Персональные данные 900 тысяч клиентов «ОТП-банка», «Альфа-банка» и «ХКФ-банка» утекли в сеть

    В открытом доступе оказались данные примерно 900 тысяч россиян — клиентов крупных банков РФ. Любой человек, получивший доступ утекшим в интернет базам, сможет узнать имена, телефоны, данные паспортов и места работы пострадавших из-за утечки клиентов банков. Базы были выложены в сети в конце мая, содержащиеся в них данные не новые — им несколько лет, но большое количество информации вполне актуально.

    Впервые об утечке стало известно в пятницу, тогда компания DeviceLock обнаружила сразу две утечки данных о клиентах «Альфа-банка». В одной из баз содержится информация о 55 тысячах клиентов. В базе не только имена, но и телефоны, включая мобильный, домашний и рабочий, адреса проживания, места работы. Во второй базе всего 504 записи, но она гораздо более новая — ее датируют прошлым и этим годом.

    Кроме указанных выше данных, в ней содержатся год рождения, паспортные данные клиентов банка, обслуживающее отделение и даже остаток на счете (130-160 тыс. рублей).

    Журналистам «Коммерсанта» удалось найти первую базу и оценить ее содержимое. Как оказалось, в открытом доступе она находится с конца мая. Большинство адресов клиентов находятся в Северно-Западном федеральном округе. Большинство телефонных номеров — действующие, они действительно принадлежат пострадавшим. Стоит отметить, что из указанной базы 500 человек являются сотрудниками МВД, около 40 работают в ФСБ.

    База была архивирована и выложена вместе с двумя другими. В них хранятся данные о клиентах «ХКФ-банка» и «ОТП-банка». В первой — 24,4 тысячи клиентов, включая ФИО, паспортные данные, телефоны (мобильный и домашний), адрес и столбец «лимит», скорее всего, кредитный. Большинство клиентов банка, имена которых показаны в базе, живут в Волгограде и области. Актуальность данных неизвестно, но некоторые из номеров телефонов действительно принадлежат пострадавшим.

    В «Альфа-банке» уже начали проверку достоверности и актуальности сведений, которые попали в базу. В других банках сообщили, что происхождение данных из базы неизвестно, но сейчас принимаются меры для его установления.

    Что касается попадания баз в открытый доступ, по мнению представителей DeviceLock, они могли быть выложены сотрудниками, уволенными в 2014 году. Тогда в банке происходило массовое увольнение регионального ИТ-отдела. Информация могла утечь тогда, позже она распространялась на черном рынке. Ну а сейчас она попала в открытый доступ даже без пароля. Более новая база могла быть выложена клиентским менеджером.

    Скорее всего тот, кто собирал эти базы, был инсайдером, или же человеком, который общался с инсайдером. «Судя по тому, что базы являются устаревшими, скорее всего, они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности,— предполагает он.— Теперь же люди, фигурирующие в этих базах, могут стать жертвами широкого круга банковских мошенников», — заявил гендиректор Zecurion Алексей Раевский.

    В последнем случае речь идет о мошенниках, использующих методы социальной инженерии. Они могут притворяться сотрудниками службы безопасности банка, узнавая разного рода персональные данные.

    Сейчас эти базы также представляют угрозу, поскольку ими могут воспользоваться мошенники, которые специализируются на обмане клиентов банков с целью похищения личных средств.
    Поделиться публикацией

    Комментарии 52

      +17
      Никогда такого не было, и вот опять.
        +10
        Забавно, ну и чо всякие аудиторы из PwC и прочих KPMG и подобных именитых контор не делают заявлений на тему «ну так у банка с сотрудниками договор запрещающий такие утечки, проблем нет мы подадим на них в суд»
        Черт, я на КАЖДОМ аудите задавал этот вопрос, каждый раз один и тотже ответ (выше)
        И на закономерный вопрос «так если УЖЕ база утекла, какой смысл в таком суде??»… непонимающий взор и хлопание глазами… и потом опять «ну мы на них в СУД подадим!!! у них в договоре прописан запрет!»
        p.s. рукалицо
          +1
          А что, можно точно установить кто из сотрудников спер базу? И доказать? Тогда там даже не суд, там, вполне может быть, уголовное дело намечается.
          Только мне так кажется с доказательствами на этот счет негусто.
            +5
            Тогда там даже не суд, там, вполне может быть, уголовное дело намечается.

            И 900тысяч потенциально пострадавших смогут вдохнуть спокойно, какогото несчастного оператора коллцентра-техподдержки (у меня до сих пор волосы шевелятся когда я вспоминаю уровень доступа этих специалистов) посадят на 10 лет.
            Я к тому что у нас ИБ почемуто построено именно на этом принципе, там где этим вообще ктото заморачивается
              +3
              Оператор коллцентра имеет доступ ко всей БД? Really? Тогда я удивляюсь что БД не воруют каждый месяц.
                +1
                Вот не стал бы так уверенно это утверждать. Не удивлюсь, если где-то в даркнете давно продаётся какая-нибудь ежемесячно обновляемая подписка на банковские и налоговые базы.
                  +4
                  Оператор коллцентра имеет доступ ко всей БД? Really?

                  Оператор коллцентра с зарплатой в 28-30тыр, имеет очень обширный доступ, гораздо больше чем вам хотелось бы
                  За последние лет 5 с ужесточением правил pcidss сейчас вроде стали дополнительно логировать доступ к данным...(я хоть уже давно не работаю в этой сфере, но лучше не буду углублятся во подробности, но уверяю вас они не радужные)

                  Тогда я удивляюсь что БД не воруют каждый месяц.

                  Я вот тоже очень удивляюсь
                    0
                    PCI-DSS то тут причем?
                      0
                      Напрямую он к банкам не относится, но до того как он стал обязательным в карточных средах, которые почти во всех банках есть, ситуация с ИБ была кардинально хуже
                        +1
                        От относится к любым организациям, работающими с данными КК. Регламентирует хранение и обработку конкретно этих данных в cold/hard storage и транзите, параметры аудита используемых систем и т.п.

                        К работе колл-центров банковских эта организация и сертификация не имеет никакого отношения.
                          +1
                          Сотрудники техподдержки у крупных банков обычно имеют доступ к операциям по картам, по этому имеет отношение вполне прямое
                          (справедливости ради, ну да, у мелких банков работа с кредитными картами может быть на оутсорсе)
                    0
                    Оператор колл-центра имеет возможность выборочно посмотреть данные любого клиента, но пакетная выгрузка данных невозможна, это явно оговаривается правилами PCI-DSS.
                      0
                      ну никто особо не мешает вручную поселектить пару сотен клиентов в неделю и вынести даже на бумажке
                      А если инсайдеров-операторов несколько то oh shi--
                      ==
                      на самом деле тут сильно поможет чтото чтото типа анализатора аномальной активности с сопоставлением звонков и селектов к базе
                    +1
                    Вопрос в том, что если несчастного оператора коллцентра, который ваши личные данные продаст по цене гамбургера — не посадить — такие утечки будут вечно. У оператора КЦ нет никаких рисков (максимум — уволят), почему бы и не заработать копеечку?
                  0
                  Не понял, кто на кого должен в суд подать? Аудиторы на клиента? Сотрудники банка на работодателя?
                    0
                    Бывший работодатель на сотрудника который спер БД, насколько я понял.
                      +1
                      Именно, и с точки зрения аудита это достаточный уровень защиты
                        +1
                        А написано так, будто аудиторы должны подать в суд.
                    +8
                    Хочу поискать в базе себя. Где можно скачать?
                      +11

                      Присоединяюсь к вопросу. Я тоже хочу поискать в базе legolegs

                        +1
                        Не смейте! Я буду жаловаться в сберегательную кассу!
                          +5
                          Нужно срочно запилить сервис «проверки» наличия данных в утёкших базах и собрать еще немного персданных. Как в баяне про проверку абсолютно уникального пароля.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Ваш банк скупает базы в даркнете и предоставляет по ним поиск?
                            Или вы все-таки про haveibeenpwned.com
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0

                                Что это за банк, и в какой стране?

                                • НЛО прилетело и опубликовало эту надпись здесь
                          +9
                          Не волнуйтесь, для вас скоро будет сделан отдельный сервис, введя ФИО, номер телефона и паспорта в который можно будет проверить утечки по всем базам.
                            0
                            Ещё номер карты, срок годности и CVV код
                            +3

                            На фрикер.про сторожа и охранники тешат свое самолюбие, обмениваясь старыми БД. Попросите у них — не откажут.

                            +1
                            Вот много где есть эта новость, а возможности проверить, есть ли мои данные в утечке — нигде нет. Как быть, если я хочу точно знать, утекли мои данные или нет?
                              +1
                              Отправить запрос в банк. Посмотреть на ответ. Но выглядит как троллинг.
                                0
                                Написал. В альфе ответили примерно так:
                                Мы не оставили эту информацию без внимания, поэтому сейчас проводим внутреннее расследование совместно со службой безопасности. Проверяем насколько правдивы и актуальны эти сведения

                                На вопрос, можно ли проверить, утекли ли мои данные, ответ такой:
                                сейчас пока уточнить информацию нет возможности. ведутся расследования.
                                +1
                                … и можно ли привлечь за распространение ПД?
                                  0
                                  С альфой не выйдет — они подстраховались. Мне выпустили, но не отдали кредитку когда я стал вычёркивать из договора «передачу персональных данных третьим лицам».
                                    0

                                    А про неограниченный круг лиц там тоже было?
                                    На самом деле, проворонили ПД, нельзя ли по суду взыскать?

                                      0
                                      они подстраховались. Мне выпустили, но не отдали кредитку когда я стал вычёркивать из договора «передачу персональных данных третьим лицам».


                                      подстраховались… Альфа не может обслуживать вашу кредитку без передачи данных третьим лицам в принципе, из-за особенностей их процессинга
                                        +1
                                        Процессинг у Альфы, афаик, собственный. Тут скорее из-за возможности передачи коллекторам. А вообще, напомнило старую историю суда Тинькова с Агарковым
                                  +5
                                  Думю банки ничего поэтому поводу не скажут
                                    +2
                                    Покарал таки боженька Альфа-банку! Да отольются им слезы сиротские! А то задолбали по 3 раза в неделю названивать с предложениями, от которых невозможно отказаться. Хотя никогда их клиентом не являлся, а откуда у них мой номер — не говорят, подлюги :)
                                      0
                                      когда звонят из альфы, я обычно рассказываю про интимные связи с родственниками звонящего или сразу посылаю на йух. звонить перестают. правда есть минус: иногда банкомат падла отказывается давать денежки и требует сначала подтвердить номер мобильного.
                                        0
                                        Мне как-то ответили, типа ваш знакомый дал ваш номер по программе приведи друга. На вопрос, кто же этот знакомый ответа не дали. Мне кажется этого знакомого зовут ВТБ.
                                          +1
                                          А разрешение звонить вам с рекламными целями посредством сотовй связи — тоже он дал?
                                          0
                                          Помогает сказать, что вам нет 18. Обычно отстают. Если даже так не поймут то можно письменное заявление на удаление ПД принести в отделение — и вот если тогда звонки не прекратятся, то уже можно и $ с них срубить, через суд.
                                            0
                                            Еще можно сказать что безработный — тоже отстанут. Кредиты дают только тем, у кого есть постоянная работа.
                                              0
                                              Кредиты дают только тем, у кого есть постоянная работа.

                                              теоретически, ага.
                                              а практически имеем кучу всяких колдырей которые вообще непонятно как кредит взяли
                                                0
                                                Еще можно сказать что человек которого они ищут умер, номер на какое-то время исчезнет из базы.
                                              +1

                                              Александр, добрый день. У нас есть хорошие условия по кредиту. Не интересуетесь.?


                                              • да нет. Спасибо. Не интересует.
                                              • Можно вопрос. Если бы у вас были 100 000р на ремонт или отдых. Чтобы вы выбрали?
                                              • ммм. Ремонт.
                                              • хорошо. Подождите секундочку
                                              • вы мне кредит что-ли оформляете?
                                              • да.
                                              • зачем?
                                              • так ремонт же!
                                                +1
                                                Покарал таки боженька Альфа-банку!

                                                Да Альфе как раз от этого ни жарко, ни холодно. Если бы ЦБ хотя бы на такие вещи реагировал…
                                                +3
                                                Нужно собирать больше ПД и биометрии — пока можно безнаказанно ее сливать/сарказм/. Заодно это компрометирует саму идею сбора биометрии/не сарказм/
                                                  +1
                                                  Вовремя они проснулись, база в открытом доступе с 2017 года лежит. Их и обнаруживать не надо гуглишь и все.
                                                    +1
                                                    Все верно. Относительно новая там вторая база, на 504 записи. Об я этом я изначально и написал (в пятницу). Первая на 55 тыс. это утечка лета-осени 2014 г. Коммерсантъ за это зацепился и полезли гуглить сами, ну и нагуглили базы 2012-2015 г.г. В том числе и не Альфы.

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                  Самое читаемое