В Сбербанке новая утечка — миллион строк с полными данными клиентов и записи их последнего разговора с колл-центром

    По информации издания «Коммерсантъ», на одном из теневых ресурсов 13 октября 2019 года появилось объявление о продаже персональных данных клиентов Сбербанка на миллион строк, накопленных с 2015 года. В объявлении утверждалось, что база содержит полные данные клиентов банка, имеющих кредиты или кредитные карты: паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности. Правда теперь, помимо данных о кредитных картах, к продаже предлагалась еще дополнительная информация о клиентах — выгрузка последнего звонка клиента в банк, причем продавец предлагает покупателю именно запись разговора клиентов с колл-центром финансового учреждения.

    В продаваемой базе данных содержатся, судя по столбцу «ТБ» (территориальный банк), данные клиентов десяти из одиннадцати территориальных банков Сбербанка. На некоторых клиентов приходится несколько строк, если у них есть несколько действующих кредитов. Судя по столбцам «Дата образования просрочки» и «Количество дней просрочки», данные были выгружены 25 сентября 2019 года.

    Продавец, с которым связались журналисты, заявил, что эта информация собирается с 2015 года и обновляется еженедельно. Так, за три недели октября в нее добавилось 19 823 строки.

    Одну строку предлагается купить за тридцать рублей. Данные продаются в любом объеме, а покупатель может даже назвать интересующие его критерии, по которым будет сформирована выборка, например по региону, сумме на карте или размеру долга.

    Необычной выглядит выгрузка по последнему звонку клиента в банк. Продавец при желании предлагает покупателям предоставить полные аудиозаписи этих разговоров. Также продавец рассказал, что все аудиозаписи были выгружены «с рабочего места», то есть в дневное время.

    Пресс-служба Сбербанка отрицает и новую утечку. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было»,— заявили в банке.

    Однако, опрошенные журналистами эксперты полагают, что база данных может быть настоящей, а информация в ней выглядит относительно свежей.

    «С учетом того, что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками»,— предполагает технический директор DeviceLock Ашот Оганесян. По его мнению, злоумышленники могут использовать базу для рассылки спама, а также для проведения мошеннических операций. Например, для звонков должникам с обещанием реструктуризации долга и предложением сделать небольшой первый платеж, реквизиты которого будут подставными.

    »Аудиозапись может очень помочь мошенникам,— соглашается гендиректор Zecurion Алексей Раевский.— Если они при общении с потенциальной жертвой сошлются на такой разговор, это серьезно добавит им доверия".

    Журналисты газеты «Известия» приобрели тестовый фрагмент базы. В своем объявлении продавец базы данных изначально озвучивал цифру в 11,5 тысячах записей, но в переписке с журналистом РБК заявил, что база увеличилась и составляет более одного миллиона записей, восемьдесят тысяч из которых касаются должников.

    В записи о каждом клиенте содержится больше 40 ячеек, в том числе полное ФИО, дата рождения, паспортные данные, место работы, домашний адрес, мобильный и рабочий телефоны, сумма кредита и просрочки по нему, дата ее образования и др. Самый «свежий» договор на заем, который содержится в тестовом варианте, был оформлен в марте 2019 года. Эксперты по кибербезопасности подтвердили достоверность данных и сказали, что это новая база, а не та, что утекла в начале октября. В частности, в этом списке не только кредитные карты, но и потребительские займы. Пример части таблички из этой новой базы можно посмотреть тут (многие данные там замазаны).

    Совсем недавно Сбербанк официально уже подтверждал тот факт, что в финансовой организации была утечка данных, виновник этой утечки обнаружен, скомпрометированные карты перевыпущены, а в продаваемом файле с базой данных из этой утечки стояла дата опердня 24 августа 2019 года. Также представители банка заявили, что сделаны серьезные выводы и кардинально усилен контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.

    Обновление на вечер 24.10.2019:

    В МВД заявили, что по подозрению в хищении данных клиентов банков, в том числе Сбербанка, задержали жителя Волгограда, сотрудника Национальной службы взыскания. В пресс-релизе МВД говорилось, что подозреваемый действовал под псевдонимом «Антон 2131». В его отношении возбудили дело о разглашении сведений, составляющих банковскую тайну.

    После сообщения МВД Сбербанк подтвердил инцидент с коллектором. Сбербанк расторгнет контракт с коллекторским агентством Национальная служба взыскания, сообщили в пресс-службе кредитной организации. Также банк проведет аудит систем защиты персональных данных проблемных заемщиков, которые используют сотрудничающие с банком коллекторские агентства.

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 119

      +17
      Скоро утечки будут так «стандартны» в нашем мире, что не будут уже иметь ни какого значения.

      П.С.
      Вроде там где то электронные паспорта собирались внедрить с правами.

      Скоро все-все-все будем знать друг о друге все.

      Зайдем в банк, тебе уже и договор на кредит готовый выдают и подписан он твоим же сертификатом и деваться тебе не куда. А зашел просто узнать про ставки на вклады!
        +6

        Но это будет потому что нейросеть посмотрела и посчитала что на такие условия ты согласишься.

          +9
          Зачем так сложно? Сошлются на том, что при заключении договора кредита на 950 тысяч рублей сроком на два 2 месяца были использованы ваши биометрические данные: система подтвердила, что это были вы, возражения не принимаются.
            +2
            банки спят и видят ввести биометрию, впарят с очередным договором пункт, типа согласен на использование биометрии для заключении последующих договоров, а вы всего то в смартфоне поставили разблокировки по отпечатку…

            И бегай потом доказывай что ты не верблюд, после очередного слива базы, а мошенники сторонними методами отпечатки соберут, например по видеозаписям
              +2
              Зачем им это? Уже сейчас все оформляется «простой электронной подписью». Простая электронная подпись — это код в смс.
              Иди докажи, что кредит на пару лямов брал не ты и в глаза этой смски не видел.
                0
                Предлагаю в таком случае, в каждый смартфон внедрить аппаратный-программный-доверенный модуль:- «не стираемое, цифро-подписанное, облачное и т.д. и т.п. хранилище СМСок»,
                что-бы всегда можно было утверждать,- «видел/не видел, читал/не читал».
                Заголовок спойлера
                Собственно,- сарказм.
                0
                Как будто банкам это нужно, с учетом того какие требования по защите предъявляются к ЕБС, и сколько это стоит. Оно почти гарантированно никогда не отобъется, это спускается сверху, Банки здесь подневольны и несут значительные финансовые затраты, которые, естественно, оплачиваются клиентами.
                Кому это нужно и для чего, оставлю за скобками.
                0

                Возражения принимаются.
                Иванов Иван Иванович, подтвердите свою личность. Это Вы?
                Дааааа, это яаааа!!!
                Вы не Иванов Иван Иванович. Транзакция признана валидной, заявка закрыта.
                Да ты (бип).
                На Иванова Ивана Ивановича составлен протокол об административном правонарушении: сквернословие в общественном месте.
                Да я тебя…
                На Иванова Ивана Ивановича составлен протокол об административном правонарушении: угроза порчи имущества.
                Ты же только что сказала что я не я!
                Запрос не распознан, гражданин, не задерживайте очередь и вообще у меня обед.


                Maximuzz


                ведь отдел кадров тоже в Воронеже.

                Так его что, теперь и бомбить нельзя?


                pewpew


                Всего наилучшего. Кладу трубку, добавляю номер в ЧС.

                Обычно звонит робот, на голосовой почте "Вас не слышно, я могу продолжить". Глупый робот.
                Недавно звонил "Ваша карта заблокирована, для связи с оператором нажмите 1". Типа, лох должен сделать первый шаг? На мои крики "а, что же делать, моя карта непоймибанка заблокирована, паника-паника" не отреагировало и отрубилось.


                1c80


                Лучше вообще не брать тел с неопознанных,

                Есть много ситуаций, когда такое не работает. Лучши жить в мире и не болеть, реальность вносит коррективы.


                ne_kotin


                Шта? Там всей разницы — забить новые реквизиты в 1ску: р/с получателя, БИК, к/с КПП и ИНН банка.

                И платить ещё деньги за это.


                Но на эту хитрую задницу есть лайфхак — заявление на перечисление зп на р/с в желаемом банке.

                Вы отвечали на сообщение "проще уволить", мы к нему вернулись.


                В коммерческих конторах у них проблем с перечисление в незарплатный банк нету.

                Есть-есть, просто не сталкивались.


                При том, что отделений или хотя бы банкоматов других банков в радиусе ста верст тупо нет. И… в енторнетиках вы вертолётики покупать можете, а вот хлеб — не в каждом сельпо. Открою серкрет — хлеб землянам нужен чаще.

                  0
                  И платить ещё деньги за это.

                  Кому? Зарплатодатель платит, вы получаете свою зп в полном объеме. Или вы про обслуживание? Ну так, ква. У МИРовских карт платы за обслуживание нету?
                +1
                Всё так, только не кредит выдают, а проценты и пени по нему требуют, и не в банке, а у тебя дома, и не сотрудники, а судебные пристава. /irony
                  0
                  Со следующего года еще и электронная трудовая книжка.
                  Вот почитайте кому интересно, ПФР рассылает
                  Электронная трудовая книжка (ЭТК)

                  С 2020 года в России планируется ввести электронную трудовую книжку. Приняты в первом чтении законопроекты:

                  — № 748684-7 «О внесении изменений в Трудовой кодекс Российской Федерации (в части формирования сведений о трудовой деятельности в электронном виде)»,

                  -№ 748744-7 «О внесении изменений в Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»,

                  направленные на ведение сведений о трудовой деятельности в электронном виде. Такие сведения становятся основной информацией о трудовой деятельности и трудовом стаже работника.

                  Электронная трудовая книжка не предполагает физического носителя и будет реализована только в цифровом формате.

                  При необходимости сведения электронной трудовой книжки будут предоставляться в виде бумажной выписки. Предоставить ее сможет:

                  — нынешний или бывший работодатель (по последнему месту работы),

                  -ПФР, 

                  — многофункциональный центр госуслуг (МФЦ).

                  Услуга предоставляется экстерриториально, без привязки к месту жительства или работы человека.

                  Формирование электронных трудовых книжек россиян должно начаться с 2020 года. Для всех работающих граждан переход к новому формату сведений о трудовой деятельности добровольный и будет осуществляться только с согласия человека.

                  Единственным исключением станут те, кто впервые устроится на работу с 2021 года. У таких людей все сведения о периодах работы изначально будут вестись только в электронном виде без оформления бумажной трудовой книжки. Остальные граждане в течение 2020 года смогут подать заявление работодателю в произвольной форме о сохранении бумажной трудовой книжки. В этом случае работодатель наряду с электронной книжкой продолжит вносить сведения о трудовой деятельности также в бумажную версию.

                  Россияне, которые до конца 2020 года не подадут заявление работодателю о сохранении бумажной трудовой книжки, получат ее на руки. Сведения об их трудовой деятельности, начиная с 2021 года, будут формироваться только в цифровом формате.

                  Электронная трудовая книжка сохраняет практически весь перечень сведений, которые учитываются в бумажной трудовой книжке.

                  С 1 января 2020 года вводится обязанность для работодателей ежемесячно не позднее 15-го числа месяца, следующего за отчетным месяцем, представлять в Пенсионный фонд России сведения о трудовой деятельности, на основе которых будут формироваться электронные трудовые книжки россиян.

                  Начиная с 1 января 2021 г., данные сведения в случаях приема на работу или увольнения представляются не позднее рабочего дня, следующего за днем издания соответствующего документа, являющегося основанием для приема на работу или увольнения.

                  Работодатель обязан предоставить работнику (за исключением случаев, когда в отношении работника ведется трудовая книжка в соответствии со статьей 66 Трудового Кодекса) сведения о трудовой деятельности за период работы у работодателя способом, указанным в заявлении работника (на бумажном носителе, заверенные надлежащим образом, или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью (при ее наличии у работодателя), поданном в письменном виде или направленном в порядке, установленном работодателем, на адрес электронной почты работодателя:

                  в период работы — не позднее трех рабочих дней со дня подачи этого заявления;

                  при увольнении — в день прекращения трудового договора.

                  В связи с введением электронных трудовых книжек работодателям надлежит письменно проинформировать работников о соответствующих изменениях в трудовом законодательстве и праве работников сохранить бумажную трудовую книжку.

                  При необходимости работодателям также предстоит провести работу по изменению локальных нормативных актов, регламентирующих деятельность организации, внести изменения в соглашения и коллективные договоры.

                  Также вносятся изменения в Кодекс об административных правонарушениях и устанавливается административная ответственность для работодателя за нарушение сроков представления сведений либо представление неполных или недостоверных сведений.
                    0
                    Вот это здравая мысль, желательно — с blockchain и резервированием, чтоб потом не нужно было доказывать, что работал те 2 года и искать бумаги закрывшихся организаций, ибо без них до пенсии стажа не хватает.
                      0
                      Скорее будет ровно наоборот: из «электронной книжки» часть записей в какой-то момент совешенно случайно исчезнет, и потом придется бегать и доказывать, что ты действительно где-то работал и какие-то взносы платил.
                        0
                        Не скорее всего, а точно. Наш отдел кадров уже вешается, вбивая данные с бумажных книжек в электронные. А у нас всего 250 человек в организации. Опечатки, пропуски, неверные прочтения гарантированы.
                          +1
                          Самое интересное что у ПФР эти данные и так есть, т.к. все работодатели каждый месяц сдают информацию по работникам.
                          Переложили работу и ответственность на плечи бизнеса, заодно добавив отчётности.
                            0
                            Это везде так. По крайней мере я наблюдаю аналогии в энергетике. Минэнерго, ФАС и т.п. решает собрать какую-либо инфу, делает запрос в системный оператор. Те недолго думая спускают вниз на уровень ОДУ, дальше в РДУ, РДУ запрашивает бизнес. При этом бизнес и так отдает эти данные, но чуть в другой форме напрямую в Минэнерго (и иже с ними). Путь не обязательно через системный оператор, но до низу все равно доходит.
                            По хорошему ПФР должен выгрузить эти данные работодателю про его работников и дать команду сверить с данными в бумажных книжках и с самим работником.
                          0
                          Вы точно знакомы с работой блокчейна?
                          Или я может чего-то не понимаю.
                            0
                            Думаю с блокчейном человек знаком но ее лучше он знаком с тем что творится в бюджетном секторе it, окей, я в курсе что там творится… кошмар и бардак, там смогут и данные из блокчейна потерять, легко.
                      0
                      Тебе надо русский язык выучить
                      0
                      В свете предыдущего слива и волны шума вокруг него: сколько «строк» можно успеть продать прежде чем «последнюю милю» вычислит СБ?
                      Похоже на экстравагантный способ самоубийства.
                        +1
                        Так это утечка из внешнего коллцентра по работе с просрочкой, СБ Сбербанка к ним не имеет отношения.
                          +1
                          У них есть доступ к большому количеству чужих персональных данных и критической финансовой информации.
                          Слишком велик репутационный урон для Сбербанка. Надо будет отчитаться о том, что виновного поймали, ещё вчера поймали.
                            0
                            Похоже что уже.
                            ria.ru/20191024/1560178779.html
                              +1
                              не могу не позларадствовать в очередной раз по поводу мнения специалистов по ИБ, на вопрос 'так если будет такой доступ, сотрудник же может украсть данные?' ответ: «ну так мы же знаем что это он сделал, у нас в договоре написано что он несет ответственность» но блин ПОФИГ кто и как там ответственность несет, базу же УЖЕ украли… и полное непонимание на лицах ИБшников… типа ну а в чем проблема?, мы же в суд на виновника подадим!!.. рукалицо

                              черт я лет 5-10 назад такие вопросы задавал когда работал близких к банкам структурах… ну вот жареный петух клюнул… может хоть чтото в мозгах поменяется
                                0
                                Репутационные потери не только у Антона 2131 (Нива!), но и у организации в которой он работал, обещают провести аудит.

                                «В связи с нарушением условий договора и утратой доверия Сбербанк в кратчайшие сроки расторгнет договор с ООО «НСВ» и проведет аудит систем защиты персональных данных проблемных заемщиков, используемых коллекторскими агентствами — подрядчиками Сбербанка», — сообщили в госбанке.
                                www.banki.ru/news/lenta/?id=10909182
                                  0
                                  это не может не радовать, наконецто хоть до когото дойдёт что безопасность это серьёзно и бумажками-сертификатами-договорами она не обеспечивается
                                  0
                                  Не могу сказать за все случае, но часто это выглядит по другому:
                                  — приходит бизнес и говорит, мы хоти то-то и то-то, хотим так-то и так-то, сроки — вчера.
                                  — ИБ отвечает: это плохо, потому-то и потому-то, может случиться это и это, риски такие-то. Можно сделать 1, 2, 3, но это время, не так удобно или вообще нельзя.
                                  — бизнес, риски обозначены и с нашей стороны приняты, делаем как мы хотим.
                                  Все.
                                    0
                                    Проблема (или нет, смотря как считать) в том, что среднестатистический безопасник — обычный специалист на зарплате, который хочет не потерять ее, на данные людей ему наплевать. Утекут данные кучи человек, кого-то могут ограбить или убить? Если задница прикрыта бумажкой, что другая контора должна обеспечивать безопасность данных, то все хорошо, получаем зарплату, едем на конференцию в дополнительный отпуск, читаем о том, как юристы насилуют другую компанию.

                                    И это проблема не только Сбербанка, и в Фейсбуке, и в Снапчате, и в куче других компаний работают безопасники, которые хотят формально защищать свои системы, но не данные клиентов. Я прихожу в условный Фейсбук, говорю, что у вас через «партнеров» (назовем это так) могут утечь данные кучи клиентов, но мне говорят, что это проблема партнера, приходите, когда данные потекут напрямую через Фейсбук.
                              0
                              Похоже на экстравагантный способ самоубийства.

                              А если, ещё немного абстрагироваться, от всей этой шумихи и взглянуть на происходящее под перпендикулярным углом. То вся эта возня, вполне может оказаться подставой специальной операцией служб, по запугиванию недохакеров:- «смотрите, как мы вас легко ловим, если вы будете „забижать“ зеленый банк». Ну вроде как «низзя» ни ни, а то мы очень быстро сделаем вам а-та-та и будет небо в клетку.
                              +7
                              эээм, в разговорах со сбербанком же часто просят кодовое слово, сколько таких кодовых слов утекло? мне кажется, что это самое главное. Все привыкли, что мошенники знают твой адрес, полное имя и паспортные данные, а обладая кодовым словом можно прям в банке что-то делать…
                                0
                                Мне кажется, что в 50% случаев кодовое слово- это кодовое слово, которое указано, как пример(Вроде, «Собака» в бланках приводится) или имя. Особенно, его могут использовать далекие от IT люди в возрасте=>если пройтись по старикам, то с высокой долей вероятности можно воспользоваться стандартным ключевым словом или другим тривиальным вариантом через несколько попыток.
                                  0
                                  существует риск, что у Сбербанка тоже есть какой-то механизм отслеживания, 2-3 неудачные попытки подряд, когда люди говорят все правильные данные, но не могут назвать правильное кодовое слово — красный сигнал в мониторинге безопасности. но я не уверен. С базой данных звонков это не проблема совершенно
                                    0
                                    В среднем по больнице кодовое слово это фамилия.
                                    И да замужние чаще используют девичью фамилию.

                                    По теме статьи. Слив телефонных переговоров говорит о том, что доступ к базе прозвона контакт центра либо не надежен либо «злоумышленник» был уже внутри системы.
                                    Аналогично выборка с 2015 года. если это не внутренний слив, то возможно это было по тихому слито нерадивому коллектору. Но слито было не совсем законно.
                                    0
                                    Честно говоря, не в курсе инструкций банка на этот счет.
                                    А можно, по кодовому слову поменять пароль на онлайн кабинет или получить его на адрес электронной почты отличный от заданного или на новый адрес (если не был указан)?
                                      0
                                      В интернетах пишут такое, но я не знаю. на сайте сбербанка что-то не гуглится информация

                                      Кодовое слово обычно запрашивают при звонке на горячую линию Сбербанка – это позволяет сотруднику службы поддержки убедиться, что звонит именно владелец карты. Только после подтверждения кодового слова и установления личности звонящего сотрудник банка имеет право передавать конфиденциальную информацию или совершать действия по карте или счету по просьбе звонящего.
                                        0
                                        Что-то мне подсказывает, что это не делается по телефону при разговоре с оператором. Возможно, если есть привязка к мобиле, то можно получить на нее сброшенный пароль.
                                          0
                                          Мне тоже этот вариант кажется наиболее действительным, но есть вариант перевыпуска симки, который вместе с информацией о местонахождении и доступности человека может дать необходимый результат.
                                            0
                                            По крайней мере год назад можно было привязать новый номер телефона к карте по звонку и кодовому слову. Соответственно — получить полный контроль над онлайн-банком
                                        +15
                                        — Шеф, у нас дыра в безопасности!
                                        — Ну хоть что-то у нас в безопасности…
                                          +16
                                          Пока ответственности перед пострадавшими нет, так и будет. А ее нет и не планируется.
                                            +1
                                            Пока это будет выгодно, так и будет. ЗП ДБА в регионе 30 кусков слить БД — бесценно.
                                              +1
                                              Это в каком таком регионе зарплата DBA в Сбере 30 тысяч?
                                                0
                                                Прав, посмотрел на hh таких зп нет, больше. Я к том что главная дыра в безопасности всегда человек, и до тех пор пока это будет ему выгодно базы будут сливать.
                                                  +1
                                                  Ну «больше» это сильно сказано, да, не 30, а 32 например.
                                                    0
                                                    За 32 — это не DBA, это аникейка.
                                            +17

                                            Блокчейн! Биг дата! Эджайл!

                                              +5
                                              … а новую карточку будешь получать по месту выдачи старой!
                                                +1
                                                Не, пофиксили уже с год назад
                                                  +3
                                                  нет, если карта выпущена и ждет в отделении, то переправить ее в другое отделение нвозможно пока не получишь. Самара, две недели назад
                                                    0

                                                    Мне просто посоветовали получить другую в новом отделении, что я и сделал. Перевыпущенную в другом уничтожили. В этом отношении стало не хуже, чем у других. У альфа-банка была такая же система раньше, не знаю, как сейчас.

                                                      0
                                                      Мне не смогли уничтожить мотивируя тем что я её еще на получил. Возможно дело в том что заказывал карту работодатель.
                                                        0
                                                        Мне в прошлом году вместо моего отделения Альфы на Соколе взамен протухающей карты перевыпуск без моего запроса сделали в отделении на другом от меня конце Москвы — в Новогиреево. Я там не работал, не жил никогда, даже пиво не пил там ни разу. Ну какой-то глюк процесса. Мне было ломы ехать, попросил доставить в мое отделение на Соколе — без проблем курьером доставили. По регламенту там дней 5, но справились в реале за день.
                                                          0
                                                          При этом платишь за перевыпуск карты и номер карты меняется.
                                                            0

                                                            Хмм… Я ничего не платил, и у новых карт всегда другой номер. Так было абсолютно во всех банках, клиентом которых я был. И Сбербанк в этом отношении ничем не отличается сейчас от любого другого российского (и не только российского) банка.

                                                              0
                                                              у новых карт всегда другой номер
                                                              Не всегда, у сбера при перевыпуске по сроку действия (мб в некоторых других случаях тоже) номер остается старый, меняется только срок годности и CVV
                                                                0
                                                                Мне ВТБ и CVV не менял, только новый срок ставил.
                                                                  0
                                                                  Кста, срок годности не обязательно меняется. У меня сдох чип в карте, мне её перевыпустили, срок остался тот же самый, хотя уже года полтора прошло из него.
                                                            0
                                                            Заказываешь новую в нужном отделении.
                                                              0
                                                              и платишь за перевыпуск?
                                                                0
                                                                По-моему, я платил за перевыпуск всего однажды, когда забыл пин-код.
                                                            +2
                                                            Выдачу пофиксили, а обслуживание — нет. Крмое выдачи, сделать в отделении что-либо с картой Сбера, выпущенной в соседнем регионе, можно ровным счетом ничего (по буквам: Николай-Иван-Харитон-Ульяна-Яков).
                                                          +6
                                                          Все эти утекшие данные это и есть биг дата. Возможно их отдали ИИ, чтобы тот нашел новые способы получить денег. А он взял, да и нашел.
                                                            0
                                                            Греф же проводил слепое тестирование.
                                                            +7
                                                            Пресс-служба Сбербанка отрицает и новую утечку. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было»,— заявили в банке.

                                                            То есть не проведем расследования, выясним подробности и пр. а просто не было! У них вообще нет задачи соотносить свои ответы с действительностью, просто все отрицаем. Потом скажем, а утечка оказывается была, но только 2 человека, виновная уборщица уже уволена, и во всех СМИ это расскажут, правда потом окажется, что не два, а два миллиона, но кому интересны такие несущественные детали.
                                                              +1
                                                              У медали две стороны, на каждый высер реагировать тоже замучаешься.
                                                                0

                                                                Их можно понять. Репутационные потери при огласке будут выше. Расследование Сбер может проводить тихо.

                                                                  +3
                                                                  У Сбера уже давно репутация пробила все мыслемые днища. Другое дело, что от этого банка не деться, это да.
                                                                    0
                                                                    С другой стороны СБ слишком заметен и значителен. Аналогичная информация о других банках может не восприниматься настолько критически.
                                                                  +1
                                                                  собственно с прошлой утечкой в начале октября они так и поступили, типа утечки не было, ну там 200 всего лишь… типа))))
                                                                    +1

                                                                    В Сбере и дочерних компаниях еще после прошлой подтвержденной утечки начались движения по предотвращению подобного, внеочередные аудиты и прочее, вплоть до угрозы увольнения, если сотрудник оставил разблокированный комп и отошел с рабочего места. Говорят, Грефу очень не понравилась та ситуация.


                                                                    Но то была подтвержденная утечка, хоть и старая. А тут ни ссылок, ни пруфов, ничего. Самому стало интересно, специально посмотрел, нигде ни одной ссылки, даже намека нет, на то, где эту базу купить. Вы предлагаете отделу ИБ Сбербанка после каждой подобной новости без каких-либо ссылок просто штудировать все имеющиеся хакерские форумы в попытках найти действительно настоящую утечку?)


                                                                    А признаваться в том, что в компании вообще такие вещи возможны будет только дурак, так что не понимаю вашего искреннего удивления такому заявлению пресс-службы.

                                                                      +2
                                                                      Я предлагаю им говорить правду. Их репутация даже без каких-либо доказательств позволяет верить любой информации об утечках, а они прежде, чем что-то утверждать, должны проверить эту инфу. Коммерсант это не анонимный блогер, они, я уверен, предоставят сберу все данные, а если это фейк, то сбер и в суд на них подать может.
                                                                        0

                                                                        Эх, если бы все крупные компании всегда говорили правду...


                                                                        Сбер, кстати, не сможет засудить Коммерсант, если база окажется фейком, потому что формально в новости "Ъ" ничего и не утверждают, там сплошные "возможно", "не исключено" и "предположительно". За оценочные суждения у нас не наказывают. Да и что грозит коммерсанту? Штраф до 500к, да еще и в пользу государства а не лично сбера?


                                                                        Кстати о штрафах, если бы у нас было норм законодательство в этой области сродни европейскому, мне кажется мы бы реже перестали слышать подобные новости.

                                                                          0
                                                                          Ладно, с правдой это я погорячился, но хотя бы выдавали бы нечто правдоподобное. Какая разница кому они выплатят штраф, в этом случае целью сбера было бы не денег заработать, а просто сделать так чтобы другим неповадно было писатьо них разную клевету. Если бы у нас было норм законодательство в части наказания за утечки персональных данных, тогда бы таких новостей стало точно меньше.
                                                                        +2
                                                                        Вы предлагаете отделу ИБ Сбербанка


                                                                        А вы знаете, что после нескольких раундов талантливой оптимизации, проведённой крайне эффективными менеджерами, отделов ИБ Сбербанка уже давно нету в территориальных банках (тех, которые по регионам)?
                                                                        Есть кучка великих людей Начальников где-то в Воронеже, которые бодро командуют людьми, ранее имевшими хорошие позиции в региональных отделах безопасности(кто сам остался, т.е. балластом) а ныне ставшими обычными линейными специалистами за три копейки, и находящимися по всей России за несколько тысяч километров.
                                                                        Кстати, как оказалось, и охранников в отделениях тоже нет — их вообще самых первых сократили facepalm

                                                                        Это как раз та самая «централизация, бигдата, блокчейн», когда вдруг стало возможно из одной точки слить вообще всё, а тех кто должен охранять — оптимизировали на ноль.
                                                                          0
                                                                          ИБ в регионах подчистую сократили аккурат после всей бухгалтерии, охранников, уборщиц и части инкассаторов. Подтверждаю. Остались только начальники, которые должны теперь знать, как людей на работу брать, ведь отдел кадров тоже в Воронеже.
                                                                          0
                                                                          Странно, я всегда считал, что отдел безопасности и без всяких новостей штудирует все хакерские форумы в поисках утечек.
                                                                            0
                                                                            Вы ужаснетесь если узнаете как в большинстве контор работает отдел ИБ
                                                                              0
                                                                              Думаю более корректно будет перефразировать на — вы удивитесь, если узнаете, сколько выделяется в большинстве контор на ИБ.
                                                                              Не знаю как сейчас, но лет 5 назад, то, что я видел в средних/мелких конторах/банках — весь отдел, это один из админов с ЗП под 500$…
                                                                        0
                                                                        А кто-нибудь читал статьи в Коммерсанте и Известиях?
                                                                        На этот раз там нет снимка экрана с замазанными ПД клиентов. Только две многопафосные статьи с красивыми фото банковской тематики и голословными утверждениями.
                                                                        Этак и я могу заявить, что лично вёл переговоры с самым главным сисадмином Известий о продаже БД сотрудников его газеты, а мои деловые партнёры приглашённые эксперты расскажут, как сложно-невозможно подделать данные, которые они понюхали, но их никто не видел.

                                                                        P. S.
                                                                        Кстати, до публикации этих новостей, многие ли знали о существовании Оганесяна, Ульянова и Zecurion? ;-)
                                                                        +4
                                                                        Из оригинальной статьи выдержки:
                                                                        В самом Сбербанке факт утечки опровергают, но эксперты полагают, что она может быть реальной.

                                                                        Новое предложение о продаже базы клиентов Сбербанка появилось на одном из теневых ресурсов 13 октября.

                                                                        А на каком именно? Никакой конкретики. Что за продавец такой? Типа журналистская тайна? Так под этим соусом что угодно можно наговорить. Типа «инмайдерская информация». Ага.
                                                                        База данных может быть реальной, а информация выглядит относительно свежей,

                                                                        Ну и всё в таком роде. В духе современной «журналистики». Главное кинуть темку, а люди уже сами порвут её в клочья, делая, конечно, точные прогнозы о том, как будут дальше развиваться события. Да и потом, вроде как законопроект готовят.
                                                                        Безусловно, всё может быть. И эта утечка, и 60 млн и прочее. Но вот на каждый маленький инфоповод, «подтвержденный» словами вроде «полагают», «может быть» и подобными реагировать — только нервы себе портить.
                                                                          +8
                                                                          Вот когда убьют тогда и звоните
                                                                          (с)
                                                                            0
                                                                            Мальчик кричал: «Волки! Волки!»…
                                                                            — В СМИ постоянно какие-то жареные новости, что очередная сенсация уже просто вызывает зевоту.
                                                                          0
                                                                          Хе-хе.
                                                                          На фоне реальных утечек сейчас разведется (скорее, уже развелась) уйма жуликов, желающих впарить «свежеслитые», то есть фальшивые, данные,
                                                                          товарисчей майоров, желающих такие данные прикупить,
                                                                          и представителей первой древнейшей профессии журналистов, желающих поджелтить тираж.

                                                                          Так что запасаемся попкорном и с интересом наблюдаем за этим броуновым движением.

                                                                            +3
                                                                            … но от Сбера лучше всё же держаться подальше.
                                                                            +1

                                                                            Пока ответственность сотрудников за это будет минимальна по нашему УК и пока за такие статьи УК будут освобождать по амнистии и УДО — сливы будут. Бояться то особо нечего.

                                                                              0
                                                                              Да введите вы хоть расстрел. Всё равно найдутся идиоты, уверенные в своём умственном превосходстве над СБ.
                                                                              Главная-то проблема — не в отсутствии безопасности (она есть), а в качестве персонала, который к этой информации допускается по служебной надобности. Эти люди выросли в то время, когда из каждого утюга вещают: «жить нужно шикарно», «у кого нет миллиона, тот идёт в жопу», «не думай ни о чём, что может кончиться плохо». Вот они и отрабатывают программу, зашитую в них рекламёрами и пропагандонами.
                                                                              Создавая такой информационный фон, кто-то ожидал другого результата?
                                                                              +2
                                                                              Сбербанк сейчас с головой погрузился в «бигдату» (как и Роснефть и прочие монстры) — то ли еще будет…
                                                                                0
                                                                                В большую(биг) сливу они погрузились. Вот такой компот.
                                                                                +3
                                                                                Из недавнего:

                                                                                Как обычно утром выношу мусор, захожу в отгордку (у нас такие пластиком обшитые по всему Питеру поставили) а там рядом с мусорным контейнером стоит коробка и вокруг россыпь сберовских карт (штук 80 или больше) и пакетов к ним с PIN-ами.
                                                                                Сказать что я офигел — ничего не сказать.

                                                                                Карты конечно оказались все просроченные. Но ребята, есть же шредер в конце концов.

                                                                                При этом отделение сбера у нас в соседнем блоке домов и, если бы они на свою помойку выкинули, то это была бы не та, на которой я эту россыпь карт обнаружил. Возможно, кто-то тиснул думая, что стаф полезный, но оказалось что там все просрочено. Однако коробки с картами (пусть и просроченными) не из любого банка может любой проходимец вынести.
                                                                                  0
                                                                                  Они так же и со старыми банкоматами поступают. Видел как то валялась целая гора, многие были ещё не раздербаненные. И на ютубе в ролики попадались от тех кто по металлоприёмкам ездит.
                                                                                    0
                                                                                    Ну на сколько мне известно все-таки карты перед перемещением на помойку по правилам банков пропускают через шредер (есть даже специальные модели со специальным измельчителем для пластика).

                                                                                    Так что мое предположение о том, что коробку с картами какой-то дурик дернул из офиса банка в надежде поживиться, а потом просто выкинул, когда понял что халява обломилась — оно имеет право на жизнь.
                                                                                      0
                                                                                      Карты хранятся в сейфе, каждая карта на балансе доп офиса, просто так их не тиснуть и не выкинуть. Это скорее всего были кредитки, те самые которые массово выпускаются, а потом девочка сидит и названивает всем, что карта уже выпущена — придите заберите!
                                                                                      Карты сначала проводятся, как к уничтожению через софт, а потом массово списываются с баланса филиала и «уничтожаются разрезом поперек магнитной полосы», но как всегда работы навалом. а шредер, тем более для пластика — это из рода несбыточных хотелок и фантазий, по итогу так и выкидывают по всей стране, авось прокатит.
                                                                                      Одно время ручки и бумагу покупали за свои, а Греф вещал о небывалых доходах сбера по телику. Блокчейн, биг дата, эджайл ага.
                                                                                        0
                                                                                        Да, примерно так все и должно делаться. Вопрос только в том как эта коробка с какими-то бумагами и кучей карт и конвертов с PIN-ами оказалась на помойке, причем не на ближайшей, а на находящейся на приличном расстоянии от офиса.

                                                                                        Как я вижу эту возможность. Карты (которые были выпущены и пролежали весь срок своего действия не будучи забранными) в ходе очередной ревизии просто выложили из сейфа, возможно даже провели в системе как удаленные, сложили в коробку (на уничтожением), но потом эту коробку оставили без присмотра и кто-то ее тиснул, позарившись на халяву.

                                                                                        Хотя могу допустить, то отнести на ближайшую они как-то постеснялись и именно потому волокли подальше.
                                                                                  +1
                                                                                  А вот интересно, со сбера утекает или ещё откуда, ведь сбер в какие только ведомства
                                                                                  не передает данные своих клиентов.
                                                                                  Или это типа шаг к обязательной биометрии?
                                                                                  Типа она всех спасет и все такое.
                                                                                  Тут сообщение пришло кстати, что поступает левый звонок, целью которого является заставить сказать «ДА» в процессе разговора, а потом с карты деньги уходят, никто не слышал, про такой прикол?
                                                                                    0
                                                                                    Слышали. Правда это или нет, неизвестно, но судя по всему да, так как с одного номера мошенники самыми разными способами пытаются вытянуть данные, пригодные для доступа в личный кабинет. И номеров таких сотни. В последние несколько месяцев подобные схемы активизировались.
                                                                                      0

                                                                                      Дожили, скоро на хабре будут обсуждать способы заряжать воду от телевизора.


                                                                                      Вам самому это бредом не кажется?

                                                                                        0
                                                                                        Это не бред, а закономерный итог, непродуманных решений.
                                                                                        +1
                                                                                        Мне регулярно позванивают какие-то разводилы. Сначала ставил белый список, но это неудобно. На автоответчике минута тишины. Так что возможно активизируются, если начинаешь с ними разговор.
                                                                                        Недавно поговорил:

                                                                                        — Здравствуйте, Имяотчество?
                                                                                        — Кто спрашивает? По поводу?
                                                                                        — Могу я услышать Имяотчество?
                                                                                        — По поводу?
                                                                                        — Что значит «по поводу» (грубо)?.. Имяотчество?
                                                                                        — С мошенниками не разговариваю. Всего наилучшего. Кладу трубку, добавляю номер в ЧС.

                                                                                        Как я понял, им надо услышать в ответ «да» или любое подтверждение соответствия номера телефона имени-отчеству.
                                                                                          0
                                                                                          Лучше вообще не брать тел с неопознанных, раньше еще была такая тема, что звонили типа опрос, целью которого было собрать определенные фразы или хз, что там еще, а потом ночью следовал звонок родным с подделанным голосом, типа это я сынуля случайно что то натворил, срочно дайте бабла, это еще много лет назад было, а тогда ещё так подделывать не умели, всё, как сейчас.
                                                                                            0
                                                                                            Я обычно отвечаю «возможно».
                                                                                          –4
                                                                                          Извините, а не будет слишком жестоким сказать, что людей, которые пользуются сбербанком, всё равно не жалко?
                                                                                            +6
                                                                                            Ну все бы ничего, но в замкадье есть 100500 мест где у людей просто нет выбора.
                                                                                              0
                                                                                              С чего вдруг то?
                                                                                                +4
                                                                                                Бухам проще добиться твоего увольнения, чем разбираться, как отправить деньги не в сбер.
                                                                                                  –1
                                                                                                  Шта? Там всей разницы — забить новые реквизиты в 1ску: р/с получателя, БИК, к/с КПП и ИНН банка.
                                                                                                  Всё. Чо там разбираться?
                                                                                                    0
                                                                                                    Это вы, уважаемый, с 1С плотно не работали.
                                                                                                    А там начнется — что платежное поручение по зарплатному проекту формируется одной выгрузкой, платежное поручение по всем остальным будет формироваться другой выгрузкой (и есть большой шанс, что на каждого особенного сотрудника это будет отдельная платежка), плюс по зарплатному проекту вы знаете наперед все комиссии и допрасходы, а тут их отдельно надо будет учитывать, проводить, считать…
                                                                                                      0
                                                                                                      В госкомпании зарплатный проект в сбере, потому что должны пользоваться картой мир, чтоб рапортовать об успехах мира.
                                                                                                      Поэтому идите и получайте свою карту мир, не задерживайте остальных, и так вас много с дурацкими вопросами, а у меня работа.
                                                                                                        0
                                                                                                        В госкомпании зарплатный проект в сбере, потому что должны пользоваться картой мир, чтоб рапортовать об успехах мира.

                                                                                                        Сбер и МИР — это вообще вещи ортогональные. МИР обязателен в бюджетных организациях, если вы про это. Сбер — нет.

                                                                                                        Но на эту хитрую задницу есть лайфхак — заявление на перечисление зп на р/с в желаемом банке.
                                                                                                        Потом привязываете к счету карту желаемой МПС, и всё.
                                                                                                          0
                                                                                                          В общем — да, но мне проще 2 раза перекинуть деньги между картами, чем ссориться с бухами: в 2 местах бухи честно говорили, что будет очень неудобно, в 1 — просто спросили реквизиты счёта.
                                                                                                            0
                                                                                                            Ну, это какие-то особенные бюджетные бухи. В коммерческих конторах у них проблем с перечисление в незарплатный банк нету.
                                                                                                    0
                                                                                                    При том, что отделений или хотя бы банкоматов других банков в радиусе ста верст тупо нет.
                                                                                                    Сейчас почта-банк пытается составить конкуренцию, но я даже не знаю что хуже.
                                                                                                      –1
                                                                                                      При том, что отделений или хотя бы банкоматов других банков в радиусе ста верст тупо нет.

                                                                                                      И?
                                                                                                    +1
                                                                                                    Некоторые банки (лично мне неприятные, правда) предоставляют услуги по доставке карт в любую точку страны с бесплатным снятием кеша через любые банкоматы и, надо признать, неплохим интернет-банком.

                                                                                                    Единственное, что часто людей принуждают (разумеется, не очень законно) подсаживаться на определенный зарплатный проект так, что бодаться с работодателем выходит слишком дорого. И пенсионеры. В этом случае да, жалко людей.
                                                                                                      0
                                                                                                      А кто в глубинке знает про эти «некоторые банки»? По ящику реклама — так там реклама на 99% того то доступно только «вомкадье» и отношение к этой рекламе именно такое — никто даже не пытается понять, что там рекламируют.

                                                                                                      А вот сбер — «да вон он на центральной улице нашего поселка» или «банк у нас только райцентре» и этот банк внезапно сбер.
                                                                                                        0
                                                                                                        >А кто в глубинке знает про эти «некоторые банки»?
                                                                                                        Что и отсылает к моему предыдущему комментарию.
                                                                                                  +1
                                                                                                  Одолевают меня сугубые сомнения, что база эта (судя по столбцам данных) была передана Сбером в какой-то оутсорсинговый колл-центр, для прозвона должников по кредитам. Откуда сия база и была слита. Это объясняет так же и наличие в ней голосовых записей.
                                                                                                    0
                                                                                                    Да думаю, тут сбер имя нарицательное, по ходу утечки всюду валом, просто сбер самый крупный и пожилые люди пользуются в основном им, а значит имеет смысл добыть его базу,
                                                                                                    был бы другой банк на его месте, то же самое бы было, потому дергаться бесполезно, надо просто с умом пользоваться, крупное там не держать, а юзать его для перелива всякой мелочевки, как впрочем большинство и делает. Да и вообще, все известно, что если самый короткий и удобный путь лежит, через минное поле, то большая часть пойдет именно, через него.

                                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                    Самое читаемое