В Сбербанке снова утечка данных — новая информация о клиентах банка выставлена на продажу



    Согласно информации издания «Известия», с 12 февраля 2020 года в даркнете появились новые объявления о продаже базы данных, в каждой строке содержащих такую информацию о клиентах Сбербанка: название банковского подразделения, полное ФИО, номер счета, паспортные данные, дата рождения и номер телефона.

    Один из продавцов рассказал журналистам «Известий», что у него есть информация о двадцати тысячах клиентах Сбербанка, он оценивает каждую строку из этой базы по тридцать пять рублей. Согласно дополнительной информации от продавца, у него есть возможность выгружать еще по десять тысяч новых строк о клиентах банка еженедельно.

    Как выяснили журналисты, большая часть продаваемых данных относится к клиентам финансового учреждения, проживающих в регионах с часовым поясом +5 UTC — в субъектах Уральского и Приволжского федеральных округов РФ. А в полученном ими на проверку тестовом фрагменте данных были клиенты банка, которые имеют счета или карты в Республике Башкортостан.

    Чтобы убедиться в подлинности данных журналисты проверяли мобильные телефоны через приложение «Сбербанк Онлайн», где при введении номера можно увидеть имя, отчество и первую букву фамилии пользователя. Шесть из десяти записей совпали, еще три оказались не привязаны к приложению, и в одном случае телефон продемонстрировал другое имя. По указанным номерам телефонов удалось дозвониться до четырех человек: все они подтвердили свое имя и дату рождения.

    «С высокой долей вероятности, это действительно клиенты Сбербанка», — подтвердил «Известиям» Ашот Оганесян, технический директор компании DeviceLock. Также Оганесян уточнил, что «новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают».


    Информация по этой утечке из Telegram-канала "Утечки информации". Скриншот фрагмента новой базы данных предоставлен для Хабра Ашотом Оганесяном.

    Судя по незакрытой информации из таблицы выше (по годам рождения и типу карт VISA Electron), большинство пострадавших от этой утечки являются пенсионерами. В Сбербанке факт новой утечки не подтвердили и не прокомментировали никакую информацию об этом инциденте.

    Вдобавок специалисты по информационной безопасности предположили, что у злоумышленников есть ограниченный доступ (через сотрудников) к информационной системе учреждения, который, возможно, ограничен лимитом скачивания в системе ИБ. Например, им нельзя сохранить на внешний ресурс более двух тысяч записей в сутки.

    14 февраля 2020 года Сбербанк начал проверять информацию от СМИ о новой утечке данных клиентов. «Ежедневно в сети появляются десятки сообщений с предложением продать базы данных клиентов различных банков и компаний. Мы проверяем любую подобную информацию, в том числе и ту, о которой идет речь в публикации. Там есть данные, ранее уже предлагавшиеся к продаже на теневом рынке и относящиеся к 2015-2016 годам. Сбербанк не являлся источником утечки этих данных», — говорится в сообщении пресс-службы Сбербанка.

    Скриншот с разными объявлениями за начало февраля 2020 года от одного продавца в даркнете, предоставлен для Хабра Ашотом Оганесяном.

    Ранее в октябре 2019 года были официально подтверждены два факта утечки персональных данных клиентов в Сбербанке. Первая утечка произошла из-за целенаправленных умышленных действий сотрудника самой кредитной организации, а вторая утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал Сбербанк, где также сотрудник агентства смог скопировать данные клиентов из общей базы.


    Пример отрывка из утекшей в 2019 году базы данных. Скриншот предоставлен для Хабра Ашотом Оганесяном.

    В начале ноября 2019 года сообщалось о появлении в продаже в интернете данных примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Представители Альфа-банка подтвердили утечку данных только пятнадцати своих клиентов.

    7 ноября 2019 года стало известно, что Роскомнадзор планирует ввести административную ответственность за незаконное распространение персональных данных и за их покупку и хранение. К весне 2020 года регулятор подготовит и вынесет на общественное обсуждение поправки об ответственности за покупку баз данных утечек украденных личных данных.

    В начале декабря 2019 года Герман Греф рассказал, что к 2023 году Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано».

    Комментарии 69

      +29

      К 2023 году, пока они создадут такую систему, все биты информации уже будут вынесены.

        +19

        А если серьёзно, мне не понятно, почему Роскомнадзор мешкает с серьёзным наказанием операторов ПДн. Я считаю, что даже за утечку данных ста клиентов нужно их сильно бить по рукам.

          +3

          Не буду тыкать пальцем в небо, в поисках возможно не связанных совпадений: https://74.ru/text/gorod/66491803/

            +2
            Причина по которой я отказался от кредки (а мне так усердно её предлагали), плюс карту в банке выдают без конверта (уже скомпрометированную), а потом предлагают застраховать карту… Совпадение?!
              0
              Кстати, когда в прошлом ноябре у моей тёщи увели деньги с карты и она пошла в сбер за расширенной распечаткой, ей предложили кредитку и застраховать её.
              0
              Развязка истории известна или пока нет?
                +4
                Мне больше интересно, как так Сбер исхитрился, что в СберОнлайне регистрируются с одного номера, но уведомления идут на другой, однако при этом почему-то на этот другой не приходят коды для авторизации в СберОнлайн.

                Это у Сбера так, или у всех, давайте обсудим, а?
                  0
                  Могу предположить, что к мобильному банку было привязано 2 номера (СИМ-карты), второй старый, который получил злоумышленник… Но опять же как злоумышленник узнал номер карты или логин? Или имея базу данных с номерами телефонов и карт, можно проверить наличие (уже освободившихся) номеров в любом салоне сотовой связи…
                    0
                    В Сбере есть возможность привязать дополнительный телефон, но Сбер говорит, что он будет использоваться только для связи в случаях, когда основной номер недоступен (и отдельно указывает, что уведомления на него приходить не будут).

                    Тогда, если верить вышенаписанному, отсутствие СМС с кодом для входа в СберОнлайн с нового устройства видится очень странным. Можно предположить, что в этом замешан ОПСОС (насколько я помню, были прецеденты, когда перехватывались СМСки с кодами для входа в Телегу), но лично я сомневаюсь, что кто-то бы пошел на такое ради не очень большой, по всей видимости, суммы денег (какой там мог быть лимит для кредитки, тысяч 50?).

                    Второе предположение — кто-то в Сбере мог изменить привязанный номер телефона и получить СМС с кодом на него. Но тогда получается, что после получения кода номер привязанного телефона был изменен на предыдущий (уведомления же приходили уже на него). В таком случае, появляется логичный вопрос — зачем возвращать старую привязку перед списаниями?

                    Также странным видится следующее: " Я начала звонить на номер 900 и параллельно хотела зайти в мобильный банк, но пароль уже был изменён, — рассказывает 74.RU Дарья Чиркова." Неужели, если войти в Сбер с нового устройства и задать другой код для входа (не такой, как на первом устройстве), код для входа обновляется и на первом устройстве? Возможно, она имела в виду онлайн-банк (с десктопа), но тогда получается, что злоумышленник имел доступ и к нему (иначе как бы он изменил там пароль?).

                    Короче, история, как по мне, очень непонятная. Попробую сегодня поэкспериментировать и проверить некоторые предположения.
                      0
                      Там под статьей был один злой комментарий на тему, что «понаставят на эти свои андроиды всякого барахла, а потом удивляются». Может и правда, дама соблазнилась каким-нибудь аппом, а тот помог угнать мобильный банк?
                        0
                        Да, думаю, это вполне возможно. Однако я не уверен, что Андроид в принципе позволяет именно перехватывать СМСки (т.е. делать так, чтобы стандартное приложение вообще их не получало), а не просто читать. Потому что вредонос, читающий СМСки и отсылающий их содержимое злоумышленнику, не объясняет отсутствие СМСки с кодом в стандартном приложении.
                          0
                          Потестил работу приложения.

                          Привязал дополнительный телефон — на него действительно (по крайней мере штатно) не приходят никакие уведомления, в том числе и СМС с кодом, даже если основная симка не работает.

                          При этом выяснилось, что код для входа действительно обновляется на всех устройствах, поэтому девушка не имела возможности зайти в приложение после того, как в него зашли с нового устройства.
                          +1
                          >>что в этом замешан ОПСОС
                          Предлагаю вариант — для сбера берем симку в… Сбере! (В некоторых регионах есть Сбермобайл).
                          И, в случае чего:
                          — Вот где симку получали, туда и ид… (здесь картинка с БСОД)
                          0
                          Во всех банка кроме Сбера где мне приходилось пользоваться мобильным приложением и ИБ такого — нет, если номер привязан — значит он привязан, надо сменить — меняйте. Если наоборот НАДО на другом устройстве получать коды и уведомления то либо пуши в мобильном приложении (в которое зайти один раз) (если есть для данного типа сообщений) либо что-то вроде Pushbullet'а ставить на устройства.
                            0
                            если я не ошибаюсь, то можно зарегистрировать карту на человека и привязать ее к своему номеру телефона. так получить доступ в онлайн-банк и там будут все карты. натыкался на нечто подобное у себя, но не уверен что правильно помню.
                              0
                              Не знаю как это работает, знакомой приходят смс по движениям средств одного товарища. Она в курсе когда ему деньги перечисляют и когда он что-то оплачивает. Симка МТС подключение в августе прошлого года. Номер же должен быть после «отстойника»
                                0
                                О как. Вообще, отстойник сам по себе не является гарантией чего-либо. Это только чтобы отвалились знакомые, временно потерявшие контакт. А вот для коллекторов и банков отстойник ничего значит.

                                Другое дело, что у банков (не у всех, правда), есть привычка проверять смену SIM. Получается, что Сбер этого не делает.

                                Но приходят только сведения об операциях? А коды подтверждения платежей приходят?
                                  0
                                  Немножко офтопика.

                                  Мне на мыло регулярно приходят электронные чеки из ОФД. По покупкам, которые я не делал.

                                  Сначала паниковал, а потом понял, что какая-то альтернативно одаренная гражданка просто указала email для чеков от балды. Что интересно, для удаления адреса из базы пробовал обращаться в интернет-магазин (нет, идите в ОФД) и в ОФД (нет, идите в магазин). Замкнутый Уроборос, одним словом.

                                  Зато теперь каждый месяц наслаждаюсь списком белья и косметики, которая эта дама покупает. С ценами и размерами :) Главное, чтобы жена эти письма в ящике не увидела — не поймет…
                                    0
                                    кодов для входа и подтверждения операций не приходит.
                                    Зато есть оповещения о приходе средств, покупках в магазинах, снятии в банкоматах. А еще приходило смс с предложением оплатить счет за газ, для этого в смс был код.
                                    Если не путаю, то номер блокируется оператором через 6 месяцев неактивности. Потом еще какое то время он выводится из пула доступных адресов. И за все это время товарищ не не отвязал старый номер?
                                0
                                Из текста и скриншотов я не понял, как отключение Мобильного банка приостановило переводы через Сбербанк.Онлайн (к тому же с кредитки нельзя переводить деньги)?
                                  +2
                                  Т.е. как — в Сбере с кредитки нельзя делать переводы? Это вообще тогда хит сезона.

                                  ps. отключение мобильного банка могло помочь, так как, судя по всему, орудовали личности, не знакомые с десктопом — вы ж видите, что регистрировались из мобильного аппа на айфоне. Как только перекрыли кислород мобильному банку, тут все и сдулось.
                                    0
                                    Уже лет 10 как. Так это хит не этого сезона :)
                                      0
                                      Уже больше года можно с кредитки перевод в сберонлайн сделать. Комиссия правда дикая.
                                      0
                                      Т.е. как — в Сбере с кредитки нельзя делать переводы? Это вообще тогда хит сезона.

                                      В Альфе с кредитки тоже переводы делать нельзя (именно переводы а не платежи), при этом нал (на актуальных картах) снять можно без процентов если меньше 50к
                                      0
                                      а вот кстати интересно, что там смс «оплата». не перевод
                                      0
                                      Не известно. Больше про эту женщину ничего не писали.
                                        0
                                          0
                                          Стало ещё запутаннее, как у неё телефон то увели.
                                          P.S.
                                          а комментаторы там — добрейшие люди…
                                      +27
                                      У РКН совершенно другие цели и не для этого он создавался
                                        +2
                                        image
                                        Если коротко, утка мне ответила так.
                                        Например, конкретно наша мед.организация уведомила РКН о том, что мы обрабатываем ПДн и раз в год приглашают на форум где рассказывают о том, как важно защищать ПДн и чем грозит плохая защита.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            0
                                            РКН должен заниматься источниками персональных данных, поступающими к спамерам. А антимонопольщики уже работают по незаконной рекламе.
                                        +16

                                        Вот если бы с какого-нибудь мелкого сайта утечка произошла, то Роскомнадзор был бы тут как тут, но тут-то Сбер: надо молчать в тряпочку и поддакивать Грефу.

                                            0
                                            Спасибо, прочитал.
                                              +4
                                              Смешная картинка

                                                +1
                                                Ну и вишенкой на торте:

                                                +2
                                                Обычно информация об утечках появляется во времена медийного прессинга Грефа. Например, как средства публично «подсветить» его косяки перед оппонентами, для использования в межклановой борьбе. РКН просто туда не лезет, не их война. Это и мешает :)
                                                  –3
                                                  Сбер не купил у Оганесяна его замечательную бесполезную шнягу под названием DeviceLock.
                                                  С тех пор Оганесян мочит Сбер через жёлтушный КоммерсандЪ, а теперь ещё — через Известия.
                                                  Совпадение?

                                                  Кстати, вот вам ещё одно совпадение.
                                                  Вот уже 25 лет масс-медиа (реклама, сериалы, шоу и пр.) усиленно долбят людям мозг образом успешного человека: главное — сколько у тебя бабла, и неважно, как ты его получил. Нет денег — ты лошара.
                                                  Детишки, впитавшие всё это, уже выросли и пришли на работу. В том числе — и к тем, кто усиленно воспитывал их, как тупых и жадных до денег потребителей. Хорошо ещё, что не все родители отдали воспитание детей телевизору и Интернету.
                                                  А теперь рекламодатели работодатели офигенно удивляются: почему это стадо эти люди не включают на работе режим умного, добросовестного и лояльного сотрудника?

                                                  И ведь в голову этим «хозяинам жизни»не приходит, что люди, которых они воспитали, требуют не только гораздо больших вложений в инфобез, но и другого принципа работы с данными. Тут всю систему менять надо. (С)
                                                    0
                                                    Давайте на секунду представим, что это правда и я «обиделсо» на Сбер. Значит ли это, что баз клиентов Сбера нет в продаже и их клиентам не звонят постоянно мошенники?

                                                    А теперь представим (и это правда, в отличии от первого утверждения), что наш продукт не купили еще в 100500 компаниях по всему миру. Порождает ли это еще какие-то «совпадения» в Вашей голове?
                                                      0
                                                      Разумеется, не значит. Негодяи есть в любой организации, их не с Марса завозят.
                                                      Ещё как «обиделсо», и два минуса разом с двух аккаунтов (в том числе, и в карму) говорят мне, что Вас легко обидеть.

                                                      Вторая часть моего комментария — не о Вашей компании, а обо всей капиталистической системе, воспитывающей алчных и безмозглых потребителей. Но Вы этого не поняли, ибо обидка глаза застит.
                                                  0
                                                  Потому что штрафы прописаны в КоАП. Штрафы за нарушение 152-ФЗ просто мизерные (50 тыс. руб. для юр.лиц), на РКН можно просто класть болт, не понимаю, чего его все боятся:
                                                  Ответственность за нарушение закона о персональных данных
                                                  www.garant.ru/actual/persona/otvetstvennost
                                                  Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
                                                  на юридических лиц – от 25 тыс. до 50 тыс. руб.
                                                  Часть 6 ст. 13.11 КоАП РФ
                                                  +1
                                                  как оштрафовать сбербанк за утечку, если «нельзя хранить и получать доказательства»?
                                                  последнее предложение забавное — значит до 2023 «можно вынести и не один бит информации не санкционировано»
                                                    0
                                                    Вот в Киеве — вводят электронный ученический (попутно проездной) билет. С функцией слежки за перемещением дитяти с использованием муниципального транспорта, фоточкой и прочим. И всем по барабану, радостные «предки» с готовностью всё присылают. И ещё «первый раз бесплатно», а потом нехило нажиться на потерянных — вполне план :).
                                                      +4

                                                      А в чём, собственно, проблема, вы можете уточнить?

                                                        +2
                                                        Поддержу вопрос.
                                                        В РФ тоже есть, скажем, льготные пенсионерские проездные. Статистику с которых тоже можно отслеживать. Т.е. рисовать граф поездок, например. Мне интересно: кому кроме Московского метро (для регулировки трафика) нужна эта инфа?
                                                        Допустим, киевские родители могут видеть, через какой турникет в данный момент прошел их ребенок. Ну норм. А что дальше?
                                                          0

                                                          Самая странное что именно метрополитену оно полезно только на 50% т.к. Ему бы хорошо иметь данные о входе, выходе и станциях пересадки, но турникеты только на вход. А дип. трансу в принципе, для наземного транспорта, эта информация ещё более важна.

                                                          0
                                                          Люди с детства привыкают к тотальной слежке.
                                                          +2

                                                          С проездными катаются и ничего

                                                            0
                                                            Да небось, как у нас с питанием сделают — Mifare Ultralite заюзают.
                                                            Клонируем на китайскую карту, оригинал храним дома.
                                                              0

                                                              Ну так в Москве уже давно…
                                                              И не только проезд но и пересечение турникета в школе, вот с физкультурой только как то не продумали, выход там через другую дверь :)

                                                              +4
                                                              Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано»

                                                              А зачем выносить? Прямо оттуда будут продавать;-))

                                                                0
                                                                Вы не поняли всю суть выражения
                                                                с 2023 года выносить биты информации уже будут исключительно санкционировано. А всех кто левачит обязательно отсеят! :)
                                                                0
                                                                «Хороший банк» — терминалы лагают, не все купюры принимают, зачисление денег происходит спустя некоторое время. (Сбербанк Казахстан, думаю что в РФ так же)
                                                                  0

                                                                  думаю, нет. давно с таким не сталкивался

                                                                  +1
                                                                  Это уже даже и не смешно, к сожалению…
                                                                    0

                                                                    Больше настораживает фраза о выгрузке дополнительно 10к записей в неделю. Доступ к телу продолжается, я так понял?

                                                                      +3
                                                                      Думается мне, с апреля 2020 до середины 2021 года Сбербанк будет очень даже неслабо лихорадить от всяких сообщений об утечках, сбоях, кражах и прочих убытках. А потом всё станет очень хорошо.
                                                                      Ибо закроют сделку с ЦБ и начнут приватизацию Сбера. А нужные люди не хотят много денег тратить на покупку и к этому моменту надо будет Сбер обесценить.
                                                                        0

                                                                        Есть мнение, что владельцы большого пакета, готовы продать его по стоимости оферты от ЦБ и т.к. это будет выгодней чем реализация на рынке, т.к. покупателя на большой пакет по текущей цене нет :) но это лишь мнение.

                                                                        +1
                                                                        большинство пострадавших от этой утечки являются пенсионерами

                                                                        Торговать данными уязвимых (в силу возраста и необразованности в вопросах безопасности) людей, которых и без того государство нагибает, как может… По-моему, это очередное пробитое дно морали.

                                                                          +2
                                                                          К таким торговцам неприменимо слово «мораль».
                                                                            +1
                                                                            Мораль рыночек порешал.
                                                                            0
                                                                            Сбербанк уже ответил, что это старая утечка.
                                                                              +5
                                                                              И вообще это совсем не утечка — данные же в Сбере остались, никуда не исчезли, так что всё ок.
                                                                                +2
                                                                                И вправду — надо Грефу объявить «Все данные у нас на месте!».
                                                                                0
                                                                                Старая или новая значения не имеет. Важно только уязвимы пользователи с утёкших данных или нет.
                                                                                  +1
                                                                                  Зато можно отмазываться — это всё раньше было, а сейчас у нас ого-го!
                                                                                0
                                                                                Лишний раз нам намекают в какой банк лучше не соваться.
                                                                                  0
                                                                                  Вот это дыра. Никогда такого не было и вот опять.

                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                  Самое читаемое