Как стать автором
Обновить

Персональные данные 60 млн клиентов Сбербанка утекли в сеть

Время на прочтение 6 мин
Количество просмотров 114K
Всего голосов 61: ↑58 и ↓3 +55
Комментарии 522

Комментарии 522

Даже если там нет CVV кода и каждая операция подтверждается СМСкой, то с помощью этой базы можно таких дел наворотись. Если с мест не столь отдаленных с гораздо меньшим количеством данных уговаривают людей перевести деньги злоумышленникам, то имея данные карты и прочую инфу таких разводов будет в разы больше.

Ещё можно лично встретиться и уговорить так

Если там есть данные об остатках на счетах, то к особо состоятельным клиентам могут действительно заглянуть в квартиру. Возможно, они не все деньги в банке хранят.

Странно, что заминусовали. Такая утечка -это кладезь для злоумышленников. Можно составить список потенциальных жертв.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Отдельный вопрос в том, что при наличии желания и мотивации злоумышленники могут из толпы айтишников с зарплатами в 300кк в наносекунду выбирать людей с сомнительными операциями (начиная от относительно табуированных случаев оплаты услуг психиатров, наркологов и дерматологов, заканчивая гораздо более спорными покупками в гей-барах, гей-сайтах, борделях (сам удивился, когда узнал, что есть бордели, принимающие карты, плюс прямые переводы проституткам), сервисах «для взрослых» и других вещах, о которых большая часть людей не хотела бы рассказывать всем). Довольно много людей готовы сами принести деньги, чтобы об их «грехах» никто не узнал (особенно, если это может повлиять на работу/семейную жизнь). А тут такой «подарок» для анализа и эксплуатации.
Стоп. История транзакций тоже утекла?
Если я правильно понимаю эту строчку из новости
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях.
то операции — это история транзакций (хотя не особо удивлюсь, если под операциями подразумевались блокировки/разблокировки/выдача карты, но это было бы немного странно).

"Здравствуйте, вы переводили 1000 рублей Ивану один месяц назад?" — когда это окажется верным, часть клиентов охотно согласится сообщить все, что потребуется

Нет, война бы началась. Только балансы.
более спорными покупками

Я как-то натыкался на фотку объявления в секс-шопе — "в истории транзакций мы — книжный магазин" :)
Что же касается борделей… ну, я знаю человека, который таковой посетил (у нас легально). И таки да, в истории транзакций там что-то невинное совсем, мы спецом потом проверили, любопытно же.

Это вполне ожидаемо, вряд ли бордель будет идти в истории операций как "*BLOWJOB ANNA'S CLUB, BEST DEEPTHROAT MOSCOW*", более того, на такие операции я бы не обращал внимание, скорее всего, «жертва» мошенников в ответ на предложение отправить денег, чтобы не узнали коллеги, скажет, что они сходили вместе с коллегами и получили корпоративную скидку. Будь я злоумышленником, я бы специально искал по «нормальным» названиям транзакций, даже бы подумал о том, чтобы сходить самому или попросить «коллег» в клуб, бордель или заказать что-то, чтобы найти эти названия и по ним искать.
НЛО прилетело и опубликовало эту надпись здесь
Внедорожник на стройке не самая плохая идея так-то.
Ну да, крузак мог быть восьмидесятым. Для стройки отличный говнолаз!
Так кредитные ж карты, там обычно сальдо не больше лимита. А лимит больше у тех, кто активнее пользуется кредитными средствами (по слухам — и чаще вылетает за грейс-период).

Хотя, конечно, кто-то может их как дебетовые использовать, зачисляя туда свои средства и не пользуясь заемными. Но это менее удобно, чем дебетовки — сложнее отслеживать, сколько осталось своих (надо вычитать кредитный лимит), не снимешь наличку без комиссии и т.п, так что такое использование должно быть не очень распространенным.

Ну и еще возможен вариант, что дебетовки тоже посчитали, как разновидность кредиток.
не снимешь наличку без комиссии и т.п, так что такое использование должно быть не очень распространенным.

свои деньги с кредитки без комиссии снимать можно (во всяком случае ниразу не видел обратного)

а вообще в РФ это распространено (использование кредиток с нулевым лимитом как дебетовок), чтобы народ не грузить различиями типов карт когда за границу люди уезжают и попадают в тупик когда нельзя расплатиться например на заправке дебетовой картой тупо потому что там только кредитки работают… или в гостиницах не получается забронировать номер по этой причине.
Этож у нас придумали в свое время фокус, чтобы в интернете платить картами класса электрон — показывая её в систему как классик, а по факту выпуская неэмбоссированный электрон
свои деньги с кредитки без комиссии снимать можно

Деньги банка тоже можно (в Альфе, например).

когда за границу люди уезжают и попадают в тупик когда нельзя расплатиться например на заправке дебетовой картой тупо потому что там только кредитки работают

Так можно же спокойно расплатиться российской «дебетовкой».
При этом, что интересно, на старых кредитных продуктах у Альфы, где не было беспроцентного снятия налички с кредитки, снятие своих собственных средств с кредитной карты (т.е. если при погашении положил больше, чем задолженность) всё равно происходило с комиссией.
Так можно же спокойно расплатиться российской «дебетовкой».

потому что она зачастую кредитка с точки зрения МПС, не дебетовка.
Я же говорю, у нас специально так делают чтобы проблем поменьше от клиентов прилетало которые не понимают различия между карт… например мало кто скажет вменяемо чем электрон от классика отличается (мне тут оператор в сбере выдал что электроном за границей нельзя платить… ага, конечно)
Деньги банка тоже можно (в Альфе, например).

с кредитки? да ладно? вы не путаете дебетовку на которую перевели «кредит наличными» с именно «кредитной» картой?

Ну, уровень финансовой грамотности у народа низкий, тут соглашусь.


И я ничего не путаю.


действительно так, и кстати там в условиях есть ловушка
снятие без комиссии применимо для карт кроме unembossed, а учитывая что 'карту доставим на следующий день' — то судя по всему именно такую и доставят, а там 7%
а учитывая что 'карту доставим на следующий день' — то судя по всему именно такую и доставят, а там 7%

Это с чего вы такое взяли? Альфа обычные карты за день делает.

Альфа, Одинцово. Года полтора назад… Для родителей друзья приехали, сдали документы, в понедельник, получили уверение что все нормально, к концу недели приезжайте за картой. В пятницу друзья позвонили с вопросом — что? Ответ — готово, приезжайте. Через два часа беготни девушек по внутренним кабинетам ответ — не можем выдать… ??????? А в понедельник не могли сказать? А три часа назад не могли сказать, дабы к вам не ехать? Извините, однако… Альфа, такая альфа…

Делать далеко идущие выводы по 1 случаю неудачного опыта. Комментаторы такие комментаторы...

Естественно по одному… Больше с таким сервисом связываться нет охоты… И вот эта позиция — «подумаешь, ну раз подставили, тоже мне проблемы» — не совсем правильная, на мой взгляд…

У меня нет такой позиции. Я клиент банка почти 15 лет и ни разу ни с чем подобным не сталкивался. А вы просто вляпались в проблему локального офиса и сделали вывод обо всем банке.


Плохо, что в вашем офисе это случилось, но выводы вы неправильные сделали.

Была история у меня с Альфой. На карте имя не верно написали. Я, когда пришел карту получать, это дело просек. Девушка сказала — не вопрос, сейчас перевыпустим. Перевыпуск пластика занял минут 15 примерно. С правильным именем на нем. Так что для альфы это давно не проблема.

Погодите, я правильно вас понял — вам дали пластик с неверным именем, вы указали им на ошибку и вам через 15 минут вынесли карту с именем верным? Я просто не в курсе, как это работает, но всегда думал, что у них какой-то центр печати карт есть, откуда готовые карты расползаются по банкам.

Да. Именно так и было. Печатают карты, как я понял, прямо в офисе банка. Возможно не во всех, но в крупных точно.
но всегда думал, что у них какой-то центр печати карт есть, откуда готовые карты расползаются по банкам.

Именно так и есть. Вероятно, Eagle_NN повезло обслуживаться в отделении, в здании которого как раз банк и разместил оборудование для персонализации, только и всего. Обычно таких центров даже у крупных банков несколько штук на всю страну. А мелкие вообще своих не имеют, заказывают персонализацию «на стороне». Ну или как вариант (не знаю насчет Альфы), карты они инициализируют в таких центрах, рассылают на отделения, а там уже на термопринтере впечатывают ФИО (фамилия же была неэмбоссированная, верно?) и привязывают к счету.
Карта вполне себе эмбоссированная.
Вообще, судя по площади отделения там не то чтобы много места.
Думаю соответствующие аппараты уже дошли до размеров влезающих в обычную небольшую комнату.
P.S. Поискал информацию в Google. Эмбоссеры по размерам как обычный принтер, и ценники от 70 до 700 тыс. Не вижу причин не держать такое оборудование в крупных отделениях банков. Логистика доставки карт из другого отделения может встать дороже.
проблема не в физических размерах, а в уровне защиты помещения и особенностей организации каналов связи с эмбоссерной, которая не должна иметь прямых подключений к интернету
p.s. видно придумали какойто обходной путь
потому что она зачастую кредитка с точки зрения МПС, не дебетовка.

Но какая для МПС разница, кредитка она, или дебетовка с нулевым кредитным лимитом? Авторизацию карты же не МПС производит, а банк-эмитент. Это ведь он решает, разрешать проводить операцию или нет, а не условная заправка. Единственное, на что посмотрит МПС — это на сервискод карты. Если там, например, указано, что карта domestic, тогда действительно пошлёт лесом. Ну и просто могут быть ограничения, например, по BIN'у карты.
Но какая для МПС разница, кредитка она, или дебетовка с нулевым кредитным лимитом?

Большая, это ведь МПС придумало кучу типов карт Visa Electron/Classic/Debit(в РФ таких нет) которые какраз различаются такими штуками

Это ведь он решает, разрешать проводить операцию или нет, а не условная заправка.

некотрые типы карт (кредитки) разрешают холд, превышающий сумму на счете, а некоторые (настоящие дебетовки) нет.
например вы положили на карту 10000р и сразу расплатились в магазине, по факту у вас технический овердрафт. потому что деньги могут попасть на счет в течении 30 дней после прохождения операции в банкомате хотя вы видите положительный остаток на карте, тоесть за вас платит банк, фактически выдавая вам кредит… сбер кстати часто раньше грешил штрафами по 10-15 рублей за перелимит на картах где никогда не бывало минусов (и возвращал их если пожаловаться)
тоесть получается так
вы делаете так:
1) пополнение 10к
2) оплата 10к
а получается
1) пополнение 10к (на счете по факту 0)
2) оплачиваете 10к в магазине (на счете по факту -10к)
3) через 2-3 дня приходят деньги из банкомата (на счете 0)
в промежутке 1-3 у вас технический овердрафт, который позволяют только кредитки
p.s. так или иначе эта проблема решается с дебетовками (сбер например вручную отключает штрафы) но проблем с ними больше

карты сильно сложнее чем кажется на первый взгляд, просто в РФ их слишком мало видов исторически эксплуатировалось
Не совсем так. В момент, когда мы расплачиваемся в магазине, магазин делает авторизацию, и если банк отвечает положительно, сумма на счёте блокируется. А если отрицательно, то магазин скажет «платёж не проходит» и не выдаст товар.

Настоящее списание происходит только через пару дней, и банки (как минимум не очень плохие) начинают считать кредит/овердрафт именно с этого момента. А в конкретном примере — только если фактическое зачисление из банкомата не произойдёт до этого момента, и это маловероятно на практике, поскольку внутри банка (между банкоматом и счетами) информация и деньги передаются быстрее, чем между банком и магазином (точнее, банком, обслуживающим платежи по картам для этого магазина).
А в конкретном примере — только если фактическое зачисление из банкомата не произойдёт до этого момента, и это маловероятно на практике,

30 дней регламентный срок на транзакцию
А если взять не банкомат, а перевод через c2c где сроки могут быть сильно больше.

и если банк отвечает положительно, сумма на счёте блокируется.

так в том и дело, что чтобы заблокировать деньги на счету дебетовой карты — они там должны быть фактически, на кредитной карте — не обязательно.

и ещё раз, решает не только банк, но и платежная система. почитайте всётаки как разные карты устроены. например amex позволяет проводить операции без проверки лимита вообще
30 дней регламентный срок на транзакцию

Может быть это и так, но я не говорю «невозможно». я говорю «маловероятно». Обычно деньги и информация между банком и банкоматом передаются быстро, и этот 30-дневный срок используется (очень далеко) не до конца.

так в том и дело, что чтобы заблокировать деньги на счету дебетовой карты — они там должны быть фактически

Это не всегда правда, в том числе с «настоящими» дебетовыми картами (visa debit/maestro) в Европе и Америке, проверял лично. Как только деньги попали на дебетовую карту через банкомат или через кассира, их уже можно блокировать, даже до фактического зачисления.
их уже можно блокировать, даже до фактического зачисления.

банки так или иначе придумывают всякие фокусы чтобы упростить жизнь клиентам. (повторюсь, также как российские банки показывали в электроны как классики чтобы ими можно было в интернете платить, хотя МПС на тот момент такого не позволяла)

ну вы что хотите мне доказать? мы же имеем реальный факт что карты различаются и способы их приема тоже различаются я примерно описал причины почему так происходит.
ну вы что хотите мне доказать?
Только то, что уже сказал выше: что деньги, внесённые на дебетовую карту через банкомат самого банка, (как правило) доступны для блокировки сразу же, и овердрафт в этот момент ещё не возникает.
и овердрафт в этот момент ещё не возникает.

1) доступны сразу — это банк делает костыли чтобы такое позволить (например показать в платежную систему что деньги реально дошли, хотя это не так)
2) овердрафт возникает если операция списания пройдёт быстрее чем операция пополнения, но вы всеравно в выписке не увидите минус

чтобы поймать это состояние надо например через клиентбанк смотреть на статусы транзакций

Некоторые банкоматы совершают транзакцию только после инкассации, которая может реально до недели осуществлятся. (я например попадал на то что положенные деньги через сберовский терминал в пятницу вечером, по факту попадали на карту только в понедельник утром, причём не только фактически но и вообще как доступные на карте… помнится очень пригорело)

можно было бы более предметно поспорить если бы тут ещё бы ктото был более осведомленный в процессинге. я по долгу работы немного (но не напрямую) сталкивался с этим но мои знания уже несколько устарели… говорят визовский электрон поменялся… не знаю каким образом
доступны сразу — это банк делает костыли чтобы такое позволить

Костыли или нет, но стандартом де-факто (кроме, возможно, очень плохих банков) стало то, что все pending transactions: и пополнения через банкомат, и платежи картой, считаются вместе, а все posted transactions — тоже вместе и отдельно от pending.

показать в платежную систему что деньги реально дошли

Пополнение через собственный банкомат — это операция внутри банка, какое платёжной системе до неё дело? Когда платёжная система при покупке спросит, можно заблокировать или нет, банк (как правило) ответит «можно».

овердрафт возникает если операция списания пройдёт быстрее чем операция пополнения

С этим я не спорю, просто говорю, что это маловероятно в хороших банках, как и описанный ниже случай со сбером.
но стандартом де-факто

в РФ, это важно в данном контексте

Когда платёжная система при покупке спросит, можно заблокировать или нет, банк (как правило) ответит «можно».

вы всёравно не хотите признать что существуют разные виды карт с разными функциями?
например по картам классик и выше можно производить дополнительные списания средств в рамках одной авторизации (чем активно пользуются отели и азс)
А вот у карт класса электрон, так делать нельзя. Хотя казалось бы, банк тут разрешает-а здесь не разрешает. но разница лишь в типе карты. тоесть банк следует правилам платежной системы, а не «сам решил»
в РФ, это важно в данном контексте
И в РФ, и в Европе, и в Северной Америке.

вы всёравно не хотите признать что существуют разные виды карт с разными функциями?
Я где-то утверждал обратное?
И в РФ, и в Европе, и в Северной Америке.

Это на реальных знаниях или только предположения?

Например только тот факт что банкомат с приемом наличных «изобрели» в РФ и крайне консервативный рынок МПС в США, подсказывает что вы лишь предполагаете основываясь на собственном опыте с Российскими картами

Я где-то утверждал обратное?

ну не совсем обратное, просто мне кажется у вас возникает несколько превратное ощущение что во всем мире банковские карты работают также как в РФ, однако это не совсем так, учитывая что наш процессинг гораздо более развитой и технологически продвинутый, чем во всех остальных странах, включая европу и США. что и вызывает такие странные вещи как пункты в банкоматах других стран — «дебетовая операция», 'кредитная операция' смысл которых в наших реалиях не понятен
Это на реальных знаниях или только предположения?

Это основано на реальном опыте проживания. Банкоматы с пополнением я не знаю где изобрели, но и в Европе, и в Северной Америке я их видел.

вызывает такие странные вещи как пункты в банкоматах других стран — «дебетовая операция», 'кредитная операция' смысл которых в наших реалиях не понятен

Именно таких пунктов не видел, но видел пункты «с какого аккаунта списать деньги» с вариантами «savings», «chequing», и. т. д. Да, я понимаю, что они значат — что с помощью одной карты можно получить доступ к нескольким аккаунтам.
свои деньги с кредитки без комиссии снимать можно

У ВТБ нельзя, например.
У ВТБ нельзя, например.

Специально посмотрел тариф кредитной мультикарты, снятие собственных средств в банкоматах ВТБ — без комиссии
Они также съели Банк Москвы, по кредиткам Банка Москвы условия жёстче.
Видимо для своих карт они это исправили.
Недавно снимал через кассу — комиссий не было.
НЛО прилетело и опубликовало эту надпись здесь
Это не надо распознавать. За границей все наши карты кредитные.
НЛО прилетело и опубликовало эту надпись здесь

Вы читать умеете? Все наши карты, даже те, что называются дебетовыми, на самом деле кредитные. Просто на "дебетовых" установлен кредитный лимит 0р.

НЛО прилетело и опубликовало эту надпись здесь

Если вы переедете за границу, у вас и кредитная карта будет, т.к. вам нужно будет свой кредитный рейтинг поднимать. И оплата дебетовкой почти всегда возможна, просто наша карта не пройдет, если при оплате выбрать дебетовую.

НЛО прилетело и опубликовало эту надпись здесь

Жить на свои != не пользоваться кредитными продуктами. Это ортогональные понятия.

НЛО прилетело и опубликовало эту надпись здесь
Кредитная история на западе это некий рейтинг добропорядочности человека, и им во многих сферах пользуются.
Смотря где. Про США рассказывают что кредитный рейтинг — чуть ли не самая важная цифра. В Европе и конкретно в Финляндии где я сейчас живу я о нем даже не слышал чтобы кто-то упоминал. При этом у меня есть знакомые которые брали здесь в ипотеку дом при этом не беря перед этим кредитов чтобы набрать рейтинг — то есть жить без кредитов можно совершенно нормально.
Если вы переедете, то вам все равно нужно будет долго и муторно прояснять все условия их договоров. Они почти наверняка будут заметно отличаться и дебетовая или кредитная у вас будет карта будет не самой большой вашей проблемой в первое время. Но вообще, по опыту — в Финляндии видимо тоже дебетовые карты на самом деле кредитные с нулевым лимитом. Либо озвученной проблемы на самом деле нет, потому что у меня не было случая чтобы я не смог своей дебетовой картой где-то расплатиться, что в физически, что онлайн.
НЛО прилетело и опубликовало эту надпись здесь
debit — это предоплаченная карта.
Все наши карты — это credit
Просто надо всегда и везде говорить «credit» и не будет никаких проблем.
Главное нормальные карты там не засвечивать — их фродят только в путь. Пользуйтесь всякой одноразовой ерундой типа «Банк в кармане» от РСБ. А по приезду — блокируйте нафиг. Иначе месяца через три Вам начнут приходить СМСки о покупках в BestBuy
по опыту поездки по США:
На самой колонке карта не прокатывает в большинстве случаев, но у кассира никогда проблем не было. Только одна заправка попалась, где карту приняли на колонке. Какая то фирменная толи мобил, толи шеврон. Я первый раз в жизни видел заправку, на которой порядка 30!!! колонок.
На самой колонке для кредитки ещё иногда спрашивают ZIP и вбить можно только US код.

В магазинах просто говоришь «кредитка».

Основная проблема выезда зарубеж это не маленькая вероятность, что фин.мониторинг банка по каким то внутренним алгоритмам признает транзакцию подозрительной и заблокирует карту, а потом вероятно позвонят на телефон и спросят «а Вы ли это покупку совершили?». Хорошо если есть телефон с приложением банка и симка активка, чтобы принять СМС с кодом проверки.
НЛО прилетело и опубликовало эту надпись здесь
авторизация на рандомную сумму в пределах доллара — довольно частая проверка валидности карты, ни разу не видел, чтобы банк блокировал такое, скорее всего, ему место транзакции не понравилось
НЛО прилетело и опубликовало эту надпись здесь
С нашими картами оно аналогичным образом не прокатывало (и будучи засранцем, можно писать щедрые чаевые в чеке и сваливать, с карты их снять скорее всего не смогут).

упоминайте тип карты, такое не прокатывает с картами maestro/electron/electronic и 'настоящими" дебетовыми картами, Российский банк тут не причем, это ограничение платежной системы

p.s. о чем я выше в комментах и говорил, именно по этому банки стараются впаривать классики(и выше) и кредитки вместо дебетовых, меньше проблем от клиентов
НЛО прилетело и опубликовало эту надпись здесь
ниразу не видел обратного)

Ну вот из тарифов для кредитных карт сбера:
— и никакого уточнения, заемных или своих. Снятие с карточки и всё тут.

А конкретно про снятие собственных — есть вот такие свидетельства: раз, два.

Да, для ПС и дебетовки банк может представлять кредитками, но сам-то банк их различает. Это все-таки разные продукты с разными условиями обслуживания.

У ПСБ вроде так и было — любое снятие кэша с кредитки в банкомате за деньги.

Добавьте сюда
В таблице содержатся, в частности, детальные персональные данные
Значит есть не иллюзорный шанс того, что в базе присутствуют данные о прописке. А в купе с кредитной историей, очень удобно составлять план по «посещению» этих владельцев. Интересно, дебетовые карты там тоже засвечены?
> Значит есть не иллюзорный шанс того, что в базе присутствуют данные о прописке.

Данные о прописке для некоторых городов уже слиты задолго до сегодня (сбербанк полагаю тут не при делах).
ufa1.ru/text/gorod/54346731

Данные о прописке и данные о прописке с финансами — две большие разницы.

НЛО прилетело и опубликовало эту надпись здесь
Если речь о коллекторах — им данные о прописке не особо нужны — в бки все есть.
НЛО прилетело и опубликовало эту надпись здесь
вряд ли в ближайшее время будет магнет, барыжат же

Данные явно устарели для многих, поскольку прописка упразднена в 1992м. Да, некоторые граждане смеются над путающие монитор с процессором (который ещё и системный блок), а сами городят такую же ерунду в других областях, да ещё и оправдываясь "это одно и то же".


freeExec


Биометрию же

Биометрия у других уже утекала, Сбер назовёт это "внедрением передового мирового опыта".


CycaHuH


Зачем разработчику доступ на продакшен базу и кто ему этот доступ даст?

Даст заказчик, а зачем? Потому как так проще, не надо описывать масштаб системы для создания тестовых наборов и можно "что-то быстро поправить" (когда данные унаследованы и загружены не идеально, то повторить такое сложно и при выборе "попытаться сделать тестовй набор с повтором поведения" и "послать всё/дать доступ" зачастую выбирают второе, причём, с нулевым контролем). Хотя на бумаге всё строго и даже телефон проносить запрещено. Речь о разных крупных госкорпорациях с самыми разными направлениями деятельности. "Ну хоть что-то у нас в безопасности".


Areso


Тут момент какой. Разработчики работают на маленьких базах, из которых выкинули, скажем, 99% клиентов

Хорошо, если в Сбере так (мы тоже так готовили данные для подрядчиков и демонстраций, заполняя произвольными данными некоторый срез базы, дабы там не осталось ничего — благо словари Ф, И, О доступны, даты генерятся рандомом, как и другие данные), но сами частенько получали вполне живые данные и это настораживало. И бонусом системы от разработчкив, где для разработки ориентировались на объём данных 1% от реального, зачастую тормозят (поскольку частенько алгоритмы O(N^2) дают неплохое время на малых выборках, но катастрофу на рельных). Не знаю от чего так получается, возможно, они уже привыкли что им дают реальные полномасштабные данные и получив тестовый стенд с небольшим муляжом, делают там не только функциональность, но и смотрят скорость работы, удовлетворяясь малым без заглядывания в требования в ТЗ.

НЛО прилетело и опубликовало эту надпись здесь
На некоторых «Не Наших» сервисах при оплате картой cvv не спрашивают, и 3d secure подтверждений тоже нет.
Например, Amazon. Был крайне неприятно удивлён.
Запрашивая CVV и смс, банк прикрывает свою задницу, а не о вас забоится) Амазон просто может себе позволить риск оплаты с чужой кредитки.
НЛО прилетело и опубликовало эту надпись здесь
Подобные транзакции на холде 3 дня минимум висят.
НЛО прилетело и опубликовало эту надпись здесь
только после авторизации и согласия привязать карту, как минимум cvv запросят
галка «запомнить карту» может стоять по умолчанию, это не снимает с вас ответственности

Когда у нас внедрялась American Express под ЧМ по футболу, то там вообще чипа нет. Всё по магнитной полосе проводилось, причём даже иногда без ввода пина :)

Если там есть «кодовое слово», то можно не просто дел наворотить, а сделать абсолютно всё. И банк с этим физически не справится.
давно уже «кодовое слово» даже спрашивать перестали, спрашивают рандомные сведения — месяц рождения, предпоследние 2 цифры телефонного номера, что-нибудь про последние транзакции
Где, в сбере? Это вам кто-то рассказал, или вы сами придумали? Вот прямо сейчас позвонил в сбер с другого номера, и как и последние лет 8 после ФИО, адреса и даты рождения оператор спросил «контрольную информацию по карте», что и является кодовым словом. Месяц рождения и предпоследние цифры номера — это практически открытая информация и не защищает никаким образом. Последние транзакции тоже — мошенник отправляет два перевода по 100 рублей жертве, сразу же звонит в банк и называет их оператору — проверка пройдена.

Наибольший риск — по этой базе можно деанонимизировать всех сотрудников силовых структур, судов и т.п. членов их семей и т.п. примерные должности.
из плюсов можно будет узнать разницу в зарплате у директоров школ и больниц с их сотрудниками.
Если Базу вывалят на торренты то можно будет любителям биг-даты проанализировать с реальные расходы/доходы на большой выборке. сейчас такими возможностями пользуется только сбербанк.

у них у всех зарплатные карты сберовые, нафиг им кредитки брать, если можно кредит прям на имеющуюся карту получить?
да и расхождения какие-то — заявлено 60млн кредиток, а сбер говорит, что у них всего 40 было выпущено

С учётом наличия там данных о прописке, должны ещё и квартиру новую за свой счёт купить, или как минимум охрану старой оплатить?..

или лицензию оплатить на гладкоствольное…
Еще один такой слив (по дебетовым картам да еще и с историей операций), и нужно будет всем разрешить ношение огнестрельного оружия.
Губу закатайте обратно.
НЛО прилетело и опубликовало эту надпись здесь

Смело дели на 10, т.к.сказано же, все выпущенные карты, а не действующие на текущий момент

база данных с подробной информацией о владельцах 60 млн кредитных карт, как действующих, так и закрытых Сбербанка оказалась на черном рынке


Всмысле?
Всмысле, что данные не на 60кк человек, а карточек. А с учётом «бывших» на одного приходится по несколько штук.
сбер говорит, что они 40млн кредиток вообще выпускали, активных на данный момент — 18
Есть подозрение, что они даже это нормально посчитать не способны. Т.к. в этой выгрузке будут и виртуальные карты и моментумы.
Даже вместе с ними — все равно как-то мало получается, 40 млн за все время (ок, возьмем даже последние 10 лет активного развития и использования безнала в России) — никак не возможно. Все бюджетники и пенсы, все менты и вояки, миллионы работников всяких ФГУП, ГБУ и прочих НЕХ, обычные юзеры (у которых может быть несколько карт), плюс срок действия карты обычно 3 года, потом перевыпуск. У какого-нибудь Урюпинсксельхозбанка еще может быть 40 млн, у сбера скорее 400 млн.
В выборке только карты с кредитным лимитом
Т.е. бюджетники и пенсионеры в большинстве сюда не относятся, зарплатники тоже частично.
Что у одного человека за несколько лет могло быть несколько карт.
60 млн действующих и закрытых карт <> 60 млн клиентов.
Свыше 150 млн клиентов пользуются услугами Сбербанка во всем мире. При этом число активных розничных клиентов в России составляет около 92 млн человек, а корпоративных — свыше 2,4 млн.
Сайт Сбербанка
При этом число активных розничных клиентов в России составляет около 92 млн человек

… при населении 144 млн, ага. Почти всё трудоспособное население плюс почти все пенсионеры. Ну вы же понимаете, что Сбербанк под «активный розничный клиент» подразумевает «любая незаблокированная и непросроченная карточка». Как, впрочем, и многие другие банки.
НЛО прилетело и опубликовало эту надпись здесь
Ещё можно посмотреть на количество установок Сбербанк Онлайн в Google Play.
Оно более 50 миллионов.
Подозреваю, что находятся такие, кто устанавливает приложение не на одно свое устройство.
Но есть и такие кто не вообще не устанавливает приложения банков, операторов и прочую хрень. Кого из них больше можно только гадать.
Я потому и написал, что эти более 50 млн. установок != реальное количество пользователей. Даже если брать это число как приблизительную оценку — расхождение с реальным числом может быть существенным.
а есть и те, кто снёс его со своего андройд устройства, т.к. этот «антивирус» в составе вешает устройство полностью.
а на х86 оно вообще не работает
Сбер покупает у вендров установку своих приложений, так что циферка тех кто скачал его по своей воле, а не увидел на своем huawei (и тп) после покупки так же может отличаться
У меня 2 действующие карты сбера и еще 2 не действующие, не вижу никакого противоречия.
И разумеется они опять отделаются «приносим извинения».
We're sorry
image

Учитывая цифру я думаю что утекла ВСЯ база сбера.
P.S. И эти люди еще силой внедряют свой идиотский Мир

Биометрию же

А почему "Мир" идиотский? Не флейма ради вопрос, а любопытства.

ИМХО из за того что не плодите сущности

Справедливости ради, конкретно "Мир" мне кажется какой-то очень нужной штукой.
PS: Детали реализации мне не ведомы, такой картой не обладаю ))

ищь ты скока тут приверженцов МИРа :-)

Кому он нужен без поддержки apple/google pay?

Мне
А зачем, если не секрет?
Visa/MC:
— принимается глобально
— привязывается к Google Pay/Apple Pay

Мир:
— Принимается преимущественно в России
— Невозможно использовать с Apple Pay
— Для оплаты с андроида нужно отдельное приложение
не секрет
Google Pay/Apple Pay и прочие pay не использую вообще.
За границей не был года 2.
За границей наличка.

За границей тоже разные регионы бывают. И, например, во всей Скандинавии регулярно не принимают наличные и карту Мир, само собой, так что путешествие может пойти сильно не по плану

мне не актуально, моя заграница наличные принимает
Если для вас заграница ограничивается Крымом — ну что ж тут скажешь?
Интересный факт, за все время когда мне минусовали карму минусы я получал в технических спорах лишь несколько раз. Все остальные минусы ставили исключительно разные фанаты путина\рогозина\русского мира когда я негативно отзывался о всем происходящем.

Мне блин медицина и образование нужны, а не пустые амбиции и карточки которые нигде кроме России не принимают и надеюсь не будут принимать.

Вы не получили образования?

ali принимает
Да и не всё ли равно это просто ещё одна процессинговая система, как visa/master/america express/какие-то местячковые европейские.
Сбер к ней имеет практически никакое отношение, эти карты у тинькова, альфы, втб, да по-моему у всех крупных банков есть.
А что лично вы выигрываете материально/психологически, если карту «Мир» нигде кроме России принимать не будут? Почему на это надеетесь?
НЛО прилетело и опубликовало эту надпись здесь
А её где-то ещё принимают?
В Беларуси скажем — нет.
В турецкой Анталии видел наклейку о том что они принимают MIR. Но сам не пользуюсь, карты нет, проверить в деле поэтому возможности не было.
НЛО прилетело и опубликовало эту надпись здесь
ну тут вопрос ещё в том сколько лет существует платежная система, unionpay в 2002 году появилась, причем китай предпринимает очень большие усилия по её популяризации. ходили слухи (внутри рынка процессинга) что даже в РФ хотели её продвинуть так чтобы у неё пользователей было больше чем у визы/mc… однако видимо чтото не срослось
Есть же ещё и JCB про которую мало кто знает, хотя она по популярности в тройке крупнейших МПС

В отличие от медицины и образования процессинговая система приносит деньги в бюджет (из налогов), которые потом могут быть потрачены на медицину и образование.
Это коммерческая лавочка (пусть и продвигаемая госудаоством), а не бюджетные расходы.

Честно говоря в Скандинавии «Cards only» не видел ни разу. Может быть где-то оно и есть, но так чтобы вообще нельзя было оплатить кэшем — не встречал. А вот только наличка — да, сколько угодно. Всякие продукты от фремеров, продавцы на выездных ярмарках, просто мелкий бизнес в глуши.

P.S. Справедливости ради видел фото кафе из Берлина с объявлением «Cards only», но это единственный известный мне случай.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Автоматические заправки кэш не принимают, насколько я помню.
Кстати очень даже может быть, в силу отстутствия машины я просто не сталкивался с ними. Но представить такое не сложно.
У Газпромнефти автоматические заправки принимают и карты и наличку.

И много у Газпромнефти заправок в Скандинавии?

Ну если вы не бюджетник, никто её получать и не заставляет.
Если бюджетник, тогда да, причём никто не запрещает иметь карты даже того же банка но другой платёжной системы.
Ну и я если честно не так уж много людей видел пользующихся Google Pay/Apple Pay
Вот если б всех принудительно заставили пользоваться этой картой и других не иметь, то да, проблемы, а то как оно сделано сейчас большинству ни горячо ни холодно.
У меня например МИР, никаких особых проблем нет, тем более при поездке заграницу заранее карту валютную выпускаю, после закрывая, так выходит дешевле и безопаснее. Покупки в интернете по виртуальным, их любой системы выпустить можно (хотя тот же ali уже принимает мир). Таким образом в целом всё равно какая карта и какой системы.
Потенциальное неудобство только с Google Pay/Apple Pay и то может рано или поздно допилят интеграцию, особенно если эта тема популярной будет.
Ну и я если честно не так уж много людей видел пользующихся Google Pay/Apple Pay

Вы либо живете в небольшом городе, либо работаете в коллективе, где средний возраст за полтос.
Так-то вон даже проезд на ОТ можно телефоном оплатить при помощи означенных pay-ев. То есть оплату ОТ и общепита, когда вместо карточки или нала прикладывают телефон, я вижу регулярно.
при поездке заграницу заранее карту валютную выпускаю, после закрывая

Сложно. Рублевой оплачиваю. Опять же с телефона.
Потенциальное неудобство только с Google Pay/Apple Pay и то может рано или поздно допилят интеграцию

Google сказал «мы подумаем, но нам пока лениво».
Apple сразу послал, аргументировав тем, что не для тех роза цвела. На фоне экспансии Apple Card звучит логично, да.
Да нет в Москве, да и молодых хватает.
Вижу то регулярно, но это не массово, даже не четверть.

Ну незнаю насколько сложно, мне так удобнее, да ещё и с прыгающим курсом предсказуемее

Может если система будет более популярно её включат в Google, так что чем более популярна тем это событие вероятнее
Да нет в Москве, да и молодых хватает.
Вижу то регулярно, но это не массово, даже не четверть.

В Питере — в какой кабак не зайди — чаще всего айфончиком расплачиваются.

Ну незнаю насколько сложно, мне так удобнее, да ещё и с прыгающим курсом предсказуемее

Фломастеры, да. Но лично мне, когда нужно делать дополнительные телодвижения — уже попадает в категорию «неудобно». Я приверженец минимализма вплоть до большой кнопки «СДЕЛАТЬ [ХОРОШО]».

Может если система будет более популярно её включат в Google

Возможно. Но «популярно» для Гугла наверняка отличается от «популярно» для оператора системы. Опять же некоторая натянутость в российско-штатовских отношениях, наличие санкций — всё это делает рискованным такое расширение бизнеса.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Я вроде:
никого не оскорблял,

За что петушки минусуют?

судя по всему у людей отлично работает предсказание вашей реакции

а по факту, у вас явно своеобразная выборка да ещё упоминание Великого
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
такова жизнь, всё течет всё меняется.

а то что вас так сильно волнуют заукраиндствующие, эмобои и трансгендеры… лишь подчеркивает то что вы не сильно от них отличаетесь (в смысле воинственности)
надо спокойнее относится к подобным изменениям в жизни, они не неизбежны и бороться с ними бесполезно

меня вот за какието комменты тоже минуснули… я позлился и успокоился, теперь подумаю предже чем писать ;) раз не кому тут такое слушать
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
У меня в жизни гниль не командует исподтишка

у вас может и нет, а у человечества всегда так было

изменение, а в закрытом гей-комьюнити на хабре изменение.

неважно как это называть, факт что социум вокруг меняется и лишь ваше решение бороться с ним, уйти из него или смирится. вопрос лишь насколько важно вам то что он вам даёт. а побубнить в стиле 'а вот в советские времена ууу!!! а сейчас все тридварасы'… это толка не будет.
времена фидо не вернутся уже, и даже IRC и форумов из начала 2000х не будет… хотя там и тогда чертовщины было много (но вы помните только хорошее же?)

Я вот не мог на хабре находится в 2007-10 годах из-за зашкаливающего юношеского максимализма большинства тех кто тут писал, сейчас народ подрос и статьи стало можно читать и даже комментарии
Возможно, скоро придётся. По крайней мере, тем, кто хочет официально получать выплаты по больничным. Если не ошибаюсь, со следующего или с 2021 года ФСС переводит все регионы на прямые выплаты вместо возмещения расходов работодателю; до этого ряд регионов долго был в пилотном проекте по этой схеме. А перевод идёт… на карту Мир, да.
НЛО прилетело и опубликовало эту надпись здесь
По зарплате этого и сейчас не отменяют. А оплата больничных финансируется государственным фондом; теперь ещё и оплачивать будут напрямую из фонда, работодатель только информацию даёт.
НЛО прилетело и опубликовало эту надпись здесь

Людям с зарплатой выше ~60к (точную сумму не помню, она постоянно меняется) на больничный ходить невыгодно, т.к. это максимальная сумма, которую возместит любимое социально-ориентированное государство.

У меня работодатель две недели в году доплачивает до среднего заработка.
Там много параметров. Типа время работы в этой компании, общий трудовой стаж (или непрерывный), еще какие-то параметры.
Короче, у нас пару дней можно взять «так», если больше, но работать можешь — забираешь домой ноут и всего делов.
Ну или идти на больничный и плакать в момент подсчета месячного дохода.

Я не про компании, которые дают доп плюшки, а про государство пишу. Даже если вам положена 100% компенсация больничного, от государства вы получите не более ~2к в день. И вот это больше всего напрягает. Те, кто больше всего платит в соцстах, не может этим соцстрахом нормально пользоваться.
Еще раз, я не про варианты, которые позволяют это обойти, а про принцип.


Мне, например, решительно не понятно, почему ограничивается суточная компенсация, а не годовая и какого лешего вообще эти лимиты существуют.

Я тоже не про компании, я про это:
Страховой стаж Размер больничного
менее 5 лет 60% среднего заработка
от 5 до 8 лет 80% среднего заработка
8 лет и более 100% среднего заработка
и
4. Для расчета среднего заработка работника нужно взять все выплаты, на которые начислялись страховые взносы в двух предшествующих календарных годах.

6. Средний дневной заработок для исчисления пособия по временной нетрудоспособности определяется путем деления суммы начисленного заработка в расчетном периоде на 730.

То есть, если вы год назад работали в Беларуси/Польше/еще где-то, а потом устроились на работу в текущую фирму — у вас проблемы.

Если вы молоды, и у вас меньше 8 лет российского стажа — у вас проблемы.

Вы читать умеете? Я априори полагаю, что вам положено 100% компенсации и ваш стаж больше 8 лет.


И вот в этом случае больше 2к в сутки вы не получите от государства, даже если ваша средняя зп 10к в сутки. Вот такие вот 100%. Читайте закон дальше, там ограничение сверху есть.

И до этого ограничения еще добраться надо, я пытался обратить ваше внимание именно на этот факт.

И нет, 8 лет общего российского стажа и 2 года непрерывного российского стажа я бы не считал за данные по умолчанию в сфере айти.

Впрочем, я надеюсь, что из нашего небольшого обсуждения, людям будет гораздо проще осознать, что если у них в трудовых контрактах и офферах не прописаны какие-то дополнительные гарантии, то у них очень грустные перспективы в случае больничного: начиная от пунктов, которые упомянул я, и заканчивая пунктом, про который написали вы.
6. Средний дневной заработок для исчисления пособия по временной нетрудоспособности определяется путем деления суммы начисленного заработка в расчетном периоде на 730.

730 — это что-же получается?!.. Работаю я пять дней в неделю, как и большинство, а это около 260 дней в году умножаем на два года и получаем 520 дней. И предположим, что зарабатывая в среднем 2к рублей в день (~40тыс. з.п. в месяц) за два года набежит 1 040 000 рублей, но делим мы это почему-то на 730 и получаем уже 1 424 рублей в день, за день нахождения на больничном! Вообщем не мытьем так катаньем мы вас…
Если вы молоды, и у вас меньше 8 лет российского стажа — у вас проблемы.

Похоже у всех проблемы, в не зависимости не от чего!..
В общем случае, оклад вам платится за месяц (если у вас не было больничных, переработок и прочего).
Давайте рассмотрим простой пример.
Инженер 3 категории имеет оклад 20 тысяч рублей в месяц. Он работает два года на этом предприятии без изменения зарплаты (для простоты уберем обязательную ежегодную индексацию, и оставим за кадром НДФЛ). Имеет 8 лет стажа.
Считаем начисленный доход:
24*20=480 тысяч рублей.
Предположим, он серьезно заболел и взял больничный на 30 дней.
480/730=657 рублей в день. За 30 дней больничного, компенсация составит 19 740 рублей.
В общем случае, оклад вам платится за месяц

УПС, а из какого такого расчета вы взяли, что оклад за месяц? Например у меня оплата из расчета смены!
Предположим, он серьезно заболел и взял больничный на 30 дней.

Предположим я не серьёзно заболел, а пошел удалять зуб и пробыл с флюсом три дня, тогда как мы посчитаем? 3 х 657 = 1951,00 или 3 х 1000 = 3000 (для простоты будем считать 20 смен в месяц)
480/730=657 рублей в день. За 30 дней больничного, компенсация составит 19 740 рублей.

И однако, для простоты, 19 740 это всё одно меньше 20 000, пусть на 260 рублей…
МИР заставляют получать ВСЕХ! Сейчас многие пособия (напр. декретные), только на карту мир делают.

Хорошо, скажем так, если вы хотите получить что нибудь от государства, нужна мир, если нет — пользуйтесь чем хотите, никто не неволит

Последнее время в Госдуме говорят о необходимости прекратить «зарплатное рабство», когда работодатель принуждает сотрудника получать зарплату исключительно на карту одного навязанного им банка. А когда работодатель — государство, зарплатное рабство с одной платежной системой — это ОК? Лицемерно выходит.
Почему лицемерие? Зарплатой рабство это привязка к банку, который может быть насквозь аффелирован работодателя, не иметь банкомат и пр. Ничего про пс там нет да и не должно быть. При этом зарплатой рабство распространяется на всех работодателя.
По платёжной же системе, если государство вам как-то платит то и хочет это делать через контролируемую пс, банк же вы вправе выбрать сами.
Тут же вроде писали про правила ведения бизнеса в России, одно из которых гласила не работать с государством. Если его выполнять то и вопроса не возникает никакого, выбирайте.
Кстати то что до мира основных систем то было всего две никого не смущало.
По платёжной же системе, если государство вам как-то платит то и хочет это делать через контролируемую пс

А если контролируемая ПС не устраивает своими потребительскими характеристиками? Не, не рабство?
Нет. Точнее не совсем. В первом случае у вас выбора нет вообще никакого чётко выбранный банк и выбранная им же платёжная система, неважно есть ли банкоматы у банка, какие комиссии и пр.
Тут же, выбираете любой банк какой вам нравится, а если не нравится, можете в том же банке выбрать любую другую ПС, внутри банка переводы по счетам без комиссии.
Я не хочу выбирать банк, я хочу чтоб был нормальный выбор — Visa, MC, Мир, UCP, черт лысый…
Не работаете на государство-пожалуйста.
Ну так о том и речь, что государство себя ведет этом плане абсолютно отвратительно.
Почему? Не очень понял? Государство свои деньги хочет пускать через национальную систему. При этом пользоваться ей не заставляет по сути.
Ну так уже сказано ж выше, что если ты бюджетник — выбора нет.
Моя мама работает в бюджетной организации, и после получения ЗП она снимает наличку с МИРа и несет в кэшин Альфы.
Потому что МИР непредсказуемо факапился на оплате в магазинах, а вот Visa — нет.
Вот именно, работаешь на государство, поэтому которое, что вполне логично, хочет пускать деньги через национальную платёжную систему.
она снимает наличку с МИРа и несет в кэшин Альфы.

А зачем так сложно? У альфабанка есть карты и мира и других платёжных систем, при поступлении денег, при необходимости через интернет банк нужные деньги перекидываешь между картами.
Потому что МИР непредсказуемо факапился на оплате в магазинах, а вот Visa — нет.

А вот это странно, у меня мир основная карта уже как года два, ни разу с ней проблем нигде не было.
Ну, пару раз негативного опыта человеку хватило, чтобы забить. Очень неприятно, когда потратил полчаса в магазине, и на кассе надо все скидывать, потому что «с вашей карточкой что-то не так. Не проходит.»
Сейчас вроде card2card преводы освоила.

работаешь на государство, поэтому которое, что вполне логично, хочет пускать деньги через национальную платёжную систему.

Работнику какой интерес?
НЛО прилетело и опубликовало эту надпись здесь
Бросилась в глаза формулировочка :-)

" вполне можно заставить "
Про начальство и бухгалтерию согласен
это неправда
покажете какой-нибудь закон или подзаконный акт, где такое говорится?
хоть наличными получайте
даже если вы бюджетник, вы вправе получать свою зарплату на любую карту, или вовсе наличными в кассе, расписываясь в ведомости, просто люди прав своих не знают и не хотят их отстаивать
НЛО прилетело и опубликовало эту надпись здесь
при поездке заграницу заранее карту валютную выпускаю

Зачем? Любой нормальный банк позволяет к карте привязать несколько счетов, в том числе валютных.

Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир. Поддержка оплаты этими картами хуже, чем у Visa / MC. Ожидаемо, что единственная валюта расчётов — Российский рубль.
Я себе завёл карту «Мир» только для получения всех плюшек от субсидий (музеи, различные муниципальные сервисы). Но они когда-нибудь закончатся.
А если серьёзно, то было не очень важно, какую сбера карту завести, но из-за политики сбера по внутренним переводам с комиссией (если регионы на совпадают) надо было любую. Почему бы и не «Мир»? В остальном пока не замечал каких-то минусов. Но и картой почти не пользуюсь.
Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир. Поддержка оплаты этими картами хуже, чем у Visa / MC. Ожидаемо, что единственная валюта расчётов — Российский рубль.

ПС молодая, может в будущем добавят.

С точки зрения государства гонять деньги граждан через американские компании — не комильфо, их понять можно. Но пользователям как-бы пофиг и они продолжают пользоваться тем чем пользовались.
ПС молодая

Вы же понимаете, что дело не в этом и вообще не в технических вопросах?

А вы понимаете, что Виза/МС могут отключить Россию без проблем? И что тогда нужно будет делать?
Виза/МС могут отключить Россию без проблем?

ИМХО Если такой момент настанет, вопрос «как снять деньги с карточки» будет далеко не первым в длинном списке остальных проблем.
Вспомните гиперинфляцию начала 90хх, там никакой Визы и МС не было, а вот проблема с обналичной вкладов — даже очень.
Я встряну Ваш коммент в Свежем всплыл
тут надо не ТОГДА делать а ДУМАТЬ ГОЛОВОЙ ПЕРЕД
быть частью мирового сообщества — тогда никто ничего и не отключит.
Звучит как-то по-детски.
У физического лица есть только один способ стать частью мирового сообщества — переместиться в это сообщество физически. Но в сообществе карту МИР все равно не принимают.
Сейчас это возможно даже без ПС Мир, на секундочку, процессинг visa/mc переключили на НСПК до того как Мир заработал
А до этого был ОРС (правда вступали туда добровольно)
НЛО прилетело и опубликовало эту надпись здесь
Так, да не всегда так. У наших банков весьма совеобразный подход к ведению бизнеса.

МОСКВА, 14 марта. /ТАСС/. Приостановка транзакций по картам Mastercard и Visa, выпущенных в попавшем под санкции США «Еврофинанс Моснарбанке», связана с прекращением процессинга карт на уровне компании-подрядчика, сообщили ТАСС в среду в пресс-службе Национальной системы платежных карт (НСПК).
без проблем — не могут
Чтобы зарубежные банки начали напрямую работать с ПС их надо в этом как-то заинтересовать. Есть конечно вариант что могут договориться с MC/Visa/другими ПС(маловероятно), чтобы кто-то из них форвардил операции в нашу ПС, но это как по мне будет идти ненмого в разрез с теми целями, которых пытаются достигнуть ее созданием.

А каких целей пытаются достигнуть её созданием?

Убрать информацию о потоках денег внутри России иностранными компаниями ну и избежать коллапса системы в случае введения санкций (Особо если помнить на фоне чего эта система создавалась, по типу запрета SWIFT, запрета работы той же visa в россии и пр.)
А как это убирает информацию о денежных потоках внутри страны от глаз платежных систем? Они же продолжают тут работать и обрабатывать эти транзакции через НСПК. Неужели международным MC/VISA эти данные недоступны? Они же как-то анализируют свою работу на рынке РФ, значит обрабатывают и анализируют эти данные.
«Всегда ищи, кому это выгодно»… :) Зачем отдавать комиссию за платежи внутри страны, коих больше 95% — иностранным компаниям MC/Visa? Поэтому и создана сравнительно своя система, чтобы этот денежный поток во-первых оставить внутри РФ, во-вторых, дать заработать своим.

А политика, национальная безопасность и т.д. — это уже второе дело.
во-вторых, дать заработать своим.

всё людям, от чистого сердца
p.s. а вы знаете что появление НСПК фактически убило ОРС? тоесть буквально получилось дать заработать ''своим"
чтобы этот денежный поток во-первых оставить внутри РФ

денежный поток никогда и не выходил за пределы РФ, несмотря на то что visa/mc не российские конторы… ну разве что комиссия им платилась.
Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир.

Начнем с того, что "весь остальной мир" — это слишком сильно.
Кое-где уже принимают. Вот про али пишут. В некоторых популярных у российских туристов местах тоже.


Поддержка оплаты этими картами хуже, чем у Visa / MC.

Что имеется ввиду кроме поддержки всякими "*пэями" и пр
риема в зарубежье? Оплата телефоном возможна в некоторых банковских приложениях.


Ожидаемо, что единственная валюта расчётов — Российский рубль.

По крайней мере у одного банка еще доллар и евро

В одной далекой-далекой стране из моего сна банковская система World умудрилась нанять криворуких кодеров, которые написали сервис, через который утекает информация о части покупок с любой карты этой системы по ее номеру. Снилось, что на письма ребята из Ворлда тоже не отвечают.
НЛО прилетело и опубликовало эту надпись здесь
По той же причине, по какой идиотским можно назвать любое импортозамещение в нынешних экономических условиях.
Ну не любое. Нормально организованное импортозамещение — с реальным развитием производства, определением что именно нужно замещать не распыляясь на все подряд, с правильно организованными экономическими стимулами — вполне себе оправдано. Особенно когда правительство совсем не против сделать что-то за что на него половина мира ополчится. Реальность, конечно, ближе к тому что пишете вы.
Нормально организованное импортозамещение лучше нормально организованного рыночного регулирования?
Вполне может быть. При правильном импортозамещении должны быть экономические льготы для нового бизнеса в нужной отрасли. Чем же рыночное регулирование лучше если над государством повисли санкции и делать нужно что-то прямо сейчас?
У меня неделю назад 700р списали с карты, хорошо что заметил смс о списании. Позвонил в банк карту заблокировали. Написал заявление, но в банке намекнули, мол сам карту засветил где то, так что вероятность возврата 0%. А тут вот оно как.
«Ну у вас же страховка не оформлена. Вот была бы страховка, банк вам все вернул бы.» — практически цитата сотрудницы банка. Я после ее уговоров даже вышел из отделения. Постоял, подумал и решил, что бумага все стерпит и пусть откажут письменно. Вернулся и написал заявление. Через 3 дня деньги вернули на карту.
Мне тоже страховку впаривали, но конечно отказался, а рассматривать жалобу будут полтора месяца.
закон о национальной платежной системе требует от банка возмещения утекших у клиента средств. плюс цб требует наличия в договорах с клиентами требований по иб
пришла смс, сказали деньги вернут, вместо полтора месяца за 2 дня рассмотрели.
У меня недели две назад назад тоже слили около 15 тысяч, но сбер их вернул на через 2 дня после написания заявления, хотя обещали разбираться в течение 35 дней. Страховки не было.
Повезло, мне как бы намекают, что сам виноват.
Учитывая что карты есть не только у физиков, но и у юрлиц, проблема то размером с Восточно Европейскую Равнину, как в прямом так и в переносном смысле

Только собственный программист мог это сделать. К сожалению от разработчиков базу очень сложно закрыть — нечего будет разрабатывать. А сделать дамп базы и скинуть на флешку дело пары минут. Скорее всего кого-то обидели деньгами или морально. Ещё иногда думаю, что советская шпионская параноя была не такая уж и параноя.

Как разработчик платежной системы с PCI DSS скажу что ничего прямо мега сложного в этом нет. Тем более для компании масштаба Сбербанка.

НЛО прилетело и опубликовало эту надпись здесь
Зачем разработчику доступ на продакшен базу и кто ему этот доступ даст?
Такое может произойти, когда происходят затыки/аварии с большим влиянием. Тогда разработчики получают ограниченный доступ к боевым приложениям (и, соответственно, базам).
Значит мне повезло больше(меньше). В своё время мог выгрузить население некоторых европейских стран.И деньги-то платили небольшие, но вот нет желания продавать. Даже не из-за страха. Самому уже за последний месяц раз пять позвонили разводилы от имени сбера. А есть жены, матери и прочие наивные.
Цитата моей бывшей коллеги, которая устроилась в сбер программистом:
«В Сбере то меня в первый день на рабочую базу под общим логином пустили говорят: ну ты уж не удаляй ничего».
Очень сомнительно. Ну т.е. это могла быть какая-то рабочая база какого-то сервиса, коих туча, но не карточная. У них там в PCI-DSS зону пропуск месяцами согласовывают, да и не работают в ней программисты, им макетов с тестовыми данными за глаза.
Мне показалось это сверху сарказм был.
Тут момент какой. Разработчики работают на маленьких базах, из которых выкинули, скажем, 99% клиентов, а оставшийся 1% прошел процесс маскинга, где меняются реальные данные на выдуманные.
Ну почему же?
То что вы описали — тестовый контур.
Плюс еще много проблем возникает у реальных пользователей, и тут как раз нужно ручное вмешательство. Поэтому есть целые отделы pl\sql девелоперов например.
У нас (не Сбер) можно заказать обрезку таким образом, чтобы проблемный клиент попал в тестовый контур.
Их, кстати говоря, может быть более одного — для функционального тестирования, для нагрузочного тестирования, для разработчиков, и т.д.
С реальными пользователями имеют дело не разработчики, а саппорт. А у них если сделал больше N запросов в день, то это повод для разговора с СБ

Кто-то же выкидывает эти 99%. Просто разный уровень доступа.

Да, это делают DBA или Oracle Developer.
Значит не разработчик, а DBA слил.
У этих DBA зарплаты такие, что частенько возникает вопрос «А когда свою тачку сливать, когда у неё 10 или 20к пробега?»
НЛО прилетело и опубликовало эту надпись здесь
>240 устроит? Подробнее говорить даже не буду.
НЛО прилетело и опубликовало эту надпись здесь
Так $4k+ это норма для любого сеньора.
Что не отменяет того факта, что в масштабах России — это ЦИФРА.

Причем DBA не такая уж ценная роль.


Реальные данные в случае, если не все вокруг халатные раздолбаи, а система это набор кластеров, DNS с доступом по локальной сети через удаленные машины, то невероятно сложно заполучить базу незаметно. И совершенно непонятно, что с ней делать, утечку обнаружить слишком легко, база выдает дату взлома.


Гипотетически, продать/использовать информацию в головах синьоров, архитекторов и менеджеров, работающих с самим продуктом сильно проще.

Гипотетически, продать/использовать информацию в головах синьоров, архитекторов и менеджеров, работающих с самим продуктом сильно проще.
Такую утечку и заметить сложнее. Более того, вполне возможна трактовка текущей ситуации как: «Исключение подтверждает правило», в том смысле что сливать базу — заметно и виновника скорее всего быстро найдут. А те кто работает более осмысленно и аккуратно — те продолжат жить как жили.
Баблище прям :)
Смотрю я вот на поля — это витринка в dwh для аналитики какой-то.
Собсно к ней доступ и был.

Естественно, у кого-то есть полный уровень доступа, просто таких людей достаточно человек 10 даже в масштабах Сбербанка. Остальным сотням программистов такой доступ нафиг не нужен для выполнения своей работы. Ну а сливать базу, когда ты 1 из 10 потенциальных подозреваемых — это как-то слишком дико.

Проблемма судя по всему в том как сбер относиться к безопасности. Читал недавно отзыв о работе в сбере: из-за того что у них все процессы идут месяцами, проблемы зачастую решаються не совсем правильно. Скажем вместо того чтобы дать доступ только к одному серверу, по необходимому порту, и только запросившему пользователю, пробрасывают всю сетку, потому что «слишком много тикетов с подобной проблемой»(и это сейчас была не гипотетическая ситуация, а часть того отзыва), даже интересно куда их всевидящее сб смотрит. С подобным подходом, не удивлюсь, если доступ к базе получил кто-то прям совсем левый. Хотя сам в сбере не работал, так что подвердить или опровергнуть подобное не могу, но судя по быстрому гуглению отзывов с подобной картиной огромное количество.

Вот собственно даже на хабре отписались о качестве сберовской внутренней кухни habr.com/ru/post/438514
Не знаю как в сбербанке, но я с одной крупной компанией работал и доступа к продакшену у разрабов нет. Есть только у админов ответственных за данный продакшен. Если продакшен сломался, то отладка идет таким образом, просто пишешь админу, «посмотри этот лог», «посмотри версию этого пакета», и так далее.

"В результате внутреннего расследования служба безопасности банка при взаимодействии с правоохранительными органами 4.10.2019 выявила сотрудника банка 1991 года рождения, руководителя сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных в силу выполнения служебных обязанностей и который попытался осуществить хищение клиентской информации в корыстных целях", и за что заминусовали?

Видать в десятку Вы попали, гляньте сколько минусов. Они там писали что менеджер какой то вручную миллионы записей надергал, такому менеджеру легко можно на должность скл базы устроиться.
Представим, злоумышленника установят. Интересно, что ему грозит помимо увольнения? Штраф тысяч 30?
274 УКРФ, вероятно.

Если он из рядовых, то впаяют 274 по максимуму, а если из кого надо — вплоть до "уволили и забыли".

Я немного не понимаю, если доступа к базе из сети нет, то как с ней работают сотрудники? Заказным письмом?
НЛО прилетело и опубликовало эту надпись здесь
Если бы сеть была изолирована, то была бы такая изолированная сеть в каждом отделении своя и утекли бы данные максимум одного отделения. А если утекло 60 млн, то значит данные между отделениями как-то передаются. Не через интернет? Может быть они там записывают данные из отделений на dvd/hdd и курьерами отсылают в центральное хранилище? Хочется понять как это организовано.
В большинстве крупных компаний используются свои L2 или L3 сети между отделениями. Фактически, не через интернет. VPN, IPSec и тому подобные решения.
А через что? Через выделенные волокна/линии? В основном дораха, поэтому какой-нибудь випнет на периметре и погнали. То есть по факту таки через интернет.
У нас даже свои линии есть, не знаю как там у Сбера…
Но мне казалось, что Интернет — это то, что не изолировано программными и аппаратными решениями.

То есть я бы разделил уровень физической передачи данных и более высокие уровни.
Так и речь о том, что уровень изоляции может быть раличным
Доступ есть только с рабочих мест видимо.
А как тогда работает Сбербанк онлайн через интернет?
Будет смешно, если сейчас банк родит историю, что это база не из банка утекла, а это трояны насобирали информацию с телефонов и компов.
И кстати, о троянах. Теперь с базой сопоставлений телефон/карта открывается простор для создания троянов для перехвата/отправки смс от банка, и внедрения этих троянов в легитимные приложения, с последующей таргетированной атакой.
А как тогда работает Сбербанк онлайн через интернет?

Через кучу прослоек.
Так если есть какие-то прослойки (сервисы?), то о какой изоляции можно вообще говорить? Или что вы имеете ввиду под прослойками?
Отдельно проковырянные дырки с ограниченным доступом, аудитом, и проверками на уровне бизнес-логики. Апишечка.

Ну тоесть багов в них быть никак не может и преодолеть ограничения никак нельзя?

Баги могут быть везде. Но эти дырки еще найти надо (например, расковыряв сберонлайн, или АРМы), а потом протыкать, что в целом довольно палевно.
Однако это рушит утверждение «полностью изолированной от внесшней сети».
Ессна )

В Сбербанк онлайн номера карт не отображаются (только последние 4 цифры), а в дампе они есть. Так что отмазка не прокатит.

НЛО прилетело и опубликовало эту надпись здесь
Изнутри утащили.
Надеюсь, они хранились на надежных серверах на территории России, как того требует закон

Цель этого закона не в надёжности хранения.
(но сарказм я конечно понял)

Ну тут и продавец слитой бд должен быть зарегестрирован в ркн как оператор, осуществляющий обработку персональных данных.
Иначе как можно верить, что данные достоверны?

Кстати, проверяет же РКН, что эти персональные данные действительно хранятся там, где надо. Как они это, интересно, делают? То есть, у них в принципе должен быть доступ ко всем персональным данным всех людей во всех компаниях вообще. И что мешает проверяющему рядовому сотруднику слить всё это? /Параноя моде офф/
Как как — как обычно.
Приходят и смотрят.
Ну и видят то, что им показывают.
Находят пару подготовленных косяков, предписание и штраф, и уходят довольные рапортовать, что все ок.
Ну понятно, что на практике скорее всего такой формализм и показуха, но ведь если всё по закону делать, то в распоряжении РКН должен быть доступ ко всем персональным данным. Иначе как проверять то?
Все по закону делать с современными закнами вообще не всегда в принципе возможно.
НЛО прилетело и опубликовало эту надпись здесь
Или утечка была раньше 24 августа, или это далеко не первая учетка.
17 июля этого года мошенники позвонили моей жене и у них были вообще все данные, включая номера карт и счетов сбера.
Это именно что утечка, а данные одного абонента можно получить мошеннически (например, с фишинговых сайтов) или «пробивом» — покупкой данных конкретного абонента у операторов базы.
Фишинговые сайты сразу отлетают — для всего в сети мы уже очень давно используем мои виртуальные карты. Ну и жена у меня информационно обазована.
«Пробив» — да, может быть. Но вроде бы как операторы не могут увидеть полный номер карты.
Интересно, а компроментация кредитной карты и с последующим перевыпуском помогут беде?
Опять сотра кинули с баблом или не дали обещанного повышения по службе, когда уже поймут жопошники, что обманывать не хорошо, себе дороже потом выходит.
А чего заминусовали? Не так что ли? Это первое, что мне пришло в голову, когда я узнал данную новость. Жид платит дважды.
Там такие зп, что сливать базу — надо быть идиотом.
База слита, зп «такие», значит работают и вправду идиоты.
Думаю минусуют те, кто сам не чист на руку, их не так много к счастью.
На хабре стабильно, за пост, что жопошников надо наказывать, получаешь в районе 10 минусов, я проверял специально)
Но такой минус за 2 плюса пойдет и вообще нужно писать то, что думаешь.
Больше минусов, меньше зря потраченного времени в обсуждениях.)
ЖИД это весьма оскорбительно среди евреев много нормальных ребят, не все они воры и хапуги, есть же хорошее русское слово жопошник.
Там такие зп, что сливать базу — надо быть идиотом.

Это когда то было знакомый говорил. И потом не обязательно дело в деньгах, набор гадостей которые люди друг делают ничем не ограничен. Если бы это был мошенник, он бы просто по базе работал в тихую, а не в паблике бы ее палил.
Себе дороже? И сколько-же они потеряют? Подозреваю, что нисколько.

Про форум заблокированный РКН смешно и грустно. Мы заблокировали, мы молодцы, выглядит как будто мешок не прозрачный на голову надели и рады.
Утечки предотвращать? Да не, мы просто не будем на них смотреть.

CEO банка просто обязан подать в отставку!
Сначала слив базы налоговой, теперь сбер банк и все за неделю, что дальше? госуслуги?

Ну или это хитрый ход сберю банка по заманиванию клиентов для перевыпуска карт с принудительной биометрией. Но звучит бредово т.к. финансовые и репутационные потери большие.
Перевыпустить карту точно стоит. Паспорт тоже уже пора бы, фотка старая.

Они ж за перевыпуск деньги захотят… В договоре нет условия о том, что перевыпуск карты, связанный с уточкой ее данных из банка производится за счет банка. Т.е. банк сейчас еще и заработает.

дальше скажут, что это были атаки на Российский сектор и надо изолировать наш интернет.

не подсказывайте, плз((

уже поздно…
не подсказывайте, плз((


К сожалению, это придумали ещё до нас. Просто вводится всё это постепенно. Вспомните как вводили реестры запрещённых сайтов с блокировками. Подавали под соусом защиты детей. Можно покопаться в старых новостях и при достаточной паранойе найти «корреляцию между определёнными негативными событиями и принятыми на фоне этого законами». В наших реалиях трудно понять, с согласия руководства, или без него, был этот слив. Так или иначе, это событие «привлекло необходимое внимание, вопрос о безопасности данных был поднят в СМИ».
интересно, что будут делать, когда интернет изолируют, а «атаки» всё равно продолжатся?
НЛО прилетело и опубликовало эту надпись здесь
Да ладно, даже российские сайты сейчас тиражируют эту информацию.
>репутационные потери
>Сбербанк

СберВойны, эпизод I: Скрытая угроза
(Греф борется с программистами)
СберВойны, эпизод II: Война офисов
(https://m.habr.com/ru/post/438514/)
СберВойны, эпизод III: Месть кодеров
(Вы находитесь здесь)

а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.

Вранье. Покупал билеты на самолет и поезд без смс подтверждения. Но это не только на картах Сбера наблюдается.

Это потому, что на некоторые виды операций подтверждение смс специально отключают.
Оно понятно, но непонятно зачем. У знакомых так же оплачивали отель без подтверждения. В то же время за перевод небольшой суммы незнакомому человеку тебе через раз блокируют операцию и требуют подтверждать ее по телефону))
Как мне кажется, основная идея в том, что подтвержденные операции по переводу физическим лицам обычно не отменяются/не оспариваются, пока нет решения полиции/суда. Отель же никуда не денется (обычно), поэтому операцию можно подтвердить, а потом отменить/оспорить без особых усилий.
Но это правило распространяется на очень ограниченное количество юр. лиц, да еще и тех, где ты потратишь кругленькую сумму. Мне не нравится такая избирательность.
Зачем как раз понятно. Это делается по просьбе принимающей платежи стороны, которая по каким-то причинам не может/не хочет использовать подтверждение платежей смс. Такси хороший пример. При оплате из приложения придется открывать страницу банка с формой подтверждения кода из смс, что часто не возможно.
При оплате из приложения придется открывать страницу банка с формой подтверждения кода из смс, что часто не возможно.

Приложения от всяких доставок с этим справляются, а приложение от такси не справится? С чего бы? Тем более сомнительно, что это применимо к сайтам авиакомпаний/РЖД, у которых таких проблем в принципе быть не должно, и через которые проходят суммы значительно крупнее, чем через такси (где упрощение может быть обоснованным хотя бы удобством)

Хм. Да, не только для сбера, но замечал такое только для платежей в пределах 1000р.

нет, плачу жкх с недавнего времени, месяца 3-4 смс перестал спрашивать.
Тоже хотел написать. Много где не требуется смс пароль, перевод идет посредством CVV кода. Спрашивается, зачем это здесь написали
Обычно такие транзакции оспариваются проще всего. 3D secure не было — проблема мерчанта.
Был опыт? Есть сомнения, что какие-нибудь 15к за билет так легко вернут, ведь покупать можно не только на себя, и потом иди докажи, что не по собственной воле это сделал
Зависит от жесткости регулятора и человечности конкретного банка в той или иной стране.
По правилам — должны вернуть.
А как это происходит? Я иду в полицию, завожу дело, потом полиция обращается в банк за возвратом?
Нет, достаточно написать заявление в банк.
Насколько мне известно, при проведении операций без 3DS / CVV2, все риски переходят на сторону банка-экваера, и в этом случае при возникновении фрода эмитенты охотнее идут на встречу своим клиентам.
Можно в теории, даже есть такая «теневая» услуга как рефанд сервис. Но это всё же мошенниество, будете турьма сидеть потом.
какая неожиданная новость
НЛО прилетело и опубликовало эту надпись здесь
Кто оштрафует Сбер?
Даже если это произойдет, это как переложить деньги из одного кармана в другой.
Хотя, возможно, что это даст положительный толчок их безопасникам и админам, в т.ч. их DBA…
НЛО прилетело и опубликовало эту надпись здесь
Судя по количеству карт — это не полная база. 60 миллионов карт при более чем сотне миллионов пользователей (если верить сбербанку конечно), да еще и включая предыдущие карты, это точно не полная база. И сбер вполне может морозиться что клиенты из Европы не пострадали пока их носом не ткнут. Найдется ли европеец который найдет себя в этой слитой базе и подаст на них в суд?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Конечно, но при двух условиях — нарушение действительно заметят и смогут доказать что сбербанк о нем знал. Это риск конечно, но он вполне может стоить тех денег которые они точно потеряют если сообщат сами.
а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.

А если к этому прибавить недавнюю статью об отсутствии 3dsecure на многих крупных сайтах, то 60 млн карт превращаются… в элегантные шорты с AliExpress.

Скорее в элегантные свёртки с порошком из Южной Америки :-)

а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.

Не каждая. Если ОЧЕНЬ задолбать сотрудника при получении карты, то номер телефона привязывать не заставят, а если нет номера то и код высылать некуда.
Не каждая, даже если номер привязан.
с али допустим ничего не требует
нет. Покупал билет у Аэрофлота. Скушал CVV и подтверждения не запросил.
НЛО прилетело и опубликовало эту надпись здесь
Можно потом продавать на каком-нибудь сайте как горящий билет с переписью на другого за 50 баксов изменения.
была у меня такая карта сбербанка, без привязанного телефона. Платежи в интернете вообще не проходили. Нет телефона — нет кода — …
Для проверки гипотезы корреспонденты издания “Коммерсантъ” попросили продавца найти в базе свои данные. Вскоре им была предоставлена информация о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Хех. Можно составить реальную статистику по средней/медианной зп. Да и вообще что угодно посчитать можно.
Ну да, для аналитики база представляется весьма интересной и без персонализации данных. =)
Да тут и для бандитизма разгул.
Найти кто проводит с определенной периодичностью крупную сумму через свой счет. Потом узнать прописку, проанализировать траты и вот у нас готовый «клиент». Можно начинать его «разрабатывать», зная где он обедает, где закупается, где живет, ведь далеко не все пользуются разными банками для разных операций (комиссии мешают).
Учитывая размер базы, найти подходящую жертву, которую будет легко запугать, вполне можно даже не выходя из дома, так сказать.
Ха-ха-ха!.. Если утечка реальна, то это просматриватся 3 варианта
1. Группой лиц по предварительному сговору
2. Злоупотребление доверием с наплевательским отношением к своим должностным обязанностям некоторой категорией работников
3. Таки выхолостили требования к информационной безопасности (я в это не верю)
Но удивляться не стоит. Ситуация из серии пропажи средств со вкладов некоторых банков у которых отозваны лицензии. Без участия ИТ такой трюк не провернуть.
НЛО прилетело и опубликовало эту надпись здесь
В открытом виде?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Продали/Отдали дуру весом в тонну? Интересная версия, особенно что сервер сервером, а хранилище оно отдельно идёт.
НЛО прилетело и опубликовало эту надпись здесь
Исключено. Инструкция предполагала комиссионное уничтожение информации на носителях в таких случаях. Вышедший из строя диск полагалось физически изничтожить, и то же комиссионно. Поэтому всё-таки п.2
НЛО прилетело и опубликовало эту надпись здесь
Тупые админы? Тупые безопасники? В Cбере? Не, не верю.
Зная людей, которые занимаются «утилизацией» железа из банков и всяких весёлых организаций (на таком железе частенько бывает голографический орёл с щитом и 3 или 5 буквами) — дисков и ssd оттуда им не достаётся. Вот берёшь сервак за копейки, просишь к нему корзин отсыпать(т.к. пусто), а в ответ «корзины были уничтожены с дисками, мы только это смогли на утилизацию забрать».
5. через глубокий инсайд.
Не первый и не последний раз такое.
И более масштабные утечки были.
Никогда такого не было и вот опять. Как-то уж очень часто это происходит в последнее время.
Ждём, когда утекут данные от сотовых операторов и интернет-провайдеров, которые обязаны хранить данные по закону Яровой.
Это дело времени.
каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Это кстати неправда, у меня с кредитки деньги тратятся без 3D Secure и каких-либо СМСок.
Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети

Оо выше гор. Некоторое время назад писал в Сбербанк, что они допускают доступ к балансам карт и истории операций клиентов (как минимум, «Сбербанк-Премьера»), достаточно знать номер телефона и 4 цифры номера карты, проблема была в системе IVR. Мне сказали, что проверку Caller ID (подделывается легко и кем угодно) и последних цифр они считают достаточной. Я поржал, пошёл дальше. Через пару месяцев они додумались облегчить жизнь клиентам: если ты не помнишь последние цифры, то автоинформатор подсказывал список карт и предлагал выбрать, данные по какой нужно получить. Я поржал ещё больше, но второй раз писать не стал, смысла уже нет. Отдельный прикол в том, что я видел кучу объявлений о «пробиве» данных таким способом. Сейчас они перевели автоинформатор на номер 900, подделывать звонки сложнее, но кто знает.
Возможно что имелось ввиду что утечка настолько полных данных невозможна. Если верить исследованию, то простой пробив не дает такого количества полей с данными. Тогда либо база собрана через разные системы и скомпилированна в одну, либо это реально утечка какой-то центральной базы, доступа к которой извне может реально и не быть.
А что предпринять в этом случае клиентам можно?
Вернее, что дальше делать-то?
Отличный вариант — не пользоваться Сбером :)
Наилучший вариант — закрыть и открыть карту заново. Все данные будут новыми.
Средний вариант — перевыпустить карту. У всех банков по-разному, но в прошлый раз Сбер даже код CVV не поменял при этом. Дата действия обновилась и то хорошо.
Худший вариант — ничего не делать, жить как жили.

Дополнительно: поменять кодовое слово, деньги на карте не держать (держать их или на депозите или на сберегательном счете).
Средний вариант — перевыпустить карту. У всех банков по-разному, но в прошлый раз Сбер даже код CVV не поменял при этом. Дата действия обновилась и то хорошо.


Добавлю, что если нельзя поменять каким-либо образом дату действия перевыпущенной карты, то мошеннику для определения даты действия достаточно знать, что держатель этой карты перевыпустил вскоре после прочтения данной новости. Аналогично про наилучший вариант.
Просто не держите деньги на карте.
Откройте депозит и переводите все туда.
Пополняйте карту со счета только на необходимую или какую-то небольшую сумму типа 10к.
Это справедливо вообще в принципе безотносительно конкретного банка.
Я например упарываюсь круче — у меня есть кредитка Тинькова — ее можно обложить лимитами и запретить покупки в интернете. Когда мне нужно расплатиться в интернете — я снимаю запрет, расплачиваюсь и снова запрещаю. Когда мне нужно оплатить что-то дорогое — просто увеличиваю лимит.
Оторвите от карты и выкиньте бумажку с CVV кодом.
Когда мне нужно расплатиться в интернете — я снимаю запрет, расплачиваюсь и снова запрещаю.

Для этого уже давно придумали виртуальные доп. карты. А палить свою реальную карту в инете, даже с лимитами — так себе совет.
Я на своей карте стёр часть цифры CVV кода так, что теперь это выглядит другой цифрой. Чтобы из-за плеча было сложно разглядеть/сфотографировать и запомнить.
Кстати, не рекламы ради, а какой банк лучше в плане техническом, чем Сбер? Это ведь не первая история об утечке. Тинькофф? Райфайзен? Не хранить же ₽ в заначке?
Любой банк со сберегательным счетом / депозитом + генератором OTP будет подходящим.
Например?
www.banki.ru/forum/?PAGE_NAME=read&FID=13&TID=308953
Сам, правда, не пользуюсь, но я и ₽ в сколько-нибудь значительных цифрах не обладаю.
Я на Альфе 13 лет — нареканий нет.
Последние 3 года за счет оборотов — обслуживание на «комфорте» бесплатное.
НЛО прилетело и опубликовало эту надпись здесь
55K за период в год vs 60M, и это мы еще не начали обсуждать насколько сбер всрат в своем отношении к клиентам
То есть Вы уже торгуетесь? =)
Я не защищаю Сбер, моя мысль что в утекает отовсюду. Нет идеального банка
55К — это тоже вполне достаточно чтобы быть в этой базюле.
А шо такое? ) Шо, уже нельзя поторговаться?
Утекает, да, не спорю. Но суть в размерах.
Ну это как посмотреть ).
С другой стороны то что конкретно Вы попадете в поле зрения злоумышленника среди 60М менее вероятно чем среди 55К.
Я думаю, что злоумышленник будет искать по такой базе запросом с фильтрацией по уровню дохода или другой информации, которая об уровне дохода говорит. При таком сценарии всё зависит не от размера базы.
Не будет — это малоинформативно. Ну то есть я конечно в башку ко всем злоумышленникам не залезу — но ИМХО это напрасная трата времени.
Смотрите — владельцы заводов, газет и пароходов не получают зарплату на карточку Сбербанка.
Это в основном про обычных людей. Далее — вот есть какой-то сеньор с доходом 200+. Вроде бы много. Правда у него жена в декрете, ипотека и автокредит — взять с него все равно нечего. Сколько таких в Москве?
Если хочешь облутать квартиру — проще сходить в дорогой район, дать денег консьержу и получить актуальную сводку ваще по всем жильцам включая график отпусков и присутствия дома.
Угнать машину — сходить в автосалон, дать денег продавцу и заодно узнать с какой противоугонкой куплено авто.
Грепать карточную базу как-то…
Все эти карточные базы — для парней которые сидят по зонам (да, да — весь прикол в том что они уже сидят обычно :) ) и по телефону людей разводят на пин-коды. Они будут звонить по списку и рассказывать людям про то какие транзакции и куда проходили, а потом просить сказать код из СМС.

Я к тому что такие утечки это конечно ппц как показательно, особенно для верующих в безопасный банкинг. Но глобально вот в Вашей жизни ничего они не поменяют. Разве что может паранои добавят — и это хорошо.
Не уверен, что показательно для юриков, но мне мою карту со всеми данными в открытом виде достали из ящика одного из столов офиса, предварительно покопавшись в нескольких. То есть еще на этапе хранения информация была скомпрометирована. В техподдержке заявили, что все хорошо, это нормально. Выводы об отношении к персональным данным в Альфе я сделал.
Банк Москвы мне выдавал карты в незапечатанных конвертах, я им писал и жаловался, мне пытались доказать, что это нормально…
у меня были карточки от сбер, втб, росбанк, транскредитбанк — все они выдавались без конверта

более того, я даже бывал в эмбоссерной и карты там хранятся просто стопками и глаз которые могут всякое увидеть довольно много мимо них проходит

Вас же не смущает, что когда (до пришествия массовых paywave/paypass и поветрием с вынесением терминала на откуп покупателю) вы даете карту кассиру, он обязан посмотреть на неё с обоих сторон и удостоверится что она не поддельная… а там же и номер и cvv…
Вообще всегда смущало и старался просить у кассира терминал, чтоб самому оплатить…
Тиньков даёт в конверте. Да и раньше их выдавали приклеенными, чтоб cvv код не было видно.
CVV у меня заклеен синей профессиональной изолентой. Сейчас изолента под цвет любой карты есть. Рекомендую.
НЛО прилетело и опубликовало эту надпись здесь
Про Альфа-Банк: приходил как-то за выпиской в отделение, мне предлагают ее сделать прямо у входа, авторизовавшишь на непонятном компьютере. Сказали «Вы что, это рабочий компьютер, тут кто попало не ходит». Когда я отказался придумывать пароль для входа и вводить там, у меня спросили «Может, вы ещё верите в то, что ФСБ прослушивает телефоны?», а после положительного ответа покрутили у виска и сказали, что я могу получить справку у операциониста, но там очередь. Прошёл, посмотрел на 10 свободных специалистов, получил сразу.
Кстати, не рекламы ради, а какой банк лучше в плане техническом, чем Сбер?

Никакой. Причем я бы сказал даже в мировом масштабе.
Подобные утечки у Сбера просто подтверждают тот факт, что в принципе это все не безопасно как система.
Никакой. Причем я бы сказал даже в мировом масштабе.
Ну это вряд ли правда. То, что система в принципе уязвима не значит что шанс на утечку у разных банков одинаковый. Я понятия не имею как оценивать банки по этому критерию — разве что по количеству утечек на то тысяч пользователей, но очевидно что защита в разных банках разного уровня. Ну и я сомневаюсь что сбер — самый технологически продвинутый банк в мире. Даже если брать только крупные. Хотя это конечно возможно.
Ну и я сомневаюсь что сбер — самый технологически продвинутый банк в мире.

Не сомневайтесь.
Финтех в РФ в принципе самый продвинутый в мире. То есть сравнение по сути не между Сбером и там Дойче банком, а между Сбером и Альфой например. У многих крупных американских и европейских банков в принципе нет никаких там интернет-банков и прочего. Только личное присутствие либо управляющий.
Но у Сбера есть отличие — пока все вокруг пилят свистоперделки к приложенькам — он двигается к тому чтобы из банка переквалифицироваться в глобального IT-провайдера по типу Амазона. Во вполне близком будущем будут у нас и Сбербокс и Сберклауд и Сбермаркет и Сбер*** подставить нужное. В принципе сейчас многие туда устремились — но Сбер делает это давно и целенаправленно.
А то что он сам все прикручивает крайне медленно — дык блин это крупнейший банк Европы, состоящий из 19 автономных организаций.
А причина утечек типа таких — это тупо человеческий фактор.
Но у Сбера есть отличие — пока все вокруг пилят свистоперделки к приложенькам — он двигается к тому чтобы из банка переквалифицироваться в глобального IT-провайдера по типу Амазона. Во вполне близком будущем будут у нас и Сбербокс и Сберклауд и Сбермаркет и Сбер*** подставить нужное.

Не будет. Зная как Сбер умеет фэйлить своё же громко анонсированное.
А Гугл не умеет фейлить своё же громко анонсированное?
Гугл обычно сначала выкатывает, а потом, когда народ уже привыкнет — закрывает. Закрытие Waves и G+ меня очень сильно расстроили, а вот Hangouts который нафиг не нужен — всё еще каким-то чудом живет.

А Сбер обычно — «щя мы тут в следующем году шапками всех закидаем». Проходит половина обещанного года, на очередной конференции у спикеров Сбера спрашивают — «ну, чо там? когда уже?», на что обычный ответ «нууууу, ща, шлифанём малёха, и все будет.»

Проходит еще пара-тройка лет, менеджмент смотрит на угробленный бюджет, на онгоинг без результатов, которые можно если не монетизировать, то хотя бы использовать во внутреннем технологическом цикле, седеет, судорожно опустошает полбутылки элитного сингл-молта, и принимает волевое решение зафиксировать убытки. Хорошо, что про обещанное мало кто уже помнит, и лицом в грязь публично падать не приходится.
Заканчивается всё реминесценциями. «А помните, Сбер обещал воооот такуой прорыв? — Да, было дело. И чо, как? — Не взлетело».

Сбербанк. Fail fast. Так и живем.
Замечательно. Duo уже закопали чтоб два раза не вставать?
НЛО прилетело и опубликовало эту надпись здесь
Когда он был GTalk, это имело смысл.
НЛО прилетело и опубликовало эту надпись здесь

Вопрос в том, какой у них интернет-банк.


Европейскими и американскими не пользуюсь, а вот японскими довелось.
У одного из них — логин поставить нельзя, только цифры с пришедшей бумажной карточки, после этого ответить на три секретных вопроса, и ввести пароль. При этом он ещё и на праздники порой закрывается. При попытке оплатить онлайн — выдал мессадж, что надо увеличить лимит онлайн-платежа в настройках, а в настройках выдал мессадж, что увеличить его можно только лично в отделении.
У другого хотя бы логин поставить можно, но посмотреть расход по кредитке в реальном времени — шиш, жди минимум 10 дней до обновления. Видимо ручками на перфокарты перетыкивают транзакции, а потом назад перебивают в базу.
Про то, как выглядит эпл пэй, уже и думать забыл даже. Иногда случайно открываешь интерфейс на телефоне и вспоминаешь "о, даже такое было!"

Так японцы известны своей бюрократией. Казалось бы, страна на острие технологий, а автоматизации ноль. Не лучший пример
Можно пример пары крупных американских банков без интернет-банкинга?
(Крупных по количеству клиентов, конечно же)
НЛО прилетело и опубликовало эту надпись здесь
Повторюсь — Вы немного недооцениваете его размеры и транзакционный оборот.
То что он в принципе делает в своем IT мало кто поднимет. Плюс это же не один банк — а 19. 19 банков под одним лэйблом. С сопутствующими организационными проблемами.
Тут РосЕвробанк слился с Совкомбанком почти год назад и до сих по нихрена не работает толком. А здесь 19 банков.
Но не спорю — внешне это не так впечатляет. Для пользователя Тиньков смотрится намного круче. Но это слон и моська. Моська может быстро бежать вперед, а слон медленно топает.
А ничего что в самом простом настольном процессоре сейчас 8 ядер и 16 потоков
16 гб оперативки
и пару а то и 10 терабайт на ССД
Может немножко преувеличил — но пора бы уже эти мощности пустить в дело а не ссылаться на размеры и сложности.
Ну я так думаю ведь за обслуживание так называемое деньги то просят…
А ничего что у если у Сбера пропадет небольшой кусочек транзакционной базы за день в стране случится экономический коллапс?
Ну тут я что могу сказать я за страну думать не возьмусь это видимо Ваш уровень Вы кстати не тои Смоленский который каким то банком владел?
И да это характеризует страну где у якобы коммерческого банка что то случилось а у страны коллапс
Вот это и пугает, в банке у которого кто-то вынес базу.
POS-терминалы Сбербанка, всегда то ли начиная с начала новых суток (0:00), то ли за полчаса до него, 10-20 минут не принимали карты, типа «технический перерыв»

На самом деле это не проблема Сбера как такового. закрытие суточной смены даже в обычной кассе тоже вызывает 'технический перерыв на 15 минут' в любом магазине
НЛО прилетело и опубликовало эту надпись здесь
Никогда на такое не натыкался, лет восемь уж точно (до этого тупо оффлайн картами не пользовался).
ну я частенько натыкался на 'пересменку' на разных заправках, которая длилась 15 минут (когда вообще не заправляют), судя по всему её обычно сочетают с закрытием смены эквайринга, а в вашем случае они разнесены во времени
Я немного не о том. Например у Сбера неоднократные утечки за пару лет, тогда как про Райфайзен например я ничего не слышал, хотя банк крупный и если бы что-то было, то в Сети новости были.
То есть Сбер настолько продвинутый банк, что его продвинутость в очередной раз не помогла найти ему у меня карты? Пока я карту не достал и не продиктовал ее номер, они упорно ничего найти не могли. Заканчивался 2019, а Сбербанк, кхм, оставался Сбербанком. И да, мне уже дважды проводили процедуру слияния профилей, но, видимо, не помогает.
И все это в пределах одного региона!
И все это в пределах одного региона!

какого?
p.s. например мало кто знает что Москва и Моск.область — разные Сбербанки
Хорошо, повысим уровень сложности, это всё происходило в пределах одного города.
Интересно, что им мешало за столько лет слиться уже в один банк?
Раньше каждое отделение было отдельным банком. Так что работа по консолидации проведена не малая. Слить 19 крупных банков — не самое простое мероприятие. Возможно на этом остановились по каким то еще причинам. Если очень интересно, попробуйте спросить у поддежки или написать напрямую Грефу (если это возможно).
НЛО прилетело и опубликовало эту надпись здесь
В распределенности есть свои плюсы — проще оценивать всяческие показатели, меньше затраты на управление в центральном отделении. Но есть и минусы вроде проблем синхронизации. На самом деле там конечно все намного сложнее, это так, абстрактные примеры, но суть в том что возможно выгоды такой децентрализации перевешивают возмущение пользователей вроде вас. Хотя конечно может быть что это просто инерционность, бюрократия и просто непрофессионализм людей на ключевых (для этого процесса) должностях.
Аргументы понятные…
Но, с другой стороны — разве есть в РФ ещё хоть один банк, который на самом деле не один, а состоит из нескольких отдельных?

Альфа

Кстати, сторонний воспрос. Бандитов мы уже обсудили. А как насчет государства? Налоговая, к примеру, теперь сможет невозбранно прошерстить потенциальных налогоплательщиков, воспользовавшись тем, что данные уже утекли, и не задавая банку 18 млн. вопросов по каждому отдельно?
мне кажется у налоговой и так отдельные доступ в их базу есть
Прямо сквозной? Захотел и посмотрел, без бюрократии?
А им нафиг не надо шерстить всех подряд. А по конкретному человеку для них прозрачен любой банк в РФ. А в скорости будет и любой банк в 80 странах, когда заработает система автоматического обмена банковской и налоговой информацией.
О любом движении денег суммой свыше 600к рублей, будь то открытие счета или перевод — налоговая узнает автоматически. Причем они даже умеют понимать когда Вы бьете такую транзакцию на несколько меньшего размера.
думаю прямой, и не ограничен readonly
не прямой, по запросу — но они же никуда не торопятся
когда Вам финмониторинг за подозрительную операцию заблокирует все счета и карты — Вы ж сами придете разбираться )
и запросы сами будете в банк носить из налоговой если приспичит )
схема такая, когда им нужно, то все и сразу быстро и напрямую, когда тебе нужно то иди за бумажкой.
Ну понятно что запросы они не почтой России отправляют.
Налоговая не может сделать
select * from bank_database )
Должен быть мотивированный запрос — но это конечно не проблема и делается оперативно.
Сомневаюсь. Это явное нарушение субординации. По неофициальным законам, налоговая гораздо главнее, чем какие-то там банки, даже чем сбербанк. Это ниже их, налоговой, достоинства — писать какие-то мотивировки, которые ещё и сбербанк недостаточно мотивированными (теоретически) может назвать.
При их масштабах таких понятий «выше-ниже достоинства» нет.
Это просто две машины или если угодно — два сервиса, которые обмениваются информацией по некоему регламентированному протоколу.
При их масштабах главное — власть, причём не ограничиваемая какими-то общими инструкциями, а только желаниями вышестоящего начальства.
Власть у нас в стране сами знаете у кого, а остальным дают только минимум возможностей влияния, который нужен им для осуществления функций. А за превышение полномочий антагонисты им быстро полную панамку напихают, причем не выходя за рамки закона.
Могу сказать только одно: свита делает короля.

Подробнее: ни один правитель не может править полностью единолично, ему всегда нужна группа сторонников. Это не означает, что любой правитель является «выбором народа» или обладает широкой народной поддержкой, его свита в принципе может быть и абсолютным меньшинством населения, интересы которого противоречат интересам большинства («антинародное правительство»), и высоких моральных качеств у этих людей тоже никто не гарантирует («власть сил зла»), но эта группа поддержки должна быть.

И правитель вынужден хоть как-то делиться с этой свитой своей властью (пусть даже и имея возможность отменить любые их решения), иначе группе поддержки незачем правителя поддерживать.
Дык так-то оно так, но зачем начальнику налоговой службы закусываться с таким же вхожим к правителю человеком, залезать на его территорию (зону власти), только из-за амбиций?
Ведь можно спокойно стричь купоны на своей территории, с бизнеса и тп, в рамках своих полномочий. Пару раз в год помог оптимизировать налоговое бремя в паре финансовых монстров и решил свои финансовые проблемы на три поколения вперед.
А начнешь грызню — и сам полетишь с должности и уголовное дело получишь (если проиграешь).
Т.е. в рамках полномочий власти вполне хватает на все. Если потребуется больше — пишется обоснование, которое рассматривают вышестоящие, ЦБ и минфин например и либо одобряют, либо нет, места для личных дрязг/амбиций в общем-то особо нет.
таким же вхожим к правителю человеком
Вот я как раз и имею в виду, что начальник налоговой, вероятно, куда более «вхож к правителю», чем начальник банка, на вид обладает большей властью.
в ней отсутствуют коды CVV

Для CVV есть всего тысяча возможностей.

каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.

(Как правило), 3dsecure проверяется (если проверяется вообще, зависит от продавца, а не от банка, об этом писали выше) только после правильного ввода CVV. А sim-карту несложно перевыпустить за взятку, об этом был пост несколько дней назад: habr.com/ru/post/468909
Таким образом, работоспособна следюущая схема атаки:
1. покупаем строчки по одной, рандомно вводим, скажем, три разных CVV на трёх сайтах (3 — грубо, но много вводить опасно, могут заметить подозрительную активность на конкретной карте). Однажды нам повезёт, математическое ожидание потраченных к этому времени денег 5*1000/3=1666 руб.
2. Идём в офис мобильного оператора, даём взятку, получаем sim.
3. Покупаем что угодно в каких угодно магазинах или развиваем схему дальше, насколько фантазии хватит.
А sim-карту несложно перевыпустить за взятку

Скорее всего после этого придется звонить в банк, сообщать кодовое слово, паспортные данные и номера карт. Они вяжутся не к номеру телефона, а к какому-то идентификатору сим карты.
1. покупаем строчки по одной, рандомно вводим, скажем, три разных CVV на трёх сайтах (3 — грубо, но много вводить опасно, могут заметить подозрительную активность на конкретной карте).

Ну Вы же догадались что так можно. Почему думаете что инфобез который пишет роботов не догадался?
Скорее всего после этого придется звонить в банк

В том же посте писали, что это не всегда так + упоминали другие уязвимости sms.

Почему думаете что инфобез который пишет роботов не догадался?

Допустим, догадался. Что он дальше делать будет?
Ну… возможно — я тут говорю не как эксперт, а как человек который перевыпускал симки. У меня после этого всегда отваливается интернет-банк.
Ну Вы же догадались что так можно. Почему думаете что инфобез который пишет роботов не догадался?
Очень хорошо помню, как инфобез кучи банков успешно сливал (и сливает в части банков все еще) данные клиентов через системы IVR. Как минимум в одном банке люди просто офигели от того, что при звонке номер телефона можно подменять. Они полгода пытались убедить меня, что это невозможно, а я показывал видео того, как это происходит. И это довольно простая проблема, не требующая особых знаний и ума. Не думаю, что безопасники этих банков так протупили в одном, но очень хорошо проработали другие проблемы.
Ну дыры латаются по мере обнаружения.
CVV и пинкоды стопудово пытались брутфорсить и не раз.
Одно дело брутфорсить CVV к одной карте, а другое — к сотням разных, на разных сайтах.
Скорее всего после этого придется звонить в банк, сообщать кодовое слово, паспортные данные и номера карт. Они вяжутся не к номеру телефона, а к какому-то идентификатору сим карты.

А как это работает, через моб. приложение? Но если телефон кнопочный мобильный банк все равно ведь должен работать.
Понятия не имею.
Более того — я не пользуюсь мобильным банком.
Вот эту ветку почитайте habr.com/en/post/468909/#comment_20673895
А что за кодовое слово, про которое все пишут? Никакого слова нигде не указывал и не говорил, кроме получения симки от мтс 10 лет назад. Да и его уже не спрашивают.
А что за кодовое слово, про которое все пишут?
Ну так пароль для голосового общения по телефону же. В Росбанке спрашивают.
Заголовок спойлера
Мне стыдно за моё кодовое слово каждый раз, когда приходится называть его.
Странно, вроде все пишут, что и в сбере есть, у меня нету, я вопасносте.
Интересно какой процент клиентов делает такие слова.
А вообще habr.com/post/460163/#comment_20396237
Уже на первом пункте владелец карты (если у него включено всякое 6д сэкурити и смс информирование) получает смс вида «SHIZA-1505: Pokupka Sexshop musoxransk na 666 RUB OTMENENA»
Сбер действительно присылает такие sms при неверном вводе CVV? Я со сбером дел не имел, мой банк такого не присылает.
Мне такое приходило, когда я в состоянии близкому к алкогольной коме, пытался купить билеты на концерт. Оно так ругалось при условии ( is_valid(CARD_NUM) && invalid_any_of(NAME, CVC, DATE) )
Ну ok, тогда имеем race condition «я это прочитаю и заблокирую карту быстрее, чем злоумышленники провернут эту схему».
Такую гонку обычный человек проиграет в 999 случаев из 1000 я подозреваю. И это еще очень оптимистичная оценка. А если взять конкретно текущий случай когда известно в каком часовом поясе человек зарегистрирован, то шансы уменьшаются еще на порядок-два.
Ну так и я про то же.
Я и не спорю в общем-то, просто раскрываю мысль. Я вас именно так и понял.
У меня на СМС стоит довольно громкий звук, чтобы было слышно, когда что-то где-то рухнет. И при учёте того, что вам надо будет перебрать около 500 вариантов — вы меня даже из запоя разбудить сможете. Плюс на такое уже точно сработает антифрод. Ну не, со мной такое точно не прокатит, если мою SIM-ку только не уведут через тупую овцу в ОПСОСной будке где-то под Мусохранском. Очень фиговая гонка получается.
Так мой сценарий не предполагает, что вас будут пробовать 500 раз. Попробуют 3 раза, если 3 раза отлуп, платим ещё 5 рублей и пробуем следующую карту.
Оно так ругалось при условии ( is_valid(CARD_NUM) && invalid_any_of(NAME, CVC, DATE) )


name маловероятно что было в этом условии, это поле давно перестало быть обязательным
Попробуйте оплатить именной картой сбера, введя в NAME мусор или оставив пустым — получите отлуп.
NAME же вроде как не проверяется, часто пишу рандомные буквы и ни разу платёж не заворачивали по данной причине
А возврат нормально работатет с таким?
Возврат не проверял, но у меня сложилось впечатление, что NAME и billing address в России не используются

И вне России если что-то из этого и используется для идентификации то только индекс. Адрес и имя используются только чтобы различить того кто оплачивает и кто получает товар/услугу, когда-то было очень важно для возврата НДС, сейчас уже нет. Вообще, мне кажется что эти поля просто дублируют функционал бумажного чека

Две мысли-шутки по сабжу:
1) Вопрос защиты персональных данных забавный: хранят все кому не лень, работодатели, банки, больницы, провайдеры, операторы связи, компании жкх, куча госструктур и т.д… Кто-то 1 раз не защитил, и уже как бы смысла нет защищать скомпрометированные данные остальным, ведь массовых смен ФИО, адресов и т.п. организовать нереально. Зачем охранять то, что уже украдено?

2) Общепринято считать, что любые базы и так гуляют на черном рынке, и жулики имеют к ним доступ, потому в рамках концепции «борьба путем легализации», предлагаю пресечь незаконный оборот, или там уравнять в возможностях жуликов и обычных людей, а именно сделать доступными базы для законопослушных граждан. )
По п.2: утекшими данными пользуются не только жулики, но и силовики в обход своих обычных долгих и забюрократизированных процедур, даже продают доступ к этой системе третьим лицам. Интересующиеся могут нагуглить статью «Максимальное количество компромата на всех». Так что только законопослушные граждане и не пользуются этими данными, а все остальные — во всю.
«Спрут», «Солярис» и МЦЭБ. Вот ими и пользуются, да.
Отчасти еще Кроинформ.
А насчет того что выплыла база в продажу, скорее всего косяк заказчика был. Не сошлись в итоге в деньгах в оплату инсайдеру.
Одно могу точно сказать — в паблики она не попадет да и до «преступных элементов» вряд ли дойдет (ну нет у них столько бабла разово ;))
Не первый, да и не последний раз. Были и более масштабные утечки, но кто слышал-то о них?
В МФО тоже не дураки сидят, им эти кредиты еще и вернуть надо, а не просто обменять на рандомные ПД.
Сканов паспортов полон интернет, почему тысячи мошенников еще не озолотились в МФО? :)
Это мой личный опыт. habr.com/ru/post/465209/#comment_20564061 pikabu.ru/story/internetmikrozaymyi_ili_kak_ya_popal_na_200_kuskov_5489190
pikabu.ru/story/internet_mikrozaymyi_i_200_kuskov_chast_2ya_5505962
На меня взяли несколько кредитов в различных городах, где я никогда не был. Через интернет. Иркутск, Москва, Новосибирск. Я живу в Перми. Потом были коллекторы, ФССП, испорченая кредитная история, милиция прокуратура.

Я не один такой. Это массовая проблема. Думаю тысячи мошенников таки озолотились.

Палю схему.
1. Открываешь МФО.
2. Вешаешь кучу кредитов на незнакомых людей, которых в жизни не видел, никому 3. ничего не выдавая. (кстати хороший вариант отмыва денег от налогов)
3. Через ФССП списываешь деньги со счетов жертв.
4. Продаёшь долги коллекторам за 10% стоимости. (помним, что вложил примерно 0)
5…
6 Profit.
Подозреваю что в реальной жизни для открытия МФО нужно пройти через бюрократический ад, который совсем не бесплатен. И что таких мошенников налоговая ловит на раз — они кровно заинтересованы в этом и схема реально примитивная. Так что для открытия МФО по вашей схеме начальные вложения будут совсем не 0 я подозреваю. Там наверняка придется заносить в n-е количество кабинетов и возможно не по разу.
Ну заносить/выносить это всё дело десятое. По факту, работает. Наберите в яндексе займ онлайн.
И как я по выдаче займа увижу что схема работает? То, что там будут те, кто займ предлагает вообще никак не говорит о том по какой схеме они зарабатывают.
Проверьте кредитную историю. Надеюсь у вас всё хорошо.
Судя по составу столбцов, это утекло не из WAY4 а сформировано запросом из системы «IMPERVA SecureSphere».
Можно погуглить, что это, и кто ей пользуется.
Если кто купит данные моей карты, положите немного денег.)
Ты фотку-то карты выложи. Иначе, можем не тому положить. Лучше с 6 сторон, чтобы наверняка.
Может, нужно сделать компы без доступа в инет и убрать usb порты у тех сотрудников, которые работают с базой? Это как минимум, как максимум сделать систему безопасности на подобие системы AЭС. Максимальный ущерб от такого банка может быть сравним или больше с утечкой радиации АЭС.
Ну хорошо. Выключаем все роутеры в конторе. Пломбируем все физические порты. Изымаем на входе мобилки с камерой. А что делать с теми сотрудниками, которые могут увидеть содержимое базы, запомнить данные и потом по-памяти записать дамп базы?
Много вы знаете людей могущих запоминать мегабайтные дампы? )
Я помню про него!
Но всё-таки всего 1300 карт.
Для размера обсуждаемой утечки нужно больше 46 тысяч таких кассиров )

Можно выводить дамп на экран, скроллить и снимать камерой с последующим распознаванием видео потока. Можно скроллить не текстовый результат, а бинарник какой-нибудь (zip архив этого текста, например — так раз в 100 быстрее будет). Конечно, по-любому надо иметь договорённость с местным секьюрити, но куда без этого.


А вообще, глупости все это. Гораздо выгоднее и безопаснее пробивать отдельных лиц или операции. Если не наглеть, то надо совсем чуть чуть фантазии чтобы искомые данные оказались в "тестовой" выборке. А результаты такого исследования и запомнить можно.

Дык оно так и сделано. Тут или аутсорсер какой-то постарался или бэкап тиснули.
не ужели так сложно было создать систему чтобы при любой выгрузке базы — в эту базу попадала бы фейковая запись с несуществующей кредитной картой номер которой идентифицировал бы компьютер с которого произошла выгрузка?
И ещё фото сливающего! )
Если сливает сотрудник, который эту систему реализовывал — не поможет, однако.
Кхе-кхе, сильно вам поможет информация вида:
oracle@super-dwh-server?
Идентификатор локального компа или юзера имелся в виду, я думаю.
Я сбербанком пользуюсь вынужденно, так как только на их карту перечисляются социальные выплаты. Недавно истек срок прежней карты, пошел получать новую. Узнал много нового.
Есть только два варианта активации новой карты:
  1. Отдать операционисту мобильный телефон, он сам там все настроит и активирует карту.
  2. Операционист заходит в сбербанк-онлайн со своего компа (в эккаунт клиента) и там активирует карту. Для этого, клиент должен сообщить ему секретный код из СМС.

Я подумал, что это самодеятельность или безграмотность данной операционистки и попросил позвать начальника. Пришла начальница отделения, все подтвердила.

ПИН-код от старой карты я не помнил, и полагал, что с новой картой мне дадут новый пин-конверт, или дадут возможность установить новый код.
Фиг! Оказалось, что новая карта имеет прежний пин-код. На вопрос, как я могу узнать/поменять потерянный пин-код, операционистка и ее начальница, на полном серьезе, предложили попробовать подобрать его в банкомате, делая не более трех попыток в сутки. Других способов восстановить доступ к карте, по их словам, нет. Перевыпуск карты не поможет, так как пин-код останется прежним.

Неудивительно, что у них стырили базу.

Сбербанком пользуются вынужденно очень многие.

Также недавно истек срок карты, ходил за новой. Причем второй раз перевыпускали. Вопрос активации не возник. Зашел в отделение, подождал, получил саму карту (пин-кода также не дали). На активации никто не настаивал.
Через несколько часов пришла смс что карта активирована.

Еще случай. Жена в другом(!) городе забыла пин-код ( с этими всякими пэйпассами немудрено). Далее с паспортом в ближайшее отделение, смена пин-кода. Я, честно, не знал, что такое возможно, да еще и в другом регионе.

Вместо вывода. У сбера или ПО на станциях отличается, или уровень компетентности сотрудников. Байку «где карту брали туда и идите с ней» сам несколько раз слышал.
Байку «где карту брали туда и идите с ней»
Байка, не байка — а лет двадцать назад все операции со счётом можно было провести только в том отделении, где он был открыт.

причём это пофиксили совершенно недавно)

Что-то странное. Активацию карты можно сделать и самому — засунуть в УС и провести любую операцию со вводом пина, хоть баланс посмотреть. Пин меняется в любом отделении при личной явке клиента с паспортом.

Видимо, политика Сбера по удешевлению сотрудников дает свои результаты. Тушканчики орехи собирают так себе, зато совы с премией…
Альфа не умеет активировать карту в банкомате, т.к. надо сначала установить пинкод, а сделать это можно только на их айфончике, который стоит у входа…
Мне кажется вам попалось отделение с ленивыми либо совершенно некомпетентными сотрудниками. Я не пользуюсь сбербанком больше двух лет уже, но когда пользовался я и карту менял и пинкод восстанавливал и все это делалось совершенно адекватным образом.
Мне кажется вам попалось отделение с ленивыми либо совершенно некомпетентными сотрудниками

Возможно, мне действительно попалось особенное отделение. Но ходить по разным отделениям, изучать их порядки и выбирать наилучшее отделение, мне лень.
Я бываю в сбербанке раз в три года — продлеваю свою единственную карточку. Приблизительно, в одном и том же отделении (оно на Дмитровской, но адреса меняются). Не помню, чтобы в прошлые разы было такое безобразие.
Неудивительно, что у них стырили базу.
Кто-то очень упорный пытался найти свой забытый пинкод. :)
НЛО прилетело и опубликовало эту надпись здесь
Написал в Сбер по поводу перевыпуска карты, мне ответили: «По вашей карте утечки не было. В замене карты нет необходимости»
НЛО прилетело и опубликовало эту надпись здесь
Да-да-да…
А как массово везде форсятся эти 200 карт (это при том что в паблик-примере 331 карта была).
Лишь бы отмазаться от этих 60кк записей.

ЗЫ: по последним неслухам сделку закрыли за 92 битка

Другие новости

Истории