Как стать автором
Обновить

Суд опубликовал подробности утечки персональных данных клиентов Сбербанка в 2019 году

Время на прочтение4 мин
Количество просмотров24K
Всего голосов 12: ↑10 и ↓2+13
Комментарии62

Комментарии 62

получил срок 2 года 10 месяцев

должен выплатить Сбербанку ущерб от репутационных потерь в размере 25 856 157 рублей.

сотрудник получил оплату в Bitcoin за этот архив от покупателя, на тот момент сумма составляла 25 тыс. рублей.


Нда… приличная разница.
НЛО прилетело и опубликовало эту надпись здесь

К сожалению да. Основной штраф мошенникам всегда был финансовый (да и смысл их держать в тюрьмах и изолировать физически), а когда придумали новую логику банкротства не учли как одно с другим сочетается.


Мне бы хотелось, чтобы такие штрафы выдавались как принудительный кредит с погашением через механизм типа алиментов — 50% от дохода любого в пользу погашения этого кредита. А если ещё этот кредит сделать наследуемым и близких родственников как созаемщиков… Желающих заниматься мошенничеством резко убавится. С другой стороны, с учётом развития нашей чудесной судебной системы есть шанс что все станут просто ещё больше должны государству...

НЛО прилетело и опубликовало эту надпись здесь
Мне бы хотелось, чтобы такие штрафы выдавались как принудительный кредит с погашением через механизм типа алиментов — 50% от дохода любого в пользу погашения этого кредита. А если ещё этот кредит сделать наследуемым и близких родственников как созаемщиков… Желающих заниматься мошенничеством резко убавится.

За коррупцию наказание от трех лет начинается, и что, стало меньше коррупции?
Мир работает чуть сложнее, чем "давайте запретим плохих дядей и они исчезнут"

НЛО прилетело и опубликовало эту надпись здесь

Ну а чо в компьютерах так работает, значит и в реальной жизни получится

Не корректное сравнение. Мы не знаем сколько было бы коррупционеров, не будь этого закона совсем.


Ну и стоит добавить, что про качество исполнения я сразу сделал ремарку — не все страны умеют в судебные системы, но это не делает правила бесполезными.

Про наследование вы конечно загнули. Родственники то почему должны нести ответственность за непутевого члена семьи?
Хотя в целом концепция кредита неплоха. Можно расширить ее на все случае материального вреда в принципе. К примеру, почему люди должны сами бегать за должником и искать у него средства к погашению? Просто повесить на должника кредит из специального фонда, и пусть государство в лице приставов само его трясет. Хоть мотивация работать появится.

Ну я бы рассматривал не всех родственников, а тех кто доказано мог остановить, но не остановил деяние. Финансовые преступления не сложно скрыть от бухгалтерии или юристов, но вот если надо будет скрывать ещё и от семьи — смысл для многих пропадет.

А как же 51 статья Конституции?


И вообще слишком нечеткие критерии. Довольно много обстоятельств может помешать остановить деяние даже при желании.

Эта статья позволяет не давать показания, но не покрывать преступника. Если ваш родственник кушает маленьких детишек на завтрак, вы об этом знаете но молчите — вы автоматически становитесь соучастником.


Аналогично с экономическими преступлениями — мужик несёт домой миллионы, покупает на жену квартиры, дарит сыну машины и все это при официальной зарплате 25К? Ну его нахрен, если в конституции есть статья, по которой можно так делать и никому ничего не будет.


Само собой решение о том было ли это соучастием или родственники правда не знали (может он на любовницу все переводил?) принимает суд.

Кто мешает в таких схемах жить без официальных родственных связей? Живет такой несун без родственников "которые могут остановить". Зачем тетке официальный статус? Чтобы при разводе отсудить? А как отсудить незаконно нажитое? Это как раз подстава. При разводе как раз самое то шантажировать — или ты мне отдаешь половину добровольно и остаешься с половиной, или разводимся по суду и у тебя из подтвержденного остается 10% и из них твоя доля 5%. Ну и со штрафами еще в подарок разбираешься.

Так я про это и написал. Кого-то остановит т.к. уже есть родственники, дети и надо будет всех бросить и потом ещё не факт что удастся защититься и убедить суд что развод был не чтобы специально уйти от закона. Конечно не на всех такое подействует — законы вообще штука такая — не на всех работает.


В целом я остаюсь при своей логике — сейчас штрафы иногда такие, что выгодней своровать, переписать все на семью, отсидеть немного и потом жить счастливо. Так что родственники должны нести ответственность. Разумеется не в режиме "отсидеть за брата, которого 15 лет не видел".

Весело будет когда на вас повесят штраф брата-алкаша которого вы последний раз видели 15 лет назад.

Мне кажется где-то похожее есть. Не сразу, но долгими годами в обществе вырабатывается контроль семьей всех своих членов. И люди больше боятся наказаний со стороны родственников, чем со стороны государства. По типу: боец залетел, отдувается весь отряд. Потом отряд воспитывает бойца. Нам это кажется диким немного, но это работает.

НЛО прилетело и опубликовало эту надпись здесь
Это были клиента того, старого Сбербанка, а теперь он — Сбер.
Специалисты отдела кибербезопасности Сбербанка России в ходе расследования инцидента изъяли… всю подозрительную электронику у него дома

Я вот что-то не понимаю, специалисты отдела кибербезопасности Сбербанка России на себя взяли функцию правоохранительных органов? И уже могут врываться в дома и изымать имущество?
Ничего себе, «белые хакеры».
Я не думаю, что они сами пришли, и сами изъяли. Естествено, всё скорее всего происходило в присутствии полиции. Сами они за такое по шапке бы получили. Чувак из Group-IB в каком-то интервью рассказывал, как это происходит. Они регулярно принимают участие в оперативных мероприятиях. Просто простой полицейский вообще не вкуривает, чё там с этими компами делать, что изымать, что важно, а что нет. Потому в таких мероприятиях всегда участвуют специалисты со стороны, которые понимают, что им надо для раскрытия такого вот разбойника.
Я с Вами согласен. Скорее всего именно, что «в присутствии».

Но, в заметке написано, что именно сами пришли и изъяли. А полиции и рядом не стояло. Это сразу резануло глаз.
Специалисты отдела кибербезопасности Сбербанка, совместно с правоохранительными органами, в ходе расследования инцидента изъяли...

Поправили этот несчастный абзац. Стало лучше, но не сильно.
Вы понимаете, что специалисты Сбера не имеют, просто не имеют права что либо изымать в чужом доме?
Юридически они «никто», в лучшем случае — назначенные следствием эксперты.
Чье участие в следственных действия автоматически делает их результат бессмысленным, т.к. это заинтересованные лица.
Полностью с Вами согласен.
Их даже экспертами нельзя привлечь. Только свидетелями.
Злоумышленник под личиной сотрудника

это как? кожу сотрудника на себя натянул?
НЛО прилетело и опубликовало эту надпись здесь
интересно, неужели вендоры до сих пор не научились делать ноутбуки без выведенного USB порта вообще — для нужд вот таких корпоративных клиентов?
НЛО прилетело и опубликовало эту надпись здесь
А мобильники начали у сотрудников сбера отбирать?

Ведь вывел на экран инфу — снял камерой мобилы и унес. Да — потом больше мороки с распознаванием текста (ибо картинки никто не купит). Но никакого физического контакта личного и корпоративного оборудования — нет, а утечка информации — есть.

И, да, я понимаю, что там везде камеры/чужие глаза и все такое. Но если с умом подойти к вопросу, то я думаю это вполне реальный способ.

Мне кажется, это задачка для студента на несколько дней работы: приложение на телефон, которое камерой снимает выводимый на экран шестнадцатеричный дамп файла и сразу делает копию на носитель… Если еще проще, то просто запись видео для разбора дома другим софтом, если в мобило-программировании не силен. В консоли же пишется скрипт, который выводит на экран поданный файл. Доступа в систему для загрузки передающего ПО не требуется — обычный текстовый редактор. Да, медленно. Но лучше чем ничего.

Тут не столько программная проблема.
В первую очередь нужно не засветить сам факт такого действа.

Тип из статьи имел право пользоваться флешками и что он там на на своем рабочем компе делал — оно вполне вписывается в штатное поведение сотрудника. А вот достать мобилу и снять экран — это 100% палево если ты попал на камеру/глаза другим сотрудникам.

Но вот чисто на здравый смысл видны вполне «непалевные» варианты:
— можно положить на стол зеркало (косметичка) и тогда уже можно делать вид что SMS строчишь, а на самом деле экран снять (но тут еще и зеркало стоит как-то замаскировать/положить в слепую зону камеры, ибо если на камере все это видно, то сложить 1+1 — не так и трудно). Причем правильное положение зеркала и телефона можно потренировать заранее на любом компе похожем на рабочий.
— поискать место за пределами рабочего места, на котором камера не захватывает, но экран еще не слишком далеко для съемки.

Исходя из ваших и Mishootk предположений, можно подумать что Профит от действия — жизнь на собственном острове с новым именем…
А тут 25т.р. (да пусть хоть 250 хоть 2500) тут самая действенная защита это то что виновного публично наказали несоизмеримо с тем уровнем дохода, который он получил, это ключевое. А важную и дорогую информацию можно и в голове вынести, и что тогда, не давать в экран смотреть? :)
Про запрет мобильника, не надо упоминать, внедрят ведь...

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Если ты можешь пользоваться флешками, тебе ничто не помешает подключить телефон к компу и скопировать на него

Зачем хекс и прочее, выводить цветные пиксели и снимать полезную нагрузку сразу через hdmi кабель

В правильно защищенной системе порты не только заблокированы. Некоторые должны быть еще и физически недоступны. Так мы можем и в аудио воткнуться для съема. Так что видеокабель в теории на обоих концах под пломбой. Ну или вот тебе моноблок и наружу ничего не торчит.

Реальный способ и конкуренция большая) Поэтому ты можешь за 500 рублей пробить данные конкретного человека через рядового сотрудника, либо за 5 рублей х миллионы строк пробить целый «портфель» через сотрудника порисковее

Но доступ к данным все равно фиксируется. Чувака вычислили по результатам аудита запросов к базе и учётки, под которой они были выполнены.

Фотографировать экран запрещено.

Телефон лежащий на столе с наклеенной призмой на камеру и прикрытый толстым чехлом ничем себя не выдает. Если не говорить уже о специально замаскированных камерах, например, встроенных в чашку или корпус от брелка для автосигнализации.

зачем на столе, когда можно засунуть в карман рубашки камерой наружу и поставить софт, который автоматом фоткает?)
которым временно руководил подозреваемый сотрудник
Один из руководящих сотрудников украл данные, чтобы продать их за двадцать пять тысяч рублей.
Они там за еду работают, чтобы такие схемы проворачивать?
НЛО прилетело и опубликовало эту надпись здесь
названия то красивые, а толку…
Работать в нашем банке — большая честь!
Он же в битках купил, считай, вложился
Пострадало не менее 200 клиентов, а объём скачанного составил без малого 6 гектар. Так-то я понимаю, что 100 000 клиентов тоже не менее 200, но… Он там досье на каждого в HD качал, что ли?
Какая прелесть: сотрудник несколько дней гонял по сетке 6Гб, но нигде не зазвучала тревожная музыка…
Сотрудник на хорошей должности с хорошей зарплатой, рисковал всем, в том числе и свободой, за 25 тысяч рублей. Ради чего? Адреналина ему не хватало или у него не все дома?
При том какой штат у сбера — оба варианта вполне вероятны.

Исходя из статьи, складывается ощущение что попал под контрольную закупку, которая ему была преподнесена как тестовая для проверки реальности базы. 6Гб(это rar, а интересно банк купил лицензии на winrar :)) это вряд-ли инфа всего о 5 тыс.ч. как бы там в файлике не побольше было… Хотя что за информация данных нет может там вообще операции из важного отделения, кто знает...

сейчас не знаю, а вот раньше..))
Как сотрудник Сбера, могу сказать, что лицензии куплены на всё и вся, в т.ч. и на Winrar, и на Total Commander, и на IrfanView. Тут комар носа не подточит, всё по-честному.
А вообще тут голубая мечта всех пересадить на макось и линух, потихоньку в этом направлении двигаемся. Во всяком случае, свободный софт чуть ли не каждый день пачками сертифицируется и закачивается во внутренний периметр. Например, если сотруднику по работе нужен MS Office — сначала проверяется, действительно ли он нужен, и рекомендуется остановиться на использовании LibreOffice.

Я к тому что непонятен смысл использования rar хотя есть 7zip :)
В принципе, могу сказать только насчёт "комар носа не подточит' обычно в крупных организациях проблема не в том чтобы купить, а в том чтобы оформить, и вот из этого "сначала проверяется, действительно ли он нужен" вполне может выйти "проще по другому".

Честно говоря, не очень понял смысл второй половины фразы, а насчёт 7zip — а как же, само собой есть и он, но к rar-у уже все за многие годы привыкли, многие вещи под него заточены… пусть уж будет пока.
Что-то не сходится. Если «далее сотрудник с помощью сервиса мгновенного обмена файлами «DropMeFiles» на теневой торговой площадке сети Интернет «HYDRA» разместил сведения о счетах, реквизитах платежных средств, номерах телефонов и учетных записях в отношении не менее 5 000 клиентов банка, произвольно скопированных из общего архива;» и при этом сбербанк перевыпустил карты только 200 клиентов — они сами у него этот слив купили, что ли? Или 4800 клиентов уже не были клиентами на момент расследования?
НЛО прилетело и опубликовало эту надпись здесь
пострадали не менее 200 клиентов, их карты были перевыпущены
если бы банк перевыпустил 60млн. карт — это бы не осталось незамеченным.
О сберике, но не совсем по теме.
1. В прошлом году меня 2 раза проспамили по проводному телефону, который я давал налоговой богадельне при регистрации ИП:
— Хотите завести у нас в сбербанке расчётный счёт ИП?
— Нет.
— Тогда послушайте наши предложения…
Хренея, клал трубку: лет 20 назад такое невозможно было представить…
Очевидно, берут номера телефонов с сайта со списком егрип и спамят. Я в местном офисе сберика спросил какую-то начальницу отдела:
— Что это было? Это из сберика звонили?
— Да, из их московского коллцентра.

2. Лет 5 назад в вышеобозначенном офисе сберика на стене висела любопытная бумага, на которой зелёным цветом было написано:

Наше кредо:


Нравственное и физическое совершенство (борьба за всё хорошее со всем плохим и т.п., всё не запомнил).

Это выглядело, как 10 заповедей настоящего коммуниста. Я хотел сфотографировать её, но было как-то стрёмно… А после ремонта этих бумаг уже не было. Интересно, можно ли найти где-то текст этой программы для сотрудников сберика?

3. Сейчас многие корпорации всё больше напоминают тоталитарные секты, по этому поводу есть книжка «Код завинчивания». Сберик тоже относится к таким корпорациям? Кстати, один мой знакомый одно время работал контролёром в сберкассе и рассказывал, что приходилось работать сверхурочно иногда аж до 8 часов вечера, при этом за сверхурочные не платили (а попробуй заикнись об этом...)
Аж до 20? помню банкоматы девченки грузили в 1 ночи, чтобы на работу прийти не в 7 утра на следующий день, а хотя бы в 8.
через внутреннюю почту переслал 187 писем по 30МБ каждый))
мог сразу в полицию перед копированием позвонить
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории