Сбербанк заявил, что нашел виновного в утечке данных клиентов

    Сбербанк совместно с правоохранительными органами завершил внутреннее расследование по выявлению канала утечки данных учетных записей по кредитным картам клиентов. Расследование было начато 2 октября, а закончено 4 октября 2019 года. Банк утверждает, что виновный — сотрудник кредитной организации, который руководил сектором в одном из бизнес-подразделений банка и имел доступ к базам данных.

    Обновление [на 6.10.19]: добавлена информация о ходе расследования в Сбербанке.

    Службой безопасности Сбербанка были выполнены розыскные мероприятия после публикаций о проблеме в СМИ от 3 октября 2019, на Хабре об этом было тут: "Персональные данные 60 млн клиентов Сбербанка утекли в сеть".

    Информация о крупной утечке персональных данных клиентов банка была размещена через интернет-ресурс, зарегистрированный в доменной зоне .one на специализированном форуме, заблокированном Роскомнадзором. По словам продавца в базе данных содержалась информация о нескольких десятках млн кредитных карт. Потенциальным покупателям продавец предлагал пробный фрагмент выборки из базы в составе двухсот строк. По информации специалистов компании DeviceLock, которые первыми обнаружили такую масштабную утечку, данный фрагмент содержал данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.

    По информации в соцсети FB технического директора компании DeviceLock Ашота Оганесяна, в таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года.


    Таблица с столбцами: ФИО, номер паспорта, номер карты, ОСБ, филиал, лимит кредита, адрес работы, дата опердня, место работы, срок действия карты, номер счета карты, дата рождения держателя, процентная ставка.

    Сбербанк начал проводить внутреннее расследование событий. При этом банк заявил, что внешний взлом был невозможен, поскольку база изолирована от внешней сети.

    В результате внутреннего расследования служба безопасности банка совместно с правоохранительными органами выявила сотрудника учреждения 1991 года рождения (то есть сейчас ему 27-28 лет), руководителя сектора в одном из бизнес-подразделений банка, который имел служебный доступ к базам данных. Именно этот сотрудник попытался осуществить хищение клиентской информации по кредитным картам клиентов в корыстных целях. Были собраны и задокументированы необходимые улики для доказательства совершенного преступления.

    4 октября 2019 года сотрудник дал признательные показания, сейчас с ним работает следствие. Сбербанк утверждает, что угрозы утечки данных нет.

    Как проходило расследование в Сбербанке


    Глава Сбербанка Герман Греф рассказал в эфире телеканала «Россия», как служба безопасности нашла виновника утечки по кредитным картам 200 клиентов. Служба безопасности банка делится на две части: внутреннюю службу и дочернее предприятие Bi.Zone, которое занимается функцией разведки в Интернете.

    После обнаружения объявления о продаже данных сотрудник службы безопасности связался с подозреваемым, причем последний даже не знал, с кем именно он говорит. По данным из их разговора источник утечки определили как внутренний и начали проверять сотрудников банка. Через некоторое время, по ходу проверки, круг подозреваемых сузили сначала с 35 человек до четырех, затем до двух. Виновному в утечке данных клиентов сотруднику Сбербанка грозит уголовная ответственность. Сотрудник объяснил свои действия личными причинами.



    Таким образом:

    • В интернет действительно попали технические данные по учетным записям кредитных карт. Данные по зарплатным или социальным картам не были затронуты.
    • Количество карт отличается в разных источниках от 200 до более. В продаваемой базе есть данные: ФИО, номер паспорта, номер карты, ОСБ, филиал, лимит кредита, дата опердня, место и адрес работы, срок действия карты, номер счета карты, дата рождения держателя и его адрес, процентная ставка.
    • На данный момент банком подтверждена утечка записей по кредитным картам 200 клиентов. Пострадавших клиентов уведомили об утечке, их карты были перевыпущены. Банк не зафиксировал ни одной мошеннической операции по этим картам.
    • «Мы приносим свои извинения за эту ситуацию и обязательно будем держать вас в курсе нашего расследования», — заявили в банке.
    • Информацию об утечке персональных данных 60 млн клиентов банк отрицает, не подтверждает и считает ее «некорректной из-за многочисленных несовпадений». Так как, например, банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.
    • Сбербанк работал с правоохранительными органами, Центральным банком и Роскомнадзор​​​ом для скорейшего раскрытия преступления. Также была проведена проверка всех систем банка без исключения. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.
    • В расследовании участвовали специалисты дочернего предприятия BI.Zone, которое занимается функцией разведки в интернете и белым хакингом. Сбербанк основал BI.Zone в 2016 году, он же является и крупнейшим заказчиком компании.
    • В качестве основной версии банком рассматривались преступные действия одного из сотрудников, обладавшего доступом к базе данных. В банке заявили, что внешний взлом был невозможен, поскольку база изолирована от внешней сети. Для предотвращения утечек данных Сбербанк использует DLP-систему компании InfoWatch.
    • Виновный в утечке был обнаружен, хотя пытался скрыть свои действия в системе. Были собраны и задокументированы необходимые улики для доказательства совершенного преступления. Сотрудник дал признательные показания.
    • В банке сделали серьезные выводы и кардинально усиливают контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.
    • Сбербанк после утечки готовит комплексное предложение по совершенствованию собственной системы безопасности и профильного регулирования для отрасли в целом.


    Вот сколько карт сейчас предлагают для покупки:



    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 263

      +7
      Информацию об утечке персональных данных 60 млн клиентов банк отрицает, не подтверждает и считает ее «некорректной из-за многочисленных несовпадений». Так как, например, банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.

      Какое отношение имеют 40 млн кредитных карт к персональным данным 60 млн клиентов?

        +11
        На самом деле в Коммерсанте написали об утечке 60 млн кредитных карт, но некоторые журналисты решили, что «60 млн карт == 60 млн клиентов».
          0

          Вообще как-то очень сихронно обе новости появились, не находите? Из заголовка я думал, что речь именно про 60 млн записей. А по факту… Туфта. Такое сплошь и рядом — сотрудники опсосов торгуют данными даже почаще. Сколько уже кейсов было, причем описанных на Хабре.

            0
            Опсосы вообще официально торгуют «обезличенными» данными.
            А вот то, что сотрудники перевыпускают симки не сильно напрягаясь, заставляет напрягаться граждан, у которых один из идентификаторов личности — телефоный номер.
        +25
        Шаблонный ответ в духе «приносим извинения, сотрудник, который сделал что-то нехорошее, уже уволен, а вообще, это все почти неправда».

        Естественно, ни слова о том, как это вообще стало возможным, почему «сотрудник кредитной организации» имеет доступ к БД, какие технические и административные меры приняты для предотвращения повторения этого.
          +16

          Да-да, за два дня успели пистона вставить, выбрать добровольца, которого записали виноватым, и на которого все списали.


          Забыли только рассказать, как сотрудник (даже начальник) сектора кредитной организации имел доступ к миллионам данных о клиентах.


          Что он украл всего 200, и не сделал заранее копию всех миллионов — мало верится.

            +4
            Для полной конспирологии весомых оснований также нет, но исключить, что всё в заявлении Сбера — ложь, тоже нельзя.
              0
              Доступ он мог иметь. Доступы доступами, а вот как он сумел вынести информацию, вот это интереснее.
                0

                Тут Греф ничего не сказал. Думаю, ответа особо нет, чего на этом акцентировать ему?

                  +6
                  А ниоткуда не известно, что он сумел вынести информацию (кроме тех 200 строк). Вполне возможно, что он подал объявление, когда понял, что у него есть доступ к данным, ещё до того, как начать их куда-то выносить.
                    0
                    Ещё полгода назад был звонок с номера +74955326182 (думал страховая сливает): у звонящих уже есть не только паспортные данные, но и название конторы и должность (только мамкины инвесторы не знают, кому звонят).
                    0
                    Разве это проблема? Записал на MicroSD, потом проглотил ее и вынес с территории, профит!
                      +1
                      Обычно, у таких людей заблокирован доступ к накопителям. Т.е. порт есть, но он не работает с usb-накопителями и другими внешними накопителями.
                        0
                        Это можно обойти разными методами. А вот массовая выгрузка должна отсутствовать в любом случае.
                      0
                      Выучил наизусть. Долгие месяцы копил он эти 200-500 строк. На миллионы не успел, поймали раньше.
                        0
                        Все гораздо проще, 200-500 записей это были забиты вручную во время работы. Сбер иногда заставляет своих продажников лепить базу из платежеспособных клиентов в отдельной эксельке. В каждом филиале есть экономически активные клиенты как их называли, а в реале просто клиенты у которых была N-сумма на счетах. Затем эти эксельки летели в отдел продаж для начальника, в виде отчета, кто кому и сколько впарил. Количество рук через которые проходили эти базы невероятное. Те подразделения которые не имели доступа к непосредственно к счетам клиентов, получали файлы с данными клиентов. В этом весь сбер.

                        И кстати, у каждого Тербанка база своя, отсюда и мем «где открывали туда и идите». По идее и речи не может быть о доступе к информации всех клиентов с одного АРМ.
                        Но возможно, что то могло и поменяться уже.
                      0
                      Опираясь на стандарты ЦБ и того же PCI DSS должно быть разделение знания ключа к боевой БД. Мне видится, что там присутствует компрометация более серьезная, чем «Парень подумал и предал банк».
                      Ну и странно, что нет мониторинга как в ГИСах: заранее подготовленные фейковых данные, при выгрузке которых триггирится сием.
                        0
                        Греф высоко, его не переспросишь, а остальным, после начальства, как-то некомильфо говорить что-то отличное от его версии. Замкнутый круг!
                        0
                        Хм. С другой стороны, зачем ему миллионы, если был шанс получить авансовую оплату имея только двести? ж)
                        –1
                        В тяжелых «государственных» структурах еще очень жив атавизм «Security through obscurity». Потому что «так проще» понимать топам и это соответствует их представлению о безопасности. Поэтому вы не дождетесь комментария Сбербанка, о том какие меры были приняты.
                          +1
                          От создателей «Дави его бля*ь» и «Дебилы бля*ь»!!!
                          «Мы попробовали провести рассследование, и у нас получилось! »,
                          «Мы нашли ленивую жопу которая скопировала все! данные и не пряталась»,
                          «Мы прочитали логи доступа и о чудо! оно работает! »…
                            0
                            «Мы взяли крутого спеца по инфобезопасности, но на него грейда не хватило, и он работал без компа — вот и вышло не очень. Но мы его уже уволили!»
                          +2

                          Значит, журналист соврал, который писал, что продемонстрировали его данные, или он был в списке тех 200 клиентов, или взлома не было, и этот 28 летний сотрудник попался при получении данных журналиста?

                            +25
                            Возможно имея доступ к базе на сервере, сотрудник понял, что может её продать, но не выгружал всю себе ввиду объёма, а выгрузил только тестовые 200 строк, собираясь выгрузить всю когда найдёт покупателя. Затем когда его попросили журналисты данные о себе, он вновь обратился к онлайн базе и нашёл там нужное.
                            Также вполне возможно, что выгрузить всю базу не возможно, но делок имея доступ к базе (в режиме поисках отдельных записей), наковырял 200 записей, а реального покупателя просто собирался нажухать, ведь любые запросы на проверку базы, он может пройти имея доступ к ней в режиме поиска отдельных записей.
                            Никого не защищаю и не оправдываю. Просто озвучиваю предположения.
                              +1

                              Я примерно тоже так полагаю. Посмотрим на дальнейшее развитие событий.

                                +3
                                Вот что пишет нашедший базу.
                                  +5
                                  Злые языки пишут, что этот нашедший «базу» и есть тот единственный источник новости про 60 млн утекших карт. И что занимается он DLP-системами (это которые про борьбу с утечками), а в Сбере стоит DLP его конкурентов.
                                    0
                                    Фейсбучек его посмотри, а конкуренты уже тролей запрягли, конечно. Ребятки из Коммерсанта всё делали в этом случае.
                                      +5
                                      Подтверждения того, что в базе есть 60 млн записей, на его фейсбуке не видать. Кроме строки с номером 312 на скринах. Ну ок, 312 больше двухсот, но до 60млн явно не дотягивает
                                        0
                                        В телеграмме есть база с 1999 записями клиентов. Там номер карты, номер счета, паспорт, адрес… тоже на 24 августа. Пароль к архиву sber84vret, ссылку могу в личку. Сами и проверите, больше двухсот или нет.
                                  +5
                                  У него вообще могло не быть возможности что-либо выгрузить независимо от размера, а был доступ к данным клиентов в ручном режиме поштучно (мне представляется довольно очевидным, что к какой-то информации о клиентах у сотрудников банка доступ есть в штатном режиме, и столь же очевидным, что в этой информации нет, например, CVV и пин-кодов, потому что сотруднику банка в работе они нужны быть не могут даже теоретически).

                                  И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.

                                  Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
                                    +1
                                    в этой информации нет, например, CVV и пин-кодов, потому что сотруднику банка в работе они нужны быть не могут даже теоретически
                                    Потому что PCI DSS не разрешает доступ сотрудникам к чувствительным данным во время аутентификации, а по админским причинам — вполне можно с обязательным журналированием «кто, куда и зачем», чтобы было что аудиторам показывать.
                                      +2

                                      Cvv*, pin-ы и прочие крипто-величины нигде не хранятся. Хранятся только их верификационные значение (типа pvv в виза или offset в схеме ibm3624)

                                        +1
                                        В банках может быть и нет, а вот с магазинами случаи были.
                                          +2
                                          В банках может быть и нет, а вот с магазинами случаи были.


                                          Если какой то магазин сохранил у себя CVV — он нарушил правила PCI DSS.
                                          И может запросто лишиться доступа к платежной системе — жалуйтесь.
                                            0
                                            В российских магазинах не помню, но в заграничных были случаи. О некоторых даже писали тут на Хабре.
                                              0
                                              Многие отели официально фотографируют карточку с двух сторон.
                                                +1
                                                Они могут попросить (хоть и в нарушение PCI DSS), ты имеешь право отказать. История тянется еще с тех пор, когда не было магнитных полос на картах и их прокатывали эмбоссером. Копией карты балуются старые отели и компании по аренде авто. Но многие мастодонты отельного и арендного бизнеса уже перешли на современные интерфейсы, и, когда ты расплачиваешься за услугу кредитной картой (не дебетовой), то не требуют фотокопию карты, т.к. в дальнейшем (в случае прихода штрафов по авто, либо горничные сообщат, что ты воспользовался доп. услугами типа минибара) смогут снять с карты дополнительные средства, т.к. протоколы платежных систем позволяют оплату постфактум.

                                                По этой причине я предпочитаю бронировать отели через соответствующие агрегаторы типа букинга или эйрбнб.
                                                  0
                                                  Букинг же не сам снимает, а передаёт введённые данные отелю.
                                                0
                                                А если стоит галочка «Запомнить данные карты»? На этот случай распространяется?
                                                  0
                                                  А если стоит галочка «Запомнить данные карты»? На этот случай распространяется?


                                                  Нет.
                                                  Есть рекуррентные платежи.
                                                  Но и их проводят без CVV, а CVV используется только первый раз.
                                              0
                                              А кодовые слова счетов клиентов тоже не хранятся?

                                              А то лет 8 назад случилась довольно необычная ситуация — сотруднику финслужбы крупного клиента московского СБРФ из этого банка была прислана табличка с ФИО и кодовыми словами. Получатель в рамках акции «Вы все молодцы» разослал по адресной книге этого клиента. На тот момент в организации было 3 (прописью — три) службы безопасности.
                                                +1
                                                кодовые слова хранятся
                                                  –1
                                                  Зачем? Можно же просто хранить хеш код для кодового слова.
                                                    +1
                                                    когда по телефону в колцентр диктуешь кодовое слово, хэш не очень подойдёт
                                                      0
                                                      А что мешает все же хранить хэш. Когда клиент называет слово, оператор его вбивает в поле и зажигается красная или зеленая лампочка.
                                                        +2
                                                        А что мешает все же хранить хэш. Когда клиент называет слово, оператор его вбивает в поле и зажигается красная или зеленая лампочка.


                                                        На слух вбить?
                                                        Плюс грамотность у всех разная.
                                                        Плюс кодовое слово может быть любым, которое и в природе не существует и на которое правила русского языка, даже если их и знает идеально оператор, не подходят.
                                                        Или это иностранное слово.

                                                        Хэши хороши когда информацию вбивает ручками сам знающий ключевое слово и в дальнейшем передача идет по техническому каналу.

                                                        А человеческое ухо — тот еще элемент «испорченного телефона» (в детстве не играли в такую игру? )
                                                        0
                                                        Почему? Проверяющий вводит слово в форму и получает ответ правильно или нет, а видеть правильное слово проверяющему не нужно.
                                                          +2
                                                          Ох, уважаемый. Если сотрудник не будет видеть слова, то он придумает 30 вариантов, как написать неправильно слово «холодильник». А когда он видит слово он таки может понять что произнесено именно написанное. По этой причине они его видят.
                                                            +1
                                                            Оффтоп. Давно как-то делала перевод Юнистрим в Казань. Оператор, по всей видимости, должен выбрать из выпадающего списка регион, город и т.д. Монитор от меня отвёрнут, но по пристальному взгляду оператора в экран и затянувшейся паузе, я начинаю понимать в чём дело и спрашиваю: «Вы, наверное, Казанскую область ищите». Так и оказалось. :)

                                                            Поэтому, действительно, слово «холодильник» может вызвать затруднения.
                                                              0
                                                              Вы, наверное, Казанскую область ищите

                                                              Человек старой закалки?
                                                                0
                                                                Это не оффтоп вышел, а наглядная демонстрация уровня тех кто работает в Сбере и хорошее дополнение к моим словам о том, что они смогут не видя слово набрать его в 30 неправильных вариантах. А если при этом еще и кодовое слово «Маханаксар» или «Габилшатур» какой-нибудь, так вообще страшно подумать, что будет. А я знаю людей которые что-то подобное используют(не именно эти, эти я специально взял, как образцы близкие, из тех же языков, но не те, что используют в подобных случаях известные мне люди)
                                                            0
                                                            Не, ну а почему не подойдёт. Клиент диктует, оператор набирает, хэш сверяется.
                                                              +1
                                                              Слово может быть на английском, или клиент при заполнении мог его ввести с ошибкой, либо с ошибкой вводит оператор. Еще много разных вариантов можно придумать, почему хэш не подойдёт.
                                                                0
                                                                Т.е. если я придумаю не существующее проверочное слово «Овтомабиль», а злоумышленник попробует через «старшего-специалиста-оператора» проверочное слово «Автомобиль» — то злоумышленник будет идентифицирован как Я?
                                                                  0

                                                                  Мне кажется, что


                                                                  1. Проверочное слово эффективно можно заменить цифровой комбинацией. Набирать в ivr колл центра.
                                                                  2. Никакой проблемы хранить хэш и не показывать кодовое слово нет. Тем более, что вроде как его поменять по телефону нельзя. Только через анкету в отделении. Но это не точно. А раз так — им может быть любая комбинация букв и цифр. И, да, желательно, сразу чтобы было нормальные правила. Вроде "только заглавными, только кириллица и цифры". Даже лучше без цифр. Чтобы не было неоднозначностей — "С, C", или "H, Н", или "О, O, 0", или "1, I, l"
                                                                    0
                                                                    Лично вписывал в анкету кодовое слово латиницей.
                                                                    0
                                                                    Думаю в этом случае его попросят по буквам повторить
                                                              0
                                                              212-85-ноль шесть. Удачи хеш подобрать.
                                                      0
                                                      У него вообще могло не быть возможности что-либо выгрузить независимо от размера, а был доступ к данным клиентов в ручном режиме поштучно
                                                      И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.

                                                      Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
                                                      Если в сбере админы закончили хотя бы 5 классов «церковно-приходской», а я думаю что там достаточно грамотные люди работают, то никакой ДБА не даст выполнить запрос «выхлопом» которого будут 60 млн записей.
                                                    +2
                                                    Значит, журналист соврал, который писал

                                                    Журналисты не врут, просто у них работа такая )
                                                    0

                                                    "1991 года рождения (то есть сейчас ему 28 лет)" — а была вся жизнь впереди...

                                                      +7
                                                      Ну, он сам выбрал свою дорогу, не вижу ничего, о чем стоило бы сожалеть.
                                                        +3
                                                        Точно он ли? Нас вообще всегда напрягала эта система. Дядя из СБ с высочайшим уровнем доступа вдруг говорит «вот этот парень, смотрите, вот я логи на флэшку копирнул, по ним видно что это он»© И все ему сразу верят.
                                                        Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.
                                                          +2
                                                          Точно он ли? Нас вообще всегда напрягала эта система. Дядя из СБ с высочайшим уровнем доступа вдруг говорит «вот этот парень, смотрите, вот я логи на флэшку копирнул, по ним видно что это он»© И все ему сразу верят.
                                                          Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.


                                                          Используется система «разделяй и властвуй».
                                                          Дядя из СБ вовсе не один.

                                                          Если вы полагаетесь на одного сотрудника на 100%, — конечно он может подделать.
                                                          А нескольким людям договориться куда как сложнее между собой.

                                                          Тем более, что они в разных подразделениях работают — админы и СБ (которые частенько еще и недолюбливают друг друга).
                                                            0

                                                            По идее, у этого дяди доступ только на чтение.

                                                          +4
                                                          И карьера вроде была, судя по «руководитель сектора в одном из бизнес-подразделений банка». Зачем? Риторический вопрос, само собой…
                                                            +2
                                                            Не уверен, что в Сбере это высокая должность. Руководитель отдела в каком-нибудь региональном филиале.
                                                              0
                                                              чтобы красиво жить и никогда не работать, или работать по 8 часов, а не по 11, и не за $1000 как платят региональным спецам сбера, которые торчат на работе до 10 вечера
                                                                –2

                                                                Вспоминается


                                                                классика
                                                                  0
                                                                  Руководитель среденего звена в сбере — это не должность, а наказание.
                                                                +2
                                                                Странно видеть столько желчи в комментариях. Ну да, это косяк, конечно со стороны банка. Но, утверждать, что данные продаются налево-направо я бы точно не стал. Ни разу сам не встречал в продаже. ИБ все-таки существует. Каждое действие сотрудника и инженера логируется. Просто так копаться в данных клиентов — это русская рулетка. Очень скоро пригласят в спец кабинет и начнут задавать вопросы. И если не было служебной необходимости (тикета клиента или иного легального повода) — пиши заявление. И благодаря этой будничной работе, новости, подобные этой, являются для нас чем-то из ряда вон. Ведь так и должно быть. Разве нет?
                                                                  +6

                                                                  Предупреждение от НЛО, не просто так добавлено.
                                                                  Это про желчь.
                                                                  IMHO, рекомендую не ввязываться в дискуссии, ибо чревато.
                                                                  P.S. Я сам 10 лет в банках, проработал, смысл вашего комментария, лично мне совершенно ясен. Как говориться ППКС

                                                                    +10
                                                                    На столько «не продают», что когда я в первые оформил карту сбербанка, в течение месяца мне начали звонить все кому ни лень, начиная от банков и заканчивая фитнес центрами, курсами английского и тп. Это все продолжается до сих пор (около 5 лет), до такой степени, что я начал пользоваться утилитами для автоблокировок номеров всех этих колцентров и тп. Думаю я не один такой. Мб я параноик, но складывается ощущение, что не продают у нас личные данные только ленивые совсем и это касается не только банков
                                                                      +2
                                                                      У меня с картой такого не было, но после оформления ИП в течении месяца банки насаждали с открытием расчетного счета)
                                                                        +1
                                                                        У меня каждый раз при движении по счёту активизировалась реклама кредитов(от всёх кроме моего банка).
                                                                        После регистрации ИП разве что письма стали слать типа таких

                                                                        В пдф ссылка для перехода/загрузки.
                                                                        И другие подобные, то от «налоговой», то от «поставщиков». Но вирус/троян обычно посылают прямо в письме, а не как в последнем случае
                                                                          0
                                                                          Если не ошибаюсь, список юрлиц в налоговой — открытая информация. Мониторят и ловят новые строчки. Там не хватает только телефона, но обычно это не проблема, особенно для тех банков, у которых новый ИПшник хоть раз побывал.
                                                                            0
                                                                            Да, по инн можно найти кучу информации. На чеке к примеру все должны её печатать.
                                                                            А у ИП она личная.
                                                                              0
                                                                              Список — открытая информация, это факт. Поэтому банк на самом деле может узнать, что Вася Пупкин стал ИП. А вот телефон — НЕТ. Это закрытая инфа, но как показывает практика, утекает на раз. Свежий номер. Тем банкам, про которые даже не слышал.
                                                                            0

                                                                            Вы кредитку оформляли или дебетку?
                                                                            Допускаю, что если кредитку, то инфа уходит в БКИ (она считается как полноценный кредит) и другие банки могут по ней увидеть инфу по вам. Но тут более сведущие товарищи подскажут.

                                                                              +2
                                                                              Все еще проще: в договорах на кредит и на кредитную карту я видел пункт «банк может передать некоторые персональные данные третьим организациям». Такой пункт при получении кредита обычно объясняют тем, что в случае чего можно было привлечь коллекторов.
                                                                                +1

                                                                                Дебет, никогда не брал кредитов, чистая история

                                                                                  0
                                                                                  Допускаю, что если кредитку, то инфа уходит в БКИ

                                                                                  Интересно, а когда мне Сбер сам без спроса оформил кредитку и начал названивать с просьбой её забрать, данные были туда отосланы?
                                                                                    0
                                                                                    Допускаю, что если кредитку, то инфа уходит в БКИ


                                                                                    Интересно, а когда мне Сбер сам без спроса оформил кредитку и начал названивать с просьбой её забрать, данные были туда отосланы?


                                                                                    1) Кредитку могут и без БКИ выдать. Просто лимит будет маленький.
                                                                                    2) А вы уверены, что это не маркетинговое разводилово? Мне тоже постоянно приходит «Вам одобрен кредит» от очень разных банков. Но стоит реально сходить в банк — как там только начинается оформление. Да если только с паспортом оформлять и сумма иная, не та, что обещали. Вернее те 5 миллионов, к примеру, что обещали, тоже готовы выдать. Под нехилый пакет документов. А сами то карты сейчас выдают моментально, они не индивидуально под вас выпущены.

                                                                                      0
                                                                                      А вы уверены, что это не маркетинговое разводилово?

                                                                                      Сбербанк писал, что карта уже готова, нужно только забрать. Нов веры ему конечно нет. Так как я являюсь клиентом этого Сбербанка, то данные все у них уже есть.
                                                                                        0

                                                                                        Это маркетинговый ход. Без подписания вами договора они карту не выпустят. А "готовы" там моментальные карты без имени, они в общем-то всегда готовы, так как их готовить вообще не нужно.

                                                                                          0

                                                                                          Нет. У меня тоже был случай. Карта была готова, без подписания договора. Т.е. лежала в отделении. Достаточно было подписать акт о выдаче карты и получить ее. И тут у меня возникли вопросы зачем они мне предодобрили кредитную карту, хотя речи об этом не шло. Решилось уничтожением карты в отделении и не подписании акта о получении карты мной. Ну, и извинениями с обеих сторон.

                                                                                            0
                                                                                            Вы забыли, как некий банк раскидывал кредитные карты по почтовым ящикам?)
                                                                                              0
                                                                                              Вы забыли, как некий банк раскидывал кредитные карты по почтовым ящикам?)


                                                                                              Tinkoff?
                                                                                              А в США так до сих пор делают.
                                                                                                0

                                                                                                Русский стандарт? Тоже вроде так делает.

                                                                                        +1
                                                                                        Вам УЖЕ оформлена кредитка — это часть скрипта спущенного сверху, который придумал какой то эффективный менеджер, в расчете на то, что сердобольные граждане придут и получат, раз УЖЕ выпустили.

                                                                                        А по факту, ее без личного присутствия не могут выпустить, но потом пришел другой эффективный менеджер, изменили инструкцию и начали просто массово выпускать их зарплатникам с минимальным лимитом. Чтобы человек приходил не два раза (оформление-получение) а один раз. Потом стали выпускать карты MC/Visa momentum unembossed.
                                                                                        0

                                                                                        Так никто не может запросить по вам данные из БКИ без вашего письменного согласия.

                                                                                        0
                                                                                        Мне на следующий день после постановки на учет в ФНС позвонили 20+ раз из разных банков с предложением обслуживания. При том, что телефон не является публичными данными.
                                                                                        (если сейчас кто-то тянется к клавиатуре написать про телефон в ЕГРЮЛ, то я про ЕГРИП — там телефон не является публичным, это личные данные 100%).

                                                                                        Baigildin
                                                                                        в Эстонии, например, через банк можно получить доступ практически к любым госуслугам. Кроме, разве, информации о здоровье и голосования на выборах. Налоговая, авторегистр, данные об образовании — что угодно с аутентификацией через банк. Логично полагать, то если ты им доверяешь свои деньги, то и данные можно.
                                                                                          0
                                                                                          Ооо, тут срабатывает «клёвый» сервис от сбера.
                                                                                          Как только вам открывают карту — на нёё можно сделать перевод по номеру телефона.
                                                                                          И, по умолчанию, все у кого есть сбербанк онлайн на телефоне видят в телефонной книге напротив вашего номер — зеленый сберовский кружочег.

                                                                                          Я в своё время заметил прямую корреляцию по плотности холодны звонков — как только поставил в сбербанке-онлайн галочку «не показывать никому, что к этому телефону привязана карта» (не помню как называется, но по умолчанию — показывают), так сразу поток звонков исчез. У меня есть подозрение, что у сбера API на это голой ж' торчит где-то.

                                                                                            0

                                                                                            Это сейчас фишка у всех банков — и Альфы, и Тинькоффа.

                                                                                            0
                                                                                            На самом деле это больше похоже на утечку от опсосов (или от силовиков которые контролируют опсосов), когда от номера 900 начинают сыпаться смс — значит на том конце завелся человек с деньгами.
                                                                                            +3

                                                                                            Вопрос только в одном — есть все же утечка ещё 59 999 980 карт или нет? Потому что это была бы дыра совсем иного уровня, данные 200 карт можно и с экрана сфотографировать

                                                                                              +2
                                                                                              Зайдите на любой «теневой форум» и посмотрите на количество предложений по продаже различных данных, в том числе и по банкам.
                                                                                                0
                                                                                                И, конечно же, за всеми этими предложениями скрываются добросовестные продавцы с качественными услугами.
                                                                                                ps: наличия проблемы не отрицаю. Но судить о масштабах по количеству предложений вряд ли разумно.
                                                                                                  0
                                                                                                  А вы отзывы почитайте. Более того там есть гарант сервис, типа как на ebay или Aliexpress.
                                                                                                –2
                                                                                                Но, утверждать, что данные продаются налево-направо я бы точно не стал. Ни разу сам не встречал в продаже.

                                                                                                О, крайне веский аргумент, крайне! :)))
                                                                                                Знаете, я вот ни разу в жизни жирафа не встречал. Говорят, что они есть, но наверное врут — я-то сам не видел…
                                                                                                  +1
                                                                                                  Тут на хабре только была серия статей про продажу перс данных.
                                                                                                  habr.com/ru/post/423947
                                                                                                  0

                                                                                                  Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).
                                                                                                  Эта новость для меня звучит как "в госкомпании без конкурентов опять косяк, крайние найдены, виновные свободны".

                                                                                                    0

                                                                                                    Государственный банк — это ВТБ, например. Сбербанк же не является госкомпанией.

                                                                                                      +4
                                                                                                      50%+1 Сбера принадлежит государству.
                                                                                                        0

                                                                                                        Там все сложно. Поэтому зря минусуете коллегу.
                                                                                                        Мы уже в одном похожем треде разбирали этот вопрос.
                                                                                                        Сбер — вполне себе коммерческий банк.

                                                                                                          0
                                                                                                          На госуслугах можно верифицировать свой аккаунт через сбербанк.онлайн. Разве коммерческим организациям разрешено настолько доверять?
                                                                                                            0
                                                                                                            На госуслугах можно верифицировать свой аккаунт через сбербанк.онлайн. Разве коммерческим организациям разрешено настолько доверять?

                                                                                                            Почему нет?
                                                                                                            Посмотрите, где можно сдать биометрические данные, посмотрите, где можно зарегистрироваться на госуслугах.
                                                                                                            cbr.ru/fintech/remote_authentication
                                                                                                            cbr.ru/fintech/remote_authentication/map
                                                                                                            Там и частные банки есть.
                                                                                                              0
                                                                                                              Это ж вы в данном случае доверяете Сбербанку, а не государство.
                                                                                                                0
                                                                                                                Нет, это госуслуги доверяют Сбербанку, если через него можно подтвердить личность. Это означает, что госуслуги считают, что в Сбере информация на 100% верна и подтверждает личность.
                                                                                                                  0
                                                                                                                  Нет. Это всего лишь означает, что вы доверяете Сбербанку аутентифицировать вас в Госуслугах. Можете с тем же успехом своему знакомому доверить, дав ему свой пароль и говоря: “Вася, введи-ка мой пароль на сайте госуслуг!” (механизм другой, но смысл с точки зрения безопасности тот же).

                                                                                                                  Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.
                                                                                                                    0
                                                                                                                    Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.

                                                                                                                    У меня сейчас произошел когнитивный диссонанс. Я думал госуслуги как государственный сервис, предоставляя блага этого самого государства, как раз в первую очередь должен заботится за достоверность предоставленной информации от граждан.
                                                                                                                      0
                                                                                                                      На данном этапе развития техники, они физически не имеют возможности проверить достоверность вашей аутентификации. Когда в каждом компьютере обязательной принадлежностью будет аттестованный сканер сетчатки или NFC-имплантанта – тогда может быть.
                                                                                                                0
                                                                                                                Через Тинькофф тоже можно, но он 100% коммерческий.
                                                                                                                  0
                                                                                                                  Да через все банки можно скоро будет, тут вопрос только как быстро оборудование появится для этого.
                                                                                                                  А сама идея о биометрии — из ЦБ спущена и приходится делать, хотя она банкам нафиг не нужна.
                                                                                                              0

                                                                                                              Центробанку, а не государству.
                                                                                                              Правовое положение ЦБ вызывает споры, как и его принадлежность к государству.
                                                                                                              В любом случае, Сбербанк — это коммерческое предприятие, первая цель которого — получение прибыли, а не какая-то социальная роль в обществе.

                                                                                                                +3

                                                                                                                А целью ВТБ будто не является прибыль?

                                                                                                                  +2

                                                                                                                  ВТБ может работать в убыток, может вкладываться в убыточные, но социальнозначимые проекты.
                                                                                                                  Например, ВТБ выкупил теле2, объединил с Ростелекомом и создал конкурента большой тройке. С выходом т2 цены на тарифы упали в полтора-два раза. Развивается направление lte450 как наиболее перспективное для обеспечения малонаселенных и удаленных объектов.
                                                                                                                  Что делает Сбербанк? Объединяется с Яндексом, чтоб создать аналог Амазон.
                                                                                                                  В то же время ВТБ — худший банк, которым приходилось пользоваться, сбер среди других коммерческих банков — середнячок.

                                                                                                                    +1

                                                                                                                    Целью ВТБ, как любого АО в госсобственности, номинально является прибыль, но фактически — выполнение целевых показателей, установленных госчиновниками из совета директоров.

                                                                                                                    +2
                                                                                                                    Все свои тендеры Сбербанк оформляет через сайт Госзакупок. Если уж и это вас не наводит на правильную мысль, то я даже не знаю что вас убедит.
                                                                                                                      0

                                                                                                                      Правильную мысль какую? Что Сбер — госпредприятие?
                                                                                                                      Извините, но это только у Вас в голове (как и у миллиона других граждан).


                                                                                                                      Государственный банк — это ВТБ, например

                                                                                                                      Да, кстати, только лишь потому что 60% ВТБ принадлежит госимуществу (хотя ВТБ — ПАО). И получается, что даже в этом смысле ВТБ "более" государственный, чем Сбер.
                                                                                                                      Но это все софистика...

                                                                                                                        0
                                                                                                                        Например, любой частный мусоросжигательный завод оформляет закупки через сайт госзакупок. Между закупками и принадлежностью к государственным организациям нет прямой причинно-следственной связи, хотя есть определённая корреляция.
                                                                                                                        +6
                                                                                                                        Вот я не поленился даже зарегистрироваться, что бы ответить.
                                                                                                                        Никаких споров о принадлежности ЦБ не может быть, если человек знаком с Конституцией РФ и законами РФ.
                                                                                                                        Глупости о ЦБ несет движение сумасшедших под названием НОД, движение создано депутатом Федоровым, которому так же принадлежат фразы про то, что Цою песни писали в ЦРУ и что депутатам ГосДумы как голосовать приказывает ГосДеп(в том числе и ему самому, очевидно).

                                                                                                                        ЦБ РФ прописан в Конституции и действует на основании Федерального Закона РФ.

                                                                                                                        Конституция:

                                                                                                                        Статья 75

                                                                                                                        1. Денежной единицей в Российской Федерации является рубль. Денежная эмиссия осуществляется исключительно Центральным банком Российской Федерации. Введение и эмиссия других денег в Российской Федерации не допускаются.

                                                                                                                        2. Защита и обеспечение устойчивости рубля — основная функция Центрального банка Российской Федерации, которую он осуществляет независимо от других органов государственной власти.


                                                                                                                        Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)»:

                                                                                                                        Статья 1. Статус, цели деятельности, функции и полномочия Центрального банка Российской Федерации (Банка России) определяются Конституцией Российской Федерации, настоящим Федеральным законом и другими федеральными законами.

                                                                                                                        Функции и полномочия, предусмотренные Конституцией Российской Федерации и настоящим Федеральным законом, Банк России осуществляет независимо от других федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.

                                                                                                                        Банк России является юридическим лицом. Банк России имеет печать с изображением Государственного герба Российской Федерации и со своим наименованием.

                                                                                                                        Местонахождение центральных органов Банка России — город Москва.

                                                                                                                        Статья 2. Уставный капитал и иное имущество Банка России являются федеральной собственностью. В соответствии с целями и в порядке, которые установлены настоящим Федеральным законом, Банк России осуществляет полномочия по владению, пользованию и распоряжению имуществом Банка России, включая золотовалютные резервы Банка России. Изъятие и обременение обязательствами указанного имущества без согласия Банка России не допускаются, если иное не предусмотрено федеральным законом.

                                                                                                                        Государство не отвечает по обязательствам Банка России, а Банк России — по обязательствам государства, если они не приняли на себя такие обязательства или если иное не предусмотрено федеральными законами.

                                                                                                                        Банк России осуществляет свои расходы за счет собственных доходов.


                                                                                                                        Теперь рекомендую перечитать внимательно статью 2 про то, что все имущество ЦБ является федеральной собственностью. Осознать. Понять, что принадлежность ЦБ РФ = принадлежность РФ. Прекратить повторять глупости Федорова в приличном обществе.
                                                                                                                          0
                                                                                                                          В данном случае, иметь 50%+1 акционерного капитала в номинальной государственной собственности – не означает государственного управления предприятием. В силу особого правового статуса ЦБ.
                                                                                                                            +2
                                                                                                                            1. Мой комментарий был ответом на заявление, что якобы ЦБ не принадлежит государству. Я показал, что ЦБ прописан в Конституции, его статус определяется Федеральным Законом и все что принадлежит ему является федеральной собственностью.
                                                                                                                            2. Совет директоров ЦБ назначается в соответствии с вышеобозначенным ФЗ. В ФЗ говорится о том, что совет директоров назначается Государственной Думой Федерального Собрания Российской Федерации по представлению Председателя Банка и по согласованию с Президентом РФ.
                                                                                                                            3. Председатель ЦБ назначается Государственной Думой Федерального Собрания РФ по представлению Президента РФ.

                                                                                                                            О каком еще можно говорить управлении, если ЦБ описан в Конституции как «независимо от ДРУГИХ органов власти», то есть по факту считается одним из органов власти, если его руководство назначается одной из палат парламента по согласованию с президентом, а его председатель вносится президентом и утверждается парламентом?

                                                                                                                            Управление ЦБ это управление государством. Контроль ЦБ это контроль государства. Все четко описано в Федеральном Законе от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)».

                                                                                                                            Не нужно выдумывать про «а это не государство». ЦБ РФ — орган власти описанный в Конституции РФ и действующий на основании Федерального Закона.
                                                                                                                                +1

                                                                                                                                Сами с собой спорите и это как раз то, о чем я и писал, что правовой положение ЦБ вызывает споры, как и принадлежность государству. То есть по закону это одно, то как видят обыватели — второе, то как есть на самом деле — знает лишь малая категория лиц.
                                                                                                                                А уж на каких правах сбер тут выступает, можно только догадываться.

                                                                                                                                  +1
                                                                                                                                  Я не с собой спорю, а опровергаю ложь и глупость. Правовое ЦБ однозначно, ЦБ — часть государственной власти, все что принадлежит ЦБ является федеральной собственностью, в том числе и акции Сбербанка.
                                                                                                                                  Те кто говорят про неопределенность и тем более, что собственность ЦБ не принадлежит государству либо заблуждаются, либо врут сознательно.
                                                                                                                                    0
                                                                                                                                    что правовой положение ЦБ вызывает споры

                                                                                                                                    Только у любителей теории заговора. У большинства вопрос правого положения ЦБ в принципе не стоит. Т.е. в обществе такой дискуссии нет, непонятно откуда вы вывели это.
                                                                                                                                      0
                                                                                                                                      Даже не у любителей теории заговора. Есть такое движение НОД, я выше об этом писал, среди телег прогоняемых его создателями то что ЦБ подчиняется США и статус ЦБ не определен, что Путину мешают либералы, а то бы Россия процветала, что депутатам ГД как голосовать диктует ГосДеп(при том, что создатель НОДа сам депутат ГД, то есть ему тоже) и что Цою писали песни в специальном отделе ЦРУ.
                                                                                                                                      НОДовцы бывают двух видов: пропагандисты на зарплате Федорова и буйный сумасшедшие. К какому виду относится человек прогнавший здесь нодовскую телегу про ЦБ я не знаю.
                                                                                                                                        +1
                                                                                                                                        Я в курсе про НОД, просто обобщил и отнес их к остальной кучке сектантов, которые никак не влияют на повестку дня в обществе. Однако, кроме минуса, контраргумента никакого не получил. Ну да ладно
                                                                                                                                          +1
                                                                                                                                          Ну значит нодовские сумасшедшие бегают и тут, раз минусами кидаются. Я бы раскрыл шире тему про НОД и почему это не секта, а организация направленная на ужесточение диктатуры, но тут не тот ресурс, потому ограничился упоминанием, что человек явно из федоровских
                                                                                                                        0
                                                                                                                        Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).
                                                                                                                        и надо бы продолжить — и журналистам. Или где-то были доказательства про 60 млн.? я на выходных не следил за новостями, мог пропустить, если было — направьте. Пока было только 200 записей и заявление о возможном сливе.
                                                                                                                        Не пытаюсь никого защищать, т.к. сам клиент сбера и уже промелькнула мысль «а нельзя ли тут где какой иск от неопределённого круга лиц, за такой слив?».
                                                                                                                        –1
                                                                                                                        в настоящее время представители правоохранительных органов осуществляют с ним процессуальные действия
                                                                                                                        Бутылирование?
                                                                                                                          –4
                                                                                                                          Как обычно
                                                                                                                          Наказание невиновных – Награждение непричастных
                                                                                                                            –1
                                                                                                                            Ну это же смешно, такие утечки не делаются рядовыми сотрудниками. Ну нету у них доступа такого, нету у них списка клиентов хотя бы с пагинацией. А тем более кнопок выгрузить данные пачкой. Да они могут собирать данные тех клиентов которых обрабатывают в текущий момент, тупо скриншотами или сохранять страницу или просто копировать текст, но это надо прям сеть чтобы работала в режиме нон-стоп, чтобы собрать столько данных. Да они могут выборочно запрашивать данные на продажу, типа «пробить» клиента за деньги.
                                                                                                                              0
                                                                                                                              Ну это же смешно, такие утечки не делаются рядовыми сотрудниками. Ну нету у них доступа такого, нету у них списка клиентов хотя бы с пагинацией. А тем более кнопок выгрузить данные пачкой. Да они могут собирать данные тех клиентов которых обрабатывают в текущий момент, тупо скриншотами или сохранять страницу или просто копировать текст, но это надо прям сеть чтобы работала в режиме нон-стоп, чтобы собрать столько данных. Да они могут выборочно запрашивать данные на продажу, типа «пробить» клиента за деньги.
                                                                                                                              Ну ваще-то у рядовых «маринок» USB отключены, поэтому вариант один — переписывать с экрана.
                                                                                                                              Да и АБС построены так что не может быть на одном экране всех сведений о клиенте. «Маринка» в каждый конкретный момент времени работает в определенной ветке ( а может даже в разных АБС — это не редкость) которая посвящена, например, паспортным данным, КИ, банковским продуктам и тд
                                                                                                                            +7
                                                                                                                            Да-да, только 200. И, совершенно случайно, вчера позвонили мошенники как раз по карте сбера :))
                                                                                                                              +3
                                                                                                                              У моей знакомой всех родственников обзвонили на днях мошенники.
                                                                                                                              Говорили что-то типа вы выиграли бонусы, назовите номер карты, щас вам на телефон придет код, назовите его и т.д.
                                                                                                                              В итоге, таким образом получили доступ к онлайн-кабинету, смогли перевести оттуда деньги (благо немного, 20-500р), карту заблокировали, надо перевыпускать.
                                                                                                                              Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос. По времени это подозрительно совпадает с обсуждаемой утечкой.
                                                                                                                                0
                                                                                                                                назовите номер карты, щас вам на телефон придет код, назовите его и т.д.

                                                                                                                                где они нарыли телефоны владельцев карт — вот в чем вопрос.

                                                                                                                                Звони любому, с большой вероятность у каждого второго хоть одна карта да есть.
                                                                                                                                А номер карты, по вашим словам, они сами называли.
                                                                                                                                  0
                                                                                                                                  Но как вы объясните что звонили не одному человеку, а нескольким родственникам? Вот что подозрительно. Полагаю у них какой-то список людей есть с картами, конкретно по фамилиям.
                                                                                                                                    0
                                                                                                                                    К счастью, население Земли обновляется полностью примерно раз в 100 лет.
                                                                                                                                    Т.е. если Ваши перс.данные были слиты 20-10-5-1 лет назад, они в большей своей части много лет будут актуальны.
                                                                                                                                    Поэтому вычислить человека и все его связи при наличии пары-тройки, можно сказать, общедоступных баз данных — как два байта переслать.
                                                                                                                                    Пример из жизни.
                                                                                                                                    У меня зазвонил телефон.
                                                                                                                                    Кто говорит?
                                                                                                                                    Какая-то непонятная личность выяснила, имеется ли какая-то связь между мной и моей дочерью.
                                                                                                                                    Далее оказалось, что эта личность разыскивает двоюродного брата мужа дочери, потому как он задолжал денег. (т.е. личность оказалась коллектором).
                                                                                                                                    Когда я это понял, личность была послана, не дождавшись от меня ни чьих контактов.
                                                                                                                                    После каких-то сумбурных угроз, личность начала также названивать моей жене и отцу.
                                                                                                                                    Потом обзвонила вплоть до высшего начальства персонал предприятий, где они работали (мне повезло, у меня начальства нет-).

                                                                                                                                    Короче, данная личность без каких либо проблем находила контакты связанных между собой индивидуумов(как родственными связями, так и «рабочими»)

                                                                                                                                    PS… На сколько я знаю, история не кончилась ни чем. На стол местной полиции легли как минимум 5 заявлений. Телефон с которого звонила «личность» и его владельца нашли, но доказать причастность к данному беспределу, почему-то не получилось.
                                                                                                                                      0
                                                                                                                                      Личность скорее всего была из «бывших сотрудников». А у таких связи остаются достаточно надолго.
                                                                                                                                  +5
                                                                                                                                  Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.

                                                                                                                                  1. В Сбербанк Онлайн пробуем сделать перевод небольшой суммы по номеру телефона.
                                                                                                                                  2. Сбербанк Онлайн показывает имя и отчество владельца карты.
                                                                                                                                  3. Перевод не подтверждаем.
                                                                                                                                  4. PROFIT.

                                                                                                                                  Таким образом, узнаем привязана ли карта к номеру телефона и если да, то имя-отчество владельца карты.
                                                                                                                                    0
                                                                                                                                    Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.

                                                                                                                                    Мне несколько раз "блокировали" сберовскую карту, когда у меня карты сбера никогда не было. Другие предложения по отсутствующей у меня сберовской карте тоже поступали.

                                                                                                                                      0
                                                                                                                                      совпадение конечно любопытное, но если в сливе были указаны остатки по счёту, то обзванивать людей с 20-500 р. это как-то… глупо. Не, конечно учитывая, что там за запись просили по 5 р., то даже с 20 р. покупка отбилась, но это всё равно странное занятие. Последний, кто мне говорил «курочка по зёрнышку», попал в поле зрения ОБЭП (взятки), был директором, сейчас работает таксистом.
                                                                                                                                        0
                                                                                                                                        Только сбер тут не при чем. Развод старый, ему уже много-много лет, со временем становисят все изощренней. Между прочим, Пикабу, в этом плане, весьма полезный сайт.

                                                                                                                                        Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.

                                                                                                                                        Да где угодно. Это не целенаправленная атака на конкретных людей. Мне тоже звонили якобы из сбера, при том что у меня нет там карт и никогда не было.

                                                                                                                                        20-500р

                                                                                                                                        Да, сумма небольшая. И это хорошо. В противном случае, вашим родственникам знакомых позвонили бы через месяц, сказали бы что мошенников поймали, и что надо перевести еще 100 тысяч, чтобы составить заявление, но их потом обязательно вернут вместе с деньгами.
                                                                                                                                      +3
                                                                                                                                      Держите меня семеро, но там всё плохо!

                                                                                                                                      По версии банка какой-то манагер построчно (по всей видимости) выдернул из базы сведения о 200 картах дабы доказать, что это выборка из более обширной базы, которая у него на руках. Ключевой момент в его предложении-простота получения сведений. Есть вероятность что у него был штатный функционал (чего ?) для таких действий (массовой выгрузки)
                                                                                                                                      А теперь вопросы:
                                                                                                                                      1. Что это за служебные обязанности для выполнения которых необходимы подробные сведения по клиентам в больших количествах? Ну не аналитику же он в уме считает.
                                                                                                                                      2. Запросы сведений в базе логируются и статистика анализируется для предотвращения. Как бы так быть должно.
                                                                                                                                      3. Это может показаться странным, но у руководителя вообще доступа к сведениям о клиентах быть не должно.
                                                                                                                                      4. Мне одному кажется, что действия преступной группы пытаются выставить как самодеятельность мелкого манагера? А ведь преступная группа, имея административный доступ к БД вполне могла и логи сделать правильные и слить парня.

                                                                                                                                      Но всё это пол беды. Если допустить, что версия банка правдива, то дела всё так же плохи ибо получается, что практически любой сотрудник (сколько таких манагеров по стране) может выгрузить базу и начать ей торговать. А сколько торгуют, но не палятся?
                                                                                                                                        +3
                                                                                                                                        Пост с новостью обновлен, добавлена информация о ходе расследования. Вот тут можно посмотреть про этот момент более понятно
                                                                                                                                          +3
                                                                                                                                          Я не понял чего так Греф всполошился. Пробивали клиентов Сбера до и пробивать будут после- прям фотку с экрана рабочего компа присылают. Любой операционист или служба помощи это может. Могли бы ловить, но не ловят. Но 200 личных дел и с историей операций так дёргать это сильно. М.б. торговец решил сжульничать и кинуть покупателей?
                                                                                                                                        +7
                                                                                                                                        Мы приносим свои извинения за эту ситуацию...

                                                                                                                                        Многомиллионный штраф сделал бы эти раскаяния намного более искренними.
                                                                                                                                          +2

                                                                                                                                          Ну это уже регулятору решать, а не самому Сбербанку.

                                                                                                                                            0

                                                                                                                                            Смешно, но это не поможет. Это очень похоже на перекладывание денег из одного карман в другой. А страдают обычные налогоплательщики.
                                                                                                                                            Надо наказывать конкретных виновных — кто спёр данные, кто построил систему, которая это позволяет, кто недосмотрел и т п.


                                                                                                                                            Просто как пример — мы судились с администрацией (считай — гос.структура власти) по поводу того, что их сотрудники по халатности нанесли ущерб. Угадайте — был ли кто наказан? Нет. Выплатили компенсацию? Да. Но откуда? Точно не с бюджета казённой структуры, которая финовата, а из общей казны. Т.е. по сути — денег налогоплательщиков. Фейспалм. Занавес

                                                                                                                                              0

                                                                                                                                              По логике вещей штрафы и должны работать как по цепочке: сбер оштрафовали, он проснулся и полез разбираться, нашли условно косяк в ИС в мониторинге — оштрафовали субподрядчика, который писал эту ИС, субподрядчик проснулся — раскидал люлей по отделам и т.д.
                                                                                                                                              Но это, как обычно, работает только в теории.

                                                                                                                                              –1
                                                                                                                                              Ни одна из проблем не является нерешаемой, и у некоторых банках, у некоторых операторов мобильной связи, у некоторых платежных систем эти проблемы так или иначе решены.
                                                                                                                                              И мне кажется хватило бы всего лишь лишить месячной зарплаты главу Сбербанка Германа Грефа. Но похоже, что кому-то выгодно такое положение вещей.
                                                                                                                                              0
                                                                                                                                              Как понимаю, «быстро поднятое не считается упавшим»
                                                                                                                                              Т.е. сколько записей он украл — ХЗ, но скомпрометированными признаны те 200, которые он разослал потенциальным покупателям базы.
                                                                                                                                                –1

                                                                                                                                                Цирк с конями и колхоз во всей красе. А Греф лучше бы вообще рот не раскрывал, после его "разъяснения" стало ясно, что всё ещё хуже, чем казалось:


                                                                                                                                                1. Мелкий клерк заштатного филиала имеет несанкционированный доступ к приватным данным неограниченного круга клиентов.
                                                                                                                                                2. Этот доступ не вызывает срабатывания триггеров системы безопасности — СБ узнаёт об этом не от своих алармов, а из сми.
                                                                                                                                                3. Факт доступа не логгируется — СБ проводит расследование не с помощью анализа логов, в телефонным звонком злоумышленнику!

                                                                                                                                                Меня просто поражают люди, добровольно несущие собственные деньги этим жуликам и криворуким идиотам. И ограбление сберкассой почти всего населения страны не стало уроком и этот колхоз не станет. Мыши плакали, кололись…

                                                                                                                                                  +7
                                                                                                                                                  Я всё же люблю Хабр, этот ресурс IT-профессионалов.

                                                                                                                                                  1. Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов. Вас же не возмущает ситуация, когда вы приходите за выпиской по счёту, операционистка смотрит ваш паспорт — и через три минуты отдаёт вам распечатку ваших операций по счёту?

                                                                                                                                                  2. У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?

                                                                                                                                                  3. Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?
                                                                                                                                                    –4
                                                                                                                                                    Ваши предложения в корне неверны.

                                                                                                                                                    Тысяча сотрудников по тысяче запросов в день, это всего-то миллион записей в базе, два айди (клиента и оператора) и время доступа — по объему это копейки, по нагрузке тоже. Рекламная сеть за час получает миллион событий (показ, просмотр, клик, метрики и т.д.)

                                                                                                                                                    Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.

                                                                                                                                                    Я не знаю, но не думаю что прям вот так всем менеджерам доступны данные всех клиентом. По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне). Ну это не одна СБ не пропустит и многочисленные сертификации, что данные клиентов из Москвы, доступны например менеджерам из отделения в Самаре (причем что 99% из этих клиентов никогда не бывали и не будут в Самаре).
                                                                                                                                                      +1
                                                                                                                                                      Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.


                                                                                                                                                      Я откуда знаю, почему предыдущий оратор считает, что там по любому чиху должны триггеры срабатывать?

                                                                                                                                                      Что же касается сотрудников — у Сбера 15 тысяч офисов, в них работает больше ста тысяч человек. Удачи вам в поиска в этих логах события «В. Пупкин запрашивал данные клиента, который на самом деле к нему не приходил» (отдельный вопрос — как вы по логам будете определять, приходил ли клиент).

                                                                                                                                                      По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)


                                                                                                                                                      То есть, по вашей логике, «где карту получали — туда и идите», и в отделении Сбера в Самаре я принципиально не смогу получить выписку по счёту, открытому мной в Сбере в Москве?..
                                                                                                                                                        0
                                                                                                                                                        habr.com/ru/news/t/470253/#comment_20719785
                                                                                                                                                        Я чуть ниже написал как это решается, через введение кода пароля с смс, для доступа оператора к данным клиента. Или если нет телефона, то набора для слепого контроля, по сути это форма не с одним, а с многими вопросами и кнопкой проверить(получить доступ).

                                                                                                                                                        Процетирую себя же
                                                                                                                                                        (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)

                                                                                                                                                        Если ваша карточка по геолокации из браузера или мобильного приложения засветилась в Самаре, или же просто была любая операция на просмотр баланса или снятие денег с любого банкомата или в отделении в г. Самара, то система понимает где карта находиться, и разрешает доступ операторам из данного региона к вашим данным. Или это технически нереализуемо? Очень даже реализуемо, и скорее всего такие вещи уже сделаны так или иначе.

                                                                                                                                                        Все остальные действия по запросу личной информации должны не просто логироваться, а логироваться с высшим приоритетом, для просмотра и анализа службой СБ.
                                                                                                                                                          +1
                                                                                                                                                          Т.е. клиенту надо постоянно сберу отчитываться где он чтоб получить обслуживание в банке? что это если не тотальная слежка?
                                                                                                                                                          А если смс не пришла: глюк оператора, сел телефон и тд — все, нет обслуживанию в банке?

                                                                                                                                                          Не надо множить сущности, в конце концов аутентификация происходит в момент предъявления паспорта, а уж в банке вы его показываете или опсосу — не важно.

                                                                                                                                                          С таким же успехом можно паспорт левый сделать и украсть личность, перевыпустив сим и получив доступ к банковскому счету.

                                                                                                                                                          Не бывает абсолютной безопасности, всегда есть баланс между стоимостью мошенничества и его прибыльностью и в безопасности вы будете только тогда когда стоимость поддельного паспорта (и расходов на адвоката/судью) будет выше чем та сумма что у вас на карте лежит.

                                                                                                                                                          Кстати непонятно почему вы так сильно на СБ рассчитываете, это просто еще один человек на окладе, который может быть точно так же слаб как и тот менеджер, который слил карты.
                                                                                                                                                            0
                                                                                                                                                            Самое забавное, что как только человеку заблокируют доступ к счету, потому что он не разрешил банковскому приложению/сайту доступ к геолокации (и не разблокируют по паспорту, потому что система не дает)- комментатор выше напишет кучу комментов про ужасный банк
                                                                                                                                                              +1
                                                                                                                                                              > Т.е. клиенту надо постоянно сберу отчитываться где он чтоб получить обслуживание в банке?

                                                                                                                                                              Ну вообще во многих банках за этим следят на автомате. У меня было как-то, что я заплатил с карты одного крупного российского банка в мелком городе у подножия Уральских гор, при том, что до этого всегда платил в Москве и Питере, так мне через минуту поступил звонок от СБ банка со словами «С вашей карты оплатили покупку в магазине «ДНС» в таком-то городе. Это были вы?», на мой ответ «Да, это я, все нормально» сказали «Хорошо, тогда помечаем, что оплата вами в этом городе нормальна, а не вашу карту увели».

                                                                                                                                                              То есть банки и так следят за тем где ты.

                                                                                                                                                              Это не улучшает идеи человека которому вы отвечали, она бредовая. Во всех банках я могу прийти в любое отделение и получить обслуживание в любой момент, без каких-то привязок, что «где карту получали, там и обслуживайтесь».
                                                                                                                                                                0

                                                                                                                                                                В Сбере это так не работает. Я уж не знаю, что у них в головах, но буквально недавно:


                                                                                                                                                                1. Карту мы не перешлём в отделение в другом городе. Хотя любой нормальный коммерческий банк это умеет.
                                                                                                                                                                2. Звонили, предлагали кредит в отделении ХХХ. Прихожу. Мне говорят: "А Вы обслуживаетесь в УУУ — туда и идите". Между прочим, все происходило в рамках одного города (СПб), т.е. это был один макрорегиональный филиал или как там оно называется.
                                                                                                                                                                  Сплошь и рядом такое. А комиссии при переводе на карту Сбера, но в другом регионе? Но через банкомат или кассу ее (карту другого региона) можно пополнить без Комиссии — т.е. не-клиенты банка в более выгодном положении, чем клиенты. Впрочем, как и граждане РФ по отношению к не-гражданам РФ

                                                                                                                                                                И это только вершина айсберга

                                                                                                                                                                  –1
                                                                                                                                                                  Все что вы описываете происходит в шарашке под названием «Сбербанк». Это шарашка советского образца, а не банк, там и не такое может быть.
                                                                                                                                                                  В нормальных банках я прихожу в любое отделение в стране и меня обслуживают, а при перевыпуске карты еще и привозят ее домой бесплатно.
                                                                                                                                                                    –1
                                                                                                                                                                    В Сбере это так не работает. Я уж не знаю, что у них в головах,

                                                                                                                                                                    У них в головах до сих пор куча филиалов/отделений, которые на самом деле считаются отдельными банками. Отсюда и лезут все эти комиссии странные и «где /подставить нужное/ — туда и идите.»
                                                                                                                                                                      +1
                                                                                                                                                                      Я в СПб спокойно получаю карты из Мурманской области. Да, они не пересылают, но перевыпускают — спокойно.
                                                                                                                                                                +1
                                                                                                                                                                Я со счёта не мог снять деньги в том же городе, но другом отделении.
                                                                                                                                                                  +1
                                                                                                                                                                  То есть, по вашей логике, «где карту получали — туда и идите», и в отделении Сбера в Самаре я принципиально не смогу получить выписку по счёту, открытому мной в Сбере в Москве?

                                                                                                                                                                  Очень вероятное событие.
                                                                                                                                                                  Ибо дефакто Сбер — это куча отдельных банков, с разными БИК. С этим же связаны и непонятные комиссии при переводах Сбер-Сбер, и прочая дичЪ.
                                                                                                                                                                –1
                                                                                                                                                                Я всё же люблю Хабр, этот ресурс IT-профессионалов.

                                                                                                                                                                Родной, это такие азы, которые известны любому, кто хоть немного касался информационных систем с разграничением доступа. А уж если имел какое-то отношение к разработке банковских систем, то там этим всю плешь проедают до самого мозжечка.


                                                                                                                                                                1. Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов.

                                                                                                                                                                Я понимаю, что в колхозной сберкассе это сделано именно так — даже Греф это подтвердил, но в настоящих банках это сделано не через жопу, а как положено. И всякий сотрудник, даже отдалённо не касающийся работы с реальными данными клиента раз в несколько месяцев проходит обязательный тренинг в котором всё это разъясняется и описывается. Повторю, в номальных банках. Европейских и штатовских точно. Если на пальцах — не всякому менеджеру положен неограниченный доступ к неограниченному кругу клиентов и к неограниченному объёму данных даже тех клиентов которым ему позволено доступиться. Это самые основы. Азбука, тскзть. Если ещё более на пальцах, то даже(!) у опсосов (тоже, очевидно, не у всех, но, хотя бы, у некоторых) это сделано более грамотно, чем в сберкассе. Когда-нибудь пробовали получить дубль симки, скажем ребёнка, выданной на паспорт одного из родителей (и вы не помните какого)? Вы диктуете номер телефона и номер своего паспорта оператору, а он вам говорит, — нет, эта симка выдана не на этот паспорт, а на какой я не могу сказать — система проверяет введённые данные, но не показывает сами данные оператору, предотвращая утечку. В данном же случае, массив данных содержит персональные данные клиентов, к которым юный менеджеришка из филиальчика не должен был иметь доступа. А если получил его, то получил несанкционированно и на это должны были сработать системы безопасности. В нормальном банке.


                                                                                                                                                                1. У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?

                                                                                                                                                                Да, если этот менеджер залез в персональные данные, которые его не касаются. Но, во-первых, его не должны туда пустить, во-вторых, если ему это край как нужно, он должен составить заявку в СБ на временный доступ, в которой должен обосновать причину необходимости такого доступа и срок на который ему этот доступ требуется, в третьих, если он таки залез туда без санкции, да, должны сработать триггеры. Повторю ещё раз — так обстоят дела в нормальных банках. И даже здесь на хабре была статья в которой было описано как "ловили" пентестера, который пытался такое проделать в тестируемой системе. И это была даже не западная компания, а вполне российская, только нормальная, а не сберкасса.


                                                                                                                                                                1. Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?

                                                                                                                                                                С точки зрения ардуинщика, это, конечно, нереальный объём, ни в одну ардуинку не влезет, но, вообще-то, это объём ниочём. И, скажу вам по секрету, для быстрого доступа к данным давным-давно изобрели БД и индексы. А если данных и правда много, то есть такая BigData, умением работать с которой тот же Греф очень хвалился.

                                                                                                                                                                  +2
                                                                                                                                                                  Господи, как много слов.

                                                                                                                                                                  А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.
                                                                                                                                                                    +1
                                                                                                                                                                    А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.
                                                                                                                                                                    Глупости изволите город сообщать, поработайте банке, тогда может у Вас появится некоторое представление о том какие доступы имеют сотрудники в банках. И заодно о том как все это логируется.

                                                                                                                                                                    PS Посмотрите на скриншот отчета. Такой отчет без палева может получить для себя только админ БД, но я думаю что ему это как раз нафиг не надо.
                                                                                                                                                                    Второй, реальный вариант, это отчет (выгрузка) для бизнес-департамента банка.
                                                                                                                                                                    Но опять-таки заказать на исполнение такой полный отчет (на 60 млн клиентов или карт) — это сразу спалиться напрочь. Я думаю что это кусочек небольшого отчета типа по просроченной кредитной задолженности клиентов в филиале, потому как выведены полные паспортные данные и адреса. Для расчета всяких экономических показателей этого ну никак не требуется.
                                                                                                                                                                      +1
                                                                                                                                                                      Но опять-таки заказать на исполнение такой полный отчет (на 60 млн клиентов или карт)


                                                                                                                                                                      (пожав плечами) Поэтому никакой утечки в 60 миллионов карт и не существует.
                                                                                                                                                                    0
                                                                                                                                                                    Месяц назад менял владельца сим-карты у Билайна.
                                                                                                                                                                    Сотрудник спросил номер телефона, взял паспорт старого владельца, посмотрел на него и на экран и вернул паспорт. Дальше взял паспорт нового владельца и начал печатать.
                                                                                                                                                                    То есть обычный мальчик на месте видит паспортные данные по номеру телефона
                                                                                                                                                                      0
                                                                                                                                                                      Месяц назад менял владельца сим-карты у Билайна.… обычный мальчик на месте видит паспортные данные по номеру телефона

                                                                                                                                                                      Всё правильно. Рядом с новостью о слитой базе сберкассы маячит новость о базе билайна на 8 млн записей. Причём база ещё 16-го года, но, судя по вашим словам, у билайна с безопасностью всё по-прежнему никак. Совпадение? Не думаю!


                                                                                                                                                                      Я писал об опыте с нормальными опсосами и нормальными банками. Пара европейских операторов (GDPR отрезвля-я-яет!). И у теле2, по-моему, так же устроено, но давно проверял, сейчас не уверен.

                                                                                                                                                                        0
                                                                                                                                                                        Это еще ничего. Моя бывшая половинакак-то потеряла телефон вместе с симкой, симка оформлена на меня, соответственно для восстановления нужен был я. Мы в то время уже почти разошлись и жили в разных городах, в 500 км друг от друга. Так как номер — вещь критичная я уже собирался брать билет на поезд и ехать к ней, что бы восстановить номер, но не пришлось. Ей восстановили симку без моего паспорта, без меня, просто так. Она пришла в салон Билайн и попросила восстановить, на вопрос про то где же хозяин номера и его паспорт сказала, что я далеко и приехать не могу. Тогда ей восстановили просто так…

                                                                                                                                                                        То есть по большому счету Билайн просто перевыпустил симку постороннему человеку который знал кому принадлежит номер. Это у Билайна в порядке вещей.
                                                                                                                                                                          0
                                                                                                                                                                          В МТС пришли в ближайшее отделение и оформили доверенность на собственный номер из другой половины страны на паспортные данные другого человека. Через пару дней этот человек пришёл и переоформил номер на себя. И никуда ехать не надо было.
                                                                                                                                                                    +3
                                                                                                                                                                    Факт доступа не логгируется — СБ проводит расследование не с помощью анализа логов, в телефонным звонком злоумышленнику!
                                                                                                                                                                    а что это даст в пользу доказательства злонамеренности действий? Ну вот по логам Вася обратился к данным десяти клиентов за день. За месяц — к 200. Ну и? Работа у него такая в банке. Максимум превышение, если посмотрел чужие без клиента.
                                                                                                                                                                    А вот если он обратился к данным, которые запросили сб, представившись покупателем данных — то это вполне себе доказательство злонамеренности совершения уже таки преступления.
                                                                                                                                                                      +1
                                                                                                                                                                      Эта проблема с доступом к данным решена в некоторых банках очень просто, когда оператор запрашивает доступ к данным то клиенту уходит пароль на телефон, для подтверждения доступа, оператор вводит этот пароль у себя и получает доступ. Все менеджер просто так не может получить доступ к каким угодно данным. Для случаев если телефон потерян, есть слепые проверки для получения доступа (это не только контрольный вопрос, но и могут быть любые данные связанные со счетом или транзакциями или же скрытые персональные данные). И работает это просто, заполняется пяток полей и кнопка, при неправильном вводе ходя бы одного поля не показывает что за поле, а просто показывает ошибка. У операторов связи такое тоже есть, один из 5-т последних звонков назвать и примерный баланс на счету(плюс/минус какое-то число).
                                                                                                                                                                        +1
                                                                                                                                                                        данные связанные со счетом или транзакциями

                                                                                                                                                                        Потрясающе. Ситуация — у вас украли телефон с кошельком, вы пошли в банк перевыпустить карту, с паспортом. Вы же первый тут начнете писать комментарий в стиле «сбер отказался выдавать мои деньги, восстанавливать мои карты и что-либо делать, пока я не вспомню с точностью до копеек, сколько денег я потратил 27 февраля 2016 года по карте и какой был номер транзакции на чеке при предпоследнем снятии денег с карты».
                                                                                                                                                                          –2
                                                                                                                                                                          Получаеться, что Вы просто не не учитываете приоритеты. Да наверное мой косяк что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов. Опять повторюсь, эти все проблемы решены в других финансовых структурах. Сбер это может решить, но не хочет.
                                                                                                                                                                            +1
                                                                                                                                                                            к что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов.

                                                                                                                                                                            Ну да, в сбере и во всех банках именно так. Если вы придете с паспортом — этого достаточно. В чем проблема?

                                                                                                                                                                            А без паспорта никто проверки «кода по смс» устраивать не будет.
                                                                                                                                                                            Исходя из этого комментария и комментария выше, логически вытекает, что по вашей логике доступ ко счету сейчас доступен любому желающему без дополнительных проверок? Заканчивайте ахинею то нести

                                                                                                                                                                            Опять повторюсь, эти все проблемы решены в других финансовых структурах.

                                                                                                                                                                            Давайте предметно.
                                                                                                                                                                            1. Названия финансовых структур.
                                                                                                                                                                            2. Что будет, если я туда приду с паспортом без телефона и попрошу список своих транзакций у оператора.
                                                                                                                                                                            3. Что будет если я приду без паспорта и с телефоном попрошу список своих транзакций у оператора.

                                                                                                                                                                            Пока что вы несете какие-то несвязанные посты. Повторю еще раз — отличить «клиент с паспортом запросил свои данные» от «оператор лезет смотреть данные клиентов» — технически весьма тяжело, если не вводить биометрию.

                                                                                                                                                                            PS: tsya.ru, глаз спотыкается.
                                                                                                                                                                              0
                                                                                                                                                                              Ну да, в сбере и во всех банках именно так. Если вы придете с паспортом — этого достаточно. В чем проблема?

                                                                                                                                                                              Ну, как минимум в Альфе — при получении кредита — просили посмотреть в веб-камеру. Т.е. у них еще и фото моего лица сохранилось. Вероятно, для уменьшения вероятно мошенничества. Молодцы.

                                                                                                                                                                                0
                                                                                                                                                                                ВТБ — фотку делают при серьезных операция, паспорт светят и потом сканят в систему, для доказательства, что клиент был, как понимаю.
                                                                                                                                                                                СМС, кстати, вроде бы тоже были какие-то, но это я уже не помню точно.
                                                                                                                                                                                  0

                                                                                                                                                                                  В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личности

                                                                                                                                                                                    0
                                                                                                                                                                                    Слушайте, мне вот альфа только с утра спам прислала, хотя я уже более трёх лет как разорвал договор с ними. Вот думаю, надо бы на них жалобу накатать, что ли. За нарушением моих ПД.
                                                                                                                                                                                      +1
                                                                                                                                                                                      В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личности
                                                                                                                                                                                      СМС нужна чтобы привязать ДБО.
                                                                                                                                                                                      Никакого отношения эта СМС к подтверждению личности это не имеет, личность только по паспорту (или квалифицированной ЭЦП).
                                                                                                                                                                                  0
                                                                                                                                                                                  Это Вы мне приписывайте какой-то бред, и с ним сами спорите.

                                                                                                                                                                                  Пришли Вы с паспортом в отделение. Оператор посмотрел лицо клиента, фотку в паспорте, все гуд лезет в данные. Это необходимо, но недостаточно для защиты данных от утечки через оператора. Поэтому идет подтверждение через смс код, чтобы оператор получил доступ к запрошенным данным. Так же вместо паспорта достаточно только карточки, при получении карточки некоторые банки делают фотку. Тут тоже оператору надо просто сравнить лицо клиента и фотку в системе. Если, например телефон утерян или еще какая-то беда приключилась, то никто не мешает оператору в присутствии клиента получить доступ к данным и нужным функциям через форму Вопрос-Ответ, но не только ключевая фраза, а по расширенному списку, например:
                                                                                                                                                                                  У вас недавно была операция снятия налички, сколько сумма была и где находиться банкомат?
                                                                                                                                                                                  Вы расплачивались картой в магазине, название магазина и сумма оплаты?
                                                                                                                                                                                  У вас было пополнение наличкой через терминал, сколько и где было совершено пополнение?

                                                                                                                                                                                  Вот эти вопросы — это вопросы из анкеты по транзакциям. Система вполне может сама список вопросов генерировать, не показывая всю историю.

                                                                                                                                                                                  Давайте
                                                                                                                                                                                  Давайте предметно.
                                                                                                                                                                                  1. Названия финансовых структур.
                                                                                                                                                                                  2. Что будет, если я туда приду с паспортом без телефона и попрошу список своих транзакций у оператора.
                                                                                                                                                                                  3. Что будет если я приду без паспорта и с телефоном попрошу список своих транзакций у оператора.


                                                                                                                                                                                  1. Украина «ПриватБанк», «УкрСибБанк». Можно предьявить паспорт или карту, фотка в системе есть, без смс кода оператор не получает доступа к данным.
                                                                                                                                                                                  2. При наличии паспорта, вы можете запросить выписку со счета с движением средств, как и задолженность/остаток на счету. Это вообще в любом банке стандартная процедура.
                                                                                                                                                                                  3. Если у вас есть телефон, на нем скорее всего есть приложение для онлайн банкинга, в котором Вы можете посмотреть свои транзакции. Зачем тут оператор?

                                                                                                                                                                                  Расширю дальше список, того что есть в ПриватБанке. Можно снять, пополнить карту через терминал не имея карты — подтверждая доступ или кодом с смс или qr кодом с мобильного приложения. Так же при изменении данных в системе оператором, делается фотка (получение новой карты, замена старой, смена телефона, при закрытии карты фотка не делается).

                                                                                                                                                                                  Повторю еще раз — отличить «клиент с паспортом запросил свои данные» от «оператор лезет смотреть данные клиентов» — технически весьма тяжело, если не вводить биометрию.

                                                                                                                                                                                  Еще раз повторяю, и выше ответил на Ваши вопросы, это задаче технически решаемая, и решенная в других банках.
                                                                                                                                                                                    0
                                                                                                                                                                                    1. Украина «ПриватБанк», «УкрСибБанк». Можно предьявить паспорт или карту, фотка в системе есть, без смс кода оператор не получает доступа к данным.
                                                                                                                                                                                    2. При наличии паспорта, вы можете запросить выписку со счета с движением средств, как и задолженность/остаток на счету.


                                                                                                                                                                                    Противоречие какое-то. Так нужен только паспорт чтобы запросить выписку, задолженность или обязательно телефон тоже?

                                                                                                                                                                                    Если у вас есть телефон, на нем скорее всего есть приложение для онлайн банкинга, в котором Вы можете посмотреть свои транзакции. Зачем тут оператор?

                                                                                                                                                                                    А может и нет приложения. Может я с нокией 3310 хожу. Какая к чертям разница? Я задал конкретный вопрос.
                                                                                                                                                                                    Расширю дальше список, того что есть в ПриватБанке.

                                                                                                                                                                                    Да это в любом банке есть, не только на украине.
                                                                                                                                                                                    И да, приводить в пример «приват-банк» как эталон безопасности — это смешно.
                                                                                                                                                                                      0
                                                                                                                                                                                      Противоречие какое-то. Так нужен только паспорт чтобы запросить выписку, задолженность или обязательно телефон тоже?

                                                                                                                                                                                      С телефоном подтверждение будет быстрее, иначе контрольный вопрос и прочие проверки. Да без телефона получите доступ к своим данным или оператор, если потребуется. Я нигде не писал, что без телефона Вас развернут из отделения и не дадут никакой информации.
                                                                                                                                                                                      Да это в любом банке есть, не только на украине.
                                                                                                                                                                                      И да, приводить в пример «приват-банк» как эталон безопасности — это смешно.

                                                                                                                                                                                      Выше Вы как раз утверждаете обратное, да и не только Вы, но и другие, что ни в каком банке такого нету в россии. Теперь уже оказывается это все уже есть, но только мимо Сбера проходит. Да «приват-банк» не эталон, но что-то не слышно про утечки данных постоянно.

                                                                                                                                                                                      Паспорт это необходимое и достаточное условие для обслуживания в отделении банка, но для защиты персональных данных паспорт всего лишь необходимое, но недостаточное условие. Чтобы защитить данные от несанкционированного доступа сотрудниками и вводят пароли подтверждения из смс. Если нет телефона, тогда опросник для для получения доступа оператором к данным. В любом случае если вы будете в отделении, то при Вас доступ к Вашим данным оператор сможет получить, в обход смс и опросов, но это будет проверять СБ в первую очередь.
                                                                                                                                                                                        0
                                                                                                                                                                                        Да, я понял.

                                                                                                                                                                                        Обслужить вас могут в любом отделении. Достаточно только паспорта, больше ничего не требуется. Но СМС-код и знание вопросов обязательны, без них ничего не получится. Но если вы не помните ничего, то паспорта вполне достаточно. Но СМС-пароль — обязательно.
                                                                                                                                                                                        Хотя если его нет — ничего страшного, и так пойдет.

                                                                                                                                                                                        Ясно, спасибо. Засим кланяюсь.
                                                                                                                                                                                  0
                                                                                                                                                                                  Да наверное мой косяк что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов.
                                                                                                                                                                                  То есть если к оператору поступает запрос на пробить человека по паспорту, то вся ваша система летит к чертям?
                                                                                                                                                                                  Не говоря уже о том, что он может списать данные после того, как клиент ушёл…
                                                                                                                                                                                    0
                                                                                                                                                                                    Только тут вопрос в том, что
                                                                                                                                                                                    1. Если доступ был получен без смс и вопросов, то это пишется в логи с высшим приоритетом и проверяется СБ. Мало ли, у клиента телефон украли, и что делать? Восстанавливать номер? А если другой город? Да этот способ должен быть, и причем в приоритете как для доступа клиента к своему счету, так и для СБ при проверке. В идеале еще и фотку должны делать, чтобы точно было видно клиента.
                                                                                                                                                                                    2. Списать данные можно, вопрос как их выносят потом — это уже вопрос к СБ. Даже если и можно вынести данные, то это сеть сотрудников должна работать, чтобы приличный объем собрать. И данные по остаткам будут неактуальные в большинстве таких случаев.
                                                                                                                                                                                      +1
                                                                                                                                                                                      1) Клиент может быть просто без того телефона, на который зарегано. У меня вот 2 симки сейчас. Забыть второй телефон от нечего делать могу.
                                                                                                                                                                                      2) Именно поэтому ходят разговоры о запрете смартфонов на местах, ибо просто фоткают незаметно и всё.