью сервиса мгновенного обмена файлами «DropMeFiles» на теневой торговой площадке сети Интернет «HYDRA» разместил сведения о счетах, реквизитах платежных средств, номерах телефонов и учетных записях в отношении не менее 5 000 клиентов банка, произвольно скопированных из общего архива;
    • позже сотрудник получил оплату в криптовалюте биткоин за этот архив от покупателя, на тот момент сумма составляла 25 тыс. рублей.

    Специалисты отдела кибербезопасности Сбербанка, совместно с правоохранительными органами, в ходе расследования инцидента изъяли рабочую технику подозреваемого сотрудника, а также его личный ноутбук и всю подозрительную электронику у него дома, вызывающие у них сомнение. Флэшку они не нашли.

    Эксперт дочернего предприятия Сбербанк компании BI.Zone, которая занимается функцией разведки в интернете и белым хакингом, пояснил, что в ходе расследования он изучал данные с конфискованных дисковых накопителей из ПК и ноутбуков подозреваемого сотрудника, включая логи и журналы событий ОС. Он подтвердил, что файлы с архивом действительно были украдены описанным ранее сотрудником образом, а части архива были переданы по электронной почте внутри компании с помощью Outlook, причем на ноутбуке им были обнаружены и восстановлены удаленные сообщения электронной почты без указанного адресата. Эксперты выяснили, что подозреваемый перенес части архива на корпоративный ноутбук, не пересылая их по почте, а используя почтовый сервер, как хранилище, создав на ПК черновики 187 писем с вложением. Потом эта информация была скопирована на USB накопитель Silicon Power.

    Вдобавок эксперты пояснили, что на всех ПК других сотрудников отдела, которым временно руководил подозреваемый сотрудник, была заблокирована возможность подключения внешних носителей, кроме ПК руководителя, у которого этот порт не был заблокирован, так как он служил для передачи данных, полученных у клиентов, во внутреннюю систему банка. Вдобавок у подозреваемого сотрудника был доступ к трем новым корпоративным ноутбукам, на которых также не были заблокированы USB-порты.

    После внутреннего расследования представитель Сбербанка пояснил, что в организации сделали серьезные выводы и кардинально усилили контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.

    2 октября 2019 года Сбербанк рассказал об утечке данных клиентов. Банк признал, что пострадали не менее 200 клиентов, их карты были перевыпущены.

    4 октября Сбербанк отчитался, что подозреваемый в утечке данных задержан. Им оказался сотрудник кредитной организации, который руководил сектором в одном из бизнес-подразделений банка и имел доступ к базам данных.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 60

      +7
      получил срок 2 года 10 месяцев

      должен выплатить Сбербанку ущерб от репутационных потерь в размере 25 856 157 рублей.

      сотрудник получил оплату в Bitcoin за этот архив от покупателя, на тот момент сумма составляла 25 тыс. рублей.


      Нда… приличная разница.
        +4

        Большую часть он под домашним арестом отсидел. Выйдет по УДО через пару месяцев, подаст на банкротство и все.
        Очень мало у нас дают за такое. Это ж не просто ПД, это же все для использования в мошенничестве планировплось продать.

          –1

          К сожалению да. Основной штраф мошенникам всегда был финансовый (да и смысл их держать в тюрьмах и изолировать физически), а когда придумали новую логику банкротства не учли как одно с другим сочетается.


          Мне бы хотелось, чтобы такие штрафы выдавались как принудительный кредит с погашением через механизм типа алиментов — 50% от дохода любого в пользу погашения этого кредита. А если ещё этот кредит сделать наследуемым и близких родственников как созаемщиков… Желающих заниматься мошенничеством резко убавится. С другой стороны, с учётом развития нашей чудесной судебной системы есть шанс что все станут просто ещё больше должны государству...

            0

            Ну, кстати, насколько я почитал и если правильно понял — эти 25 млн рублей с него при банкротстве не спишут. Так как ущерб нанесен в результате умышленных действий в отношении кредитора.

              +1
              Мне бы хотелось, чтобы такие штрафы выдавались как принудительный кредит с погашением через механизм типа алиментов — 50% от дохода любого в пользу погашения этого кредита. А если ещё этот кредит сделать наследуемым и близких родственников как созаемщиков… Желающих заниматься мошенничеством резко убавится.

              За коррупцию наказание от трех лет начинается, и что, стало меньше коррупции?
              Мир работает чуть сложнее, чем "давайте запретим плохих дядей и они исчезнут"

                +3
                Мир работает чуть сложнее, чем «давайте запретим плохих дядей и они исчезнут»
                Это ладно, ещё смешнее читать на хабре «давайте отменим все законы и начнём жить по хорошим понятиям и плохие дяди исчезнут, ибо никто с ними дел иметь не будет», которые некоторые личности толкают на серьезных щах.
                  0

                  Ну а чо в компьютерах так работает, значит и в реальной жизни получится

                  0

                  Не корректное сравнение. Мы не знаем сколько было бы коррупционеров, не будь этого закона совсем.


                  Ну и стоит добавить, что про качество исполнения я сразу сделал ремарку — не все страны умеют в судебные системы, но это не делает правила бесполезными.

                  0

                  Про наследование вы конечно загнули. Родственники то почему должны нести ответственность за непутевого члена семьи?
                  Хотя в целом концепция кредита неплоха. Можно расширить ее на все случае материального вреда в принципе. К примеру, почему люди должны сами бегать за должником и искать у него средства к погашению? Просто повесить на должника кредит из специального фонда, и пусть государство в лице приставов само его трясет. Хоть мотивация работать появится.

                    0

                    Ну я бы рассматривал не всех родственников, а тех кто доказано мог остановить, но не остановил деяние. Финансовые преступления не сложно скрыть от бухгалтерии или юристов, но вот если надо будет скрывать ещё и от семьи — смысл для многих пропадет.

                      0

                      А как же 51 статья Конституции?


                      И вообще слишком нечеткие критерии. Довольно много обстоятельств может помешать остановить деяние даже при желании.

                        0

                        Эта статья позволяет не давать показания, но не покрывать преступника. Если ваш родственник кушает маленьких детишек на завтрак, вы об этом знаете но молчите — вы автоматически становитесь соучастником.


                        Аналогично с экономическими преступлениями — мужик несёт домой миллионы, покупает на жену квартиры, дарит сыну машины и все это при официальной зарплате 25К? Ну его нахрен, если в конституции есть статья, по которой можно так делать и никому ничего не будет.


                        Само собой решение о том было ли это соучастием или родственники правда не знали (может он на любовницу все переводил?) принимает суд.

                          0

                          Кто мешает в таких схемах жить без официальных родственных связей? Живет такой несун без родственников "которые могут остановить". Зачем тетке официальный статус? Чтобы при разводе отсудить? А как отсудить незаконно нажитое? Это как раз подстава. При разводе как раз самое то шантажировать — или ты мне отдаешь половину добровольно и остаешься с половиной, или разводимся по суду и у тебя из подтвержденного остается 10% и из них твоя доля 5%. Ну и со штрафами еще в подарок разбираешься.

                            0

                            Так я про это и написал. Кого-то остановит т.к. уже есть родственники, дети и надо будет всех бросить и потом ещё не факт что удастся защититься и убедить суд что развод был не чтобы специально уйти от закона. Конечно не на всех такое подействует — законы вообще штука такая — не на всех работает.


                            В целом я остаюсь при своей логике — сейчас штрафы иногда такие, что выгодней своровать, переписать все на семью, отсидеть немного и потом жить счастливо. Так что родственники должны нести ответственность. Разумеется не в режиме "отсидеть за брата, которого 15 лет не видел".

                    0

                    Весело будет когда на вас повесят штраф брата-алкаша которого вы последний раз видели 15 лет назад.

                      0

                      Мне кажется где-то похожее есть. Не сразу, но долгими годами в обществе вырабатывается контроль семьей всех своих членов. И люди больше боятся наказаний со стороны родственников, чем со стороны государства. По типу: боец залетел, отдувается весь отряд. Потом отряд воспитывает бойца. Нам это кажется диким немного, но это работает.

              • UFO just landed and posted this here
                  +16
                  Это были клиента того, старого Сбербанка, а теперь он — Сбер.
                  –1
                  Специалисты отдела кибербезопасности Сбербанка России в ходе расследования инцидента изъяли… всю подозрительную электронику у него дома

                  Я вот что-то не понимаю, специалисты отдела кибербезопасности Сбербанка России на себя взяли функцию правоохранительных органов? И уже могут врываться в дома и изымать имущество?
                  Ничего себе, «белые хакеры».
                    +1
                    Я не думаю, что они сами пришли, и сами изъяли. Естествено, всё скорее всего происходило в присутствии полиции. Сами они за такое по шапке бы получили. Чувак из Group-IB в каком-то интервью рассказывал, как это происходит. Они регулярно принимают участие в оперативных мероприятиях. Просто простой полицейский вообще не вкуривает, чё там с этими компами делать, что изымать, что важно, а что нет. Потому в таких мероприятиях всегда участвуют специалисты со стороны, которые понимают, что им надо для раскрытия такого вот разбойника.
                      0
                      Я с Вами согласен. Скорее всего именно, что «в присутствии».

                      Но, в заметке написано, что именно сами пришли и изъяли. А полиции и рядом не стояло. Это сразу резануло глаз.
                        0
                        Специалисты отдела кибербезопасности Сбербанка, совместно с правоохранительными органами, в ходе расследования инцидента изъяли...

                        Поправили этот несчастный абзац. Стало лучше, но не сильно.
                        Вы понимаете, что специалисты Сбера не имеют, просто не имеют права что либо изымать в чужом доме?
                        Юридически они «никто», в лучшем случае — назначенные следствием эксперты.
                          +1
                          Чье участие в следственных действия автоматически делает их результат бессмысленным, т.к. это заинтересованные лица.
                            0
                            Полностью с Вами согласен.
                            Их даже экспертами нельзя привлечь. Только свидетелями.
                      +3
                      Злоумышленник под личиной сотрудника

                      это как? кожу сотрудника на себя натянул?
                        0
                        это как? кожу сотрудника на себя натянул?

                        Ага, по вот этой инструкции
                        image
                        0
                        интересно, неужели вендоры до сих пор не научились делать ноутбуки без выведенного USB порта вообще — для нужд вот таких корпоративных клиентов?
                        • UFO just landed and posted this here
                          0
                          А мобильники начали у сотрудников сбера отбирать?

                          Ведь вывел на экран инфу — снял камерой мобилы и унес. Да — потом больше мороки с распознаванием текста (ибо картинки никто не купит). Но никакого физического контакта личного и корпоративного оборудования — нет, а утечка информации — есть.

                          И, да, я понимаю, что там везде камеры/чужие глаза и все такое. Но если с умом подойти к вопросу, то я думаю это вполне реальный способ.
                            0

                            Мне кажется, это задачка для студента на несколько дней работы: приложение на телефон, которое камерой снимает выводимый на экран шестнадцатеричный дамп файла и сразу делает копию на носитель… Если еще проще, то просто запись видео для разбора дома другим софтом, если в мобило-программировании не силен. В консоли же пишется скрипт, который выводит на экран поданный файл. Доступа в систему для загрузки передающего ПО не требуется — обычный текстовый редактор. Да, медленно. Но лучше чем ничего.

                              0
                              Тут не столько программная проблема.
                              В первую очередь нужно не засветить сам факт такого действа.

                              Тип из статьи имел право пользоваться флешками и что он там на на своем рабочем компе делал — оно вполне вписывается в штатное поведение сотрудника. А вот достать мобилу и снять экран — это 100% палево если ты попал на камеру/глаза другим сотрудникам.

                              Но вот чисто на здравый смысл видны вполне «непалевные» варианты:
                              — можно положить на стол зеркало (косметичка) и тогда уже можно делать вид что SMS строчишь, а на самом деле экран снять (но тут еще и зеркало стоит как-то замаскировать/положить в слепую зону камеры, ибо если на камере все это видно, то сложить 1+1 — не так и трудно). Причем правильное положение зеркала и телефона можно потренировать заранее на любом компе похожем на рабочий.
                              — поискать место за пределами рабочего места, на котором камера не захватывает, но экран еще не слишком далеко для съемки.
                                +1

                                Исходя из ваших и Mishootk предположений, можно подумать что Профит от действия — жизнь на собственном острове с новым именем…
                                А тут 25т.р. (да пусть хоть 250 хоть 2500) тут самая действенная защита это то что виновного публично наказали несоизмеримо с тем уровнем дохода, который он получил, это ключевое. А важную и дорогую информацию можно и в голове вынести, и что тогда, не давать в экран смотреть? :)
                                Про запрет мобильника, не надо упоминать, внедрят ведь...

                                  0
                                  Так фотоаппараты размером с 5 рублей на алике ещё лет 10 назад были…
                                  0
                                  Но вот чисто на здравый смысл видны вполне «непалевные» варианты:
                                  воспользоваться компактными камерами, которые будут плохо различимы с помощью видеонаблюдения в офисах банка.

                                  Ровно по этому, единственный способ — это проверять, что данные получены в рамках обращения клиента (в втб каждый раз паспорт сканируют), либо что менеджер является курирующим конкретного клиента по таким-то вопросам в текущий момент (типа ведёт сделку по ипотечному кредитованию).
                                    0
                                    Если ты можешь пользоваться флешками, тебе ничто не помешает подключить телефон к компу и скопировать на него
                                    0

                                    Зачем хекс и прочее, выводить цветные пиксели и снимать полезную нагрузку сразу через hdmi кабель

                                      0

                                      В правильно защищенной системе порты не только заблокированы. Некоторые должны быть еще и физически недоступны. Так мы можем и в аудио воткнуться для съема. Так что видеокабель в теории на обоих концах под пломбой. Ну или вот тебе моноблок и наружу ничего не торчит.

                                    +1
                                    Реальный способ и конкуренция большая) Поэтому ты можешь за 500 рублей пробить данные конкретного человека через рядового сотрудника, либо за 5 рублей х миллионы строк пробить целый «портфель» через сотрудника порисковее
                                      0

                                      Но доступ к данным все равно фиксируется. Чувака вычислили по результатам аудита запросов к базе и учётки, под которой они были выполнены.

                                        0

                                        Фотографировать экран запрещено.

                                          0

                                          Телефон лежащий на столе с наклеенной призмой на камеру и прикрытый толстым чехлом ничем себя не выдает. Если не говорить уже о специально замаскированных камерах, например, встроенных в чашку или корпус от брелка для автосигнализации.

                                            0
                                            зачем на столе, когда можно засунуть в карман рубашки камерой наружу и поставить софт, который автоматом фоткает?)
                                        +10
                                        которым временно руководил подозреваемый сотрудник
                                        Один из руководящих сотрудников украл данные, чтобы продать их за двадцать пять тысяч рублей.
                                        Они там за еду работают, чтобы такие схемы проворачивать?
                                          +2

                                          Да там одно название должности тысяч на сто
                                          " занимая должность начальника сектора Сектора продаж розничных продуктов «Север» № направления дистрибуции «Север №» направления дистрибуции «Север» направления внешней дистрибуции Управления прямых продаж блока РБ подразделении Московского банка аппарата банка московского банка территориальных банков ПАО Сбербанк"

                                            0
                                            названия то красивые, а толку…
                                            +1
                                            Работать в нашем банке — большая честь!
                                            +1
                                            Пострадало не менее 200 клиентов, а объём скачанного составил без малого 6 гектар. Так-то я понимаю, что 100 000 клиентов тоже не менее 200, но… Он там досье на каждого в HD качал, что ли?
                                              0
                                              Какая прелесть: сотрудник несколько дней гонял по сетке 6Гб, но нигде не зазвучала тревожная музыка…
                                                0
                                                Сотрудник на хорошей должности с хорошей зарплатой, рисковал всем, в том числе и свободой, за 25 тысяч рублей. Ради чего? Адреналина ему не хватало или у него не все дома?
                                                  +1
                                                  При том какой штат у сбера — оба варианта вполне вероятны.
                                                    0

                                                    Исходя из статьи, складывается ощущение что попал под контрольную закупку, которая ему была преподнесена как тестовая для проверки реальности базы. 6Гб(это rar, а интересно банк купил лицензии на winrar :)) это вряд-ли инфа всего о 5 тыс.ч. как бы там в файлике не побольше было… Хотя что за информация данных нет может там вообще операции из важного отделения, кто знает...

                                                      0
                                                      сейчас не знаю, а вот раньше..))
                                                        0
                                                        Как сотрудник Сбера, могу сказать, что лицензии куплены на всё и вся, в т.ч. и на Winrar, и на Total Commander, и на IrfanView. Тут комар носа не подточит, всё по-честному.
                                                        А вообще тут голубая мечта всех пересадить на макось и линух, потихоньку в этом направлении двигаемся. Во всяком случае, свободный софт чуть ли не каждый день пачками сертифицируется и закачивается во внутренний периметр. Например, если сотруднику по работе нужен MS Office — сначала проверяется, действительно ли он нужен, и рекомендуется остановиться на использовании LibreOffice.
                                                          0

                                                          Я к тому что непонятен смысл использования rar хотя есть 7zip :)
                                                          В принципе, могу сказать только насчёт "комар носа не подточит' обычно в крупных организациях проблема не в том чтобы купить, а в том чтобы оформить, и вот из этого "сначала проверяется, действительно ли он нужен" вполне может выйти "проще по другому".

                                                            0
                                                            Честно говоря, не очень понял смысл второй половины фразы, а насчёт 7zip — а как же, само собой есть и он, но к rar-у уже все за многие годы привыкли, многие вещи под него заточены… пусть уж будет пока.
                                                      0
                                                      Что-то не сходится. Если «далее сотрудник с помощью сервиса мгновенного обмена файлами «DropMeFiles» на теневой торговой площадке сети Интернет «HYDRA» разместил сведения о счетах, реквизитах платежных средств, номерах телефонов и учетных записях в отношении не менее 5 000 клиентов банка, произвольно скопированных из общего архива;» и при этом сбербанк перевыпустил карты только 200 клиентов — они сами у него этот слив купили, что ли? Или 4800 клиентов уже не были клиентами на момент расследования?
                                                        0
                                                        они сами у него этот слив купили, что ли? Или 4800 клиентов уже не были клиентами на момент расследования?
                                                        Вполне вероятно и первое, и второе, и сочетание факторов вместе. Им же явно нужен был факт слива зафиксировать умышленный и за деньги, вот могли и запросить контрольную от чела, обещая там миллионы за большую базу. После чего как доказательство использовался и полученный файл, и логи кто к этим данным в данный период получал доступ.
                                                        0
                                                        пострадали не менее 200 клиентов, их карты были перевыпущены
                                                        если бы банк перевыпустил 60млн. карт — это бы не осталось незамеченным.
                                                          +1
                                                          О сберике, но не совсем по теме.
                                                          1. В прошлом году меня 2 раза проспамили по проводному телефону, который я давал налоговой богадельне при регистрации ИП:
                                                          — Хотите завести у нас в сбербанке расчётный счёт ИП?
                                                          — Нет.
                                                          — Тогда послушайте наши предложения…
                                                          Хренея, клал трубку: лет 20 назад такое невозможно было представить…
                                                          Очевидно, берут номера телефонов с сайта со списком егрип и спамят. Я в местном офисе сберика спросил какую-то начальницу отдела:
                                                          — Что это было? Это из сберика звонили?
                                                          — Да, из их московского коллцентра.

                                                          2. Лет 5 назад в вышеобозначенном офисе сберика на стене висела любопытная бумага, на которой зелёным цветом было написано:

                                                          Наше кредо:


                                                          Нравственное и физическое совершенство (борьба за всё хорошее со всем плохим и т.п., всё не запомнил).

                                                          Это выглядело, как 10 заповедей настоящего коммуниста. Я хотел сфотографировать её, но было как-то стрёмно… А после ремонта этих бумаг уже не было. Интересно, можно ли найти где-то текст этой программы для сотрудников сберика?

                                                          3. Сейчас многие корпорации всё больше напоминают тоталитарные секты, по этому поводу есть книжка «Код завинчивания». Сберик тоже относится к таким корпорациям? Кстати, один мой знакомый одно время работал контролёром в сберкассе и рассказывал, что приходилось работать сверхурочно иногда аж до 8 часов вечера, при этом за сверхурочные не платили (а попробуй заикнись об этом...)
                                                            0
                                                            Аж до 20? помню банкоматы девченки грузили в 1 ночи, чтобы на работу прийти не в 7 утра на следующий день, а хотя бы в 8.

                                                          Only users with full accounts can post comments. Log in, please.