У Сбербанка утекла адресная книга 421 000 сотрудников банка и дочерних структур

    Неизвестный выложил в открытый доступ на форуме phreaker.pro базу данных сотрудников Сбербанка. Поля в БД:

    • ФИО
    • Логин во внутренней системе (совпадают с адресами электронной почты)

    Утечка представляет собой текстовый файл размером около 47 мегабайт, в котором содержится свыше 421 тыс. записей, пишут журналисты «Коммерсанта», скачавшие базу. Они обращают внимание, что количество записей в БД превышает количество официальных сотрудников Сбербанка по данным МФСО на конец первого полугодия 2018 года. Тогда она не превышала 300 тыс. человек.

    «Коммерсантъ» предполагает, что в базе могут содержаться данные о некоторых (не всех) уволенных сотрудниках, а также сотрудниках дочерних организаций. По базе можно пробить подразделение, в котором числится каждый из них.

    Поверхностная проверка подлинности подтвердила аутентичность базы. В частности, там указаны три правильных адреса электронной почты президента банка Германа Грефа. Подлинность базы подтвердил один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка.

    В пресс-службе Сбербанка также сообщили, что там известно о публикации части адресной книги сотрудников. Опубликованная информация «не представляет никакой угрозы автоматизированным системам и клиентам», заверили в банке. Она доступна всем сотрудникам Сбербанка и «не несёт угрозы раскрытия их персональных данных», подчеркнули в пресс-службе банка.

    О проблеме уже доложили Герману Грефу, который выразил своё недовольство, сказал источник «Ъ» в банке.

    Справедливости ради нужно согласиться, что на phreaker.pro публикуют очень много более чувствительной персональной информации от других компаний и госструктур. Конфиденциальная информация зачастую лежит в бесплатном доступе, как и адресная книга Сбербанка.
    Поделиться публикацией

    Комментарии 59

      +1
      421 тысяча сотрудников…
      4 сбербанка равны вооруженным силам.
        +8
        Один сбербанк больше чем apple и microsoft вместе взятые.
          +14
          Сравнение только отчасти корректное.
          Подозреваю, что наибольшая часть сотрудников сбера приходится на 'розницу' (персонал местных отделений).
          Про розницу MS мне неизвестно, но если взять Apple (123 тысячи сотрудников, 500 магазинов) и Сбер (421 тысяча сотрудников, 17493 (!) отделений) то Сбер еще и эффективной компанией может представится.
          Но масштаб, конечно, поражает: 0,5% трудоспособного населения страны.
            0
            Вот только толку от него меньше как будто. Или я сравниваю теплое с мягким?
            +1
            Не факт что столько именно сотрудников — учитывая вводные (только ФИО + Логин / почта) это не реальные люди, а именно записи в домене, а у одного человека их может быть несколько, например, за счет переброски сбертех-сбер. Плюс достаточно часто сотрудники подрядчика тоже получают внутренние аккаунты (а иногда из-за бюрократки с отдельными договорами и несколько), плюс у Сбера несколько отдельных сетей с независимыми аккаунтами (возможно, те самые три почты Грефа)
              0

              Да, у многих сотрудников Сбера (не операционистов) стоит на столе по два компьютера, подключенных к физически разделённым разным сетям. Из одной, «внешней» сети, есть доступ в Интернет, из другой, внутренней — нет. Один из способов обмена данными между сетями — пересылка электронной почты между двумя адресами почты одного человека из разных сетей. (Бррр)
              Так что да — у каждого минимум по два e-mail'а. Сотрудникам подрядчиков выдаются почты либо в одной, либо в другой сети со всякими странными суффиксами.

            +2
            ссылку не могу найти.
            здесь есть ссылка
            но на уже невалидна

            есть линк у кого?
              0

              Тоже хочу глянуть на структуру LDAP.

                –1
                +1
                Тоже это интересно. Можно в личку ссылочку, а то не хочется по торрентам ходить :)
                +2
                Есть в телеграмме t.me/netstalkers ( не реклама. можете не подписываться ) скачать и выйти.
                  0
                  Структуры LDAP в файле нет. Судя по названию домена — это «внешний» домен, используется для почты вида логин@sberbank.ru. Соответственно возникает вопрос — это внутренняя утечка или хакеры постарались.
                  И да, или база старая, или что более похоже на правду, там логины и уволенных сотрудников.
                    0
                    Там указан внутренний домен sigma.sbrf.ru и есть CanonicalName, этого достаточно.

                    А судя по type information в заголовке файла — кто-то просто выполнил Get-ADUser на доменном компьютере (с правами админа для установки RSAT).
                      0
                      Сигма как раз «внешний» домен, т.е. тот который связан с интернетом. Есть еще куча «внутренних» доменов, которые с интернетом никак не связаны. В принципе, физическое разделение сетей в Сбербанке хоть и затратное, но достаточно надежное.
                      кто-то просто выполнил Get-ADUser
                      а вот кто — мне интересно. СБ СБ я думаю тоже))
                  +5
                  опубликованная база персональных данных не несёт угрозы раскрытия персональных данных — отлично, чо
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      «Голые» ФИО сейчас по законодательству не считаются ПД, так как неоднозначно указывают на человека. А в дампах кроме ФИО и логина (который на таких масштабах скорее всего создается вчистую из ФИО, а-ля name.in.surname@sbrf.ru) больше ничего нет.
                        +1
                        Это не просто ФИО, а ФИО+место работы, что согласно 152-ФЗ попадает под
                        персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу
                          0
                          Спасибо за информацию. Значит, был неправ.
                            +1
                            ФИО + Место работы + почта = уже что-то
                    • НЛО прилетело и опубликовало эту надпись здесь
                        +6
                        Угрозы не несёт. Вот теперь только это отличная база для злоумышленников в части фишинга, например.
                          +1
                          Через пару недель шум уляжется и тогда… Как раз конец какого-нибудь отчетного периода будет :-)
                          +6
                          Ну что вы, скрипты из внешних источников в личном кабинете полностью безопасны, говорили они.
                            –10

                            Что ж, теперь мы все можем легко узнать всех этих прекрасных людей, которые "вот где вам карту выдавали, туда и идите". Отличная база для люстрации.

                              –1
                              "вот где вам карту выдавали, туда и идите"

                              Эта искромётная шутка протухла как минимум лет пять тому назад. Бросьте бяку!

                                +1
                                Не протухла. Не далее как месяц назад жену так отправили за новой карточкой
                                  0
                                  По звонку отделение, к которому прикреплен клиент, меняется.
                                    +1
                                    Судя по новостям не совсем так. Надо прийти в другое отделение, там написать заявление на перевыпуск карты в этом отделении, подождать пока карту еще раз выпустят и сходить ее забрать
                                      0
                                      Это если карту уже выпустили. Позаботьтесь заранее о смене филиала и карта придет в нужный.
                                        +1

                                        То есть отмазка, — "вот где вам карту выдавали, туда и идите", — теперь звучит как, — "вот где вам карту выдавали, туда и идите ЗАРАНЕЕ"? — Это, конечно, сильно меняет дело!

                                          0
                                          Нет. Отмазка теперь звучит как: «когда видите, что срок карты истекает, позвоните и сообщите куда вам доставить новую».
                                            +1
                                            При этом другой банк (не буду называть) когда срок карты подходил к концу прислал мне смс-ку «У вас скоро кончится срок действия карты и мы будем делать новую. Сообщите нам устраивает ли вас, что она отправится по адресу (...), где вы получали предыдущую.». И реально звонком адрес можно было поменять.
                                            Сбер же почти за 2 месяца до окончания карты просто написал «Ваша карта выпущена. Забирайте»
                                              +1
                                              Да у нормальных банков вся Россия — одна область, а не куча маленьких, между которыми переводы с комиссией. А-то я хотел в другом регионе прийти подтвердить свои данные, чтобы иметь возможность открыть металлический счет. Но нет, это невозможно у Сбербанка в 2018 году.
                                                0
                                                между которыми переводы с комиссией
                                                вы говорите, как о чем-то плохом (с точки зрения банка)
                                                  +2
                                                  Для банка это плохо, например, тем, что я не пользуюсь его услугами, а пользуюсь услугами другого банка.
                                  0
                                  Нет, не протухла, все еще актуальна. Как минимум если карта выдана в другом регионе. А если карта еще и валютная, то вообще тушите свет.
                                    0
                                    Работал в федеральной компании, выдали карту московского сбера(получал сотрудник организации по доверенности и отправляли с курьером)… решил сохранить после увольнения… это была песня… то что три разных операциониста выдали мне разную информацию с разными сроками — это для сбера нормально… но, как итог, выяснилось, что если хочешь получить карту в другом регионе надо приходить и писать заявление не раньше, чем за 30 дней до окончания срока карты(или перевыпустят с тем же сроком действия)…
                                    А главное, первый раз это был для меня шок, когда после принятия заявления действующую карту взяли у меня из рук и разрезали… К этому я был совсем не готов…
                                    До сих пор не понимаю, для чего.
                                    Сервис а-ля сбербанк…
                                    Это была рублевая карта). Боюсь представить, что может быть с валютной… но проверять не хочу )).
                                    +1
                                    Шутка протухла, жаль, что вместе со Сбером — повод для шутки ровно там же, где и во времена её молодости. В теории всё хорошо, а на практике не очень.
                                    +2
                                    Отличная база для люстрации.

                                    Если сольют базу сотрудников какого-нибудь фейсбука, вы их тоже пойдете люстрировать, ведь они слили все ваши данные АНБ и ФСБ, или это ДРУГОЕ?
                                      0
                                      Если сольют базу сотрудников какого-нибудь фейсбука, вы их тоже пойдете люстрировать

                                      Ну… Фейсбуковцы не крали моих денег и денег близких мне людей путём "заморозки" вкладов накануне принудительной инфляции. Они не говорят, — "мужчина, не видете, у нас ОБЕД", — и, — "вот где вам карту выдавали, туда и идите" и не выедают мозг, — "у вас нет нашей карты? как так? А давайте заведём! (а иначе не примем ваш платёж)" — при каждой оплате какой-нибудь коммуналки или налогов. И тд и тп. Зачем их люстрировать? Люстрировать надо профессиональных хамов и непрофессиональных работников. Для меня фейсбуковцы в подобном качестве пока не засветились.


                                      ведь они слили все ваши данные АНБ и ФСБ

                                      Ээээ? Возможно, фейсбуковцы и слили фотки моих котиков в АНБ и ФСБ, но я ведь котиков туда именно для этого и пощщу. Чтобы их любой желающий мог "слить". А вот деньги в сберкассу я клал вовсе не для того, чтобы непонятно кто мог их "слить".


                                      или это ДРУГОЕ?

                                      Ну, сами смотрите, другое или не другое. Если сотрудники фейсбука слили ваши данные АНБ, ФСБ, МИ-5, Моссаду и тд, а вы этого не хотели, то, разумеется, имеете полное право их ненавидеть. Но при чём здесь я?

                                    –7
                                    Что-то мне подсказывает, что без Яндекса тут не обошлось… Сбербанк и власти своими разговорами о покупках крупных пакетов акций «опустили» Яндекс больше чем на ярд баксов… Такое прощать нельзя… В Яндексе грамотных «программистов» не мало. Пишу, а по радио сообщение, что бумаги Яндекса поднялись на 7%. (29 октября 2018г).
                                      +3

                                      Люблю теории заговора. Особенно со словами "такое прощать нельзя"!


                                      Смайлик

                                      0

                                      Не удивился даже. Эти данные и так сторонним разработчикам шарятся, так что утечка хрен знает откуда могла пойти.

                                        +2
                                        А где рабочая ссылка-то?
                                          0
                                          Все боятся НЛО.
                                          Хотя если «не представляет никакой угрозы автоматизированным системам и клиентам», то и не страшно.
                                          +7
                                          Вспомнилось высказывание Грефа, что в стране слишком много программистов и математиков…
                                          Как тебе такое, Герман Греф?
                                            0
                                            Вполне возможно, что это и есть дело рук какого-то недобитого зловредного программиста и математика
                                              0
                                              Какая специальность у него в дипломе: как у премьер-министра, юрист?
                                                0
                                                Вспомнилось высказывание Грефа, что в стране слишком много программистов и математиков…


                                                Ну всё верно же — «у семи нянек — четырнадцать сисек дитя без глазу!»
                                                0
                                                Сначала понавнедряют в интранете мессенджеров и корпоративных социальных сетей, а потом глазищами хлопают.
                                                  +1
                                                  Куда там мессенджеры и интрынеты — всё проще в разы!!! Слушайте сюда — Давече подходит ко мне один эффективный и говорит, «а что это я в аутлуке не вижу HQ и другие континенты? Это же так не удобно». На что я ему ответил — «мне еще только этой ответственности не хватает, любая офисная курица при наличии навыков сливает весь контент адресной как два пальца обосс байта отослать, потом этот контент гуляет по всему миру и делает нехорошие вещи, а добавить фраера с того берега моря можно и ручками в персональный лист». Призадумался эффективный, но таки согласился.
                                                  +1
                                                  Самая технологичная контора в стране потеряла базу сотрудников…
                                                    +1
                                                    Пользуясь их банкоматами, у меня язык не поворачивается назвать контору технологичной. О других сервисах один негатив, начиная от списания левых сумм и некомпетентных невежественных курицах в рко.
                                                      0
                                                      Полностью согласен.
                                                      Писал как то им пару лет назад обращение… мол снял в их банкомате сумму, а в СбербанкОнлайн ерунду пишет. Они ответили что они не могут корректно отображать информацию о снятии с чужих банкоматов)))). Почему даже банки городского значения могут — а федеральный, даже международный банк — нет…
                                                      +1
                                                      В каком, простите, месте Сбер* — самая технологичная контора???
                                                        0
                                                        Грефа послушайте, он вам расскажет)
                                                      +3
                                                      Очень жаль, что она никому не нужна. Этим мусором весь даркнет завален
                                                        –2
                                                        Если БД работников утекает в свободный доступ, то что говорить об утечках клиентских данных? Такое ощущение, что ИБ в банках реально не работает, а только создает ИБД и потребляет бюждет в огромных количествах, а также портит жизнь обычным операционщикам. Вообще эти ИБ-шники очень зависимы от настроения — могут и на потенциальную утечку смотреть сквозь пальцы, а могут и за левую флэшку поднять бурление до CEO.
                                                          0
                                                          Был недавно в офисе Сбербанка в Екатеринбурге, у рецепшена стоит терминал, а в нем справочник сотрудников с телефонами (емаилы не помню) с поиском.
                                                          Там фио. должность, отдел и т.п.
                                                          Мне показалось, что там не только Екатеринбург был, возможна эта база и утекла.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое