У Сбербанка утекла адресная книга 421 000 сотрудников банка и дочерних структур

  • Новость
Неизвестный выложил в открытый доступ на форуме phreaker.pro базу данных сотрудников Сбербанка. Поля в БД:

  • ФИО
  • Логин во внутренней системе (совпадают с адресами электронной почты)

Утечка представляет собой текстовый файл размером около 47 мегабайт, в котором содержится свыше 421 тыс. записей, пишут журналисты «Коммерсанта», скачавшие базу. Они обращают внимание, что количество записей в БД превышает количество официальных сотрудников Сбербанка по данным МФСО на конец первого полугодия 2018 года. Тогда она не превышала 300 тыс. человек.

«Коммерсантъ» предполагает, что в базе могут содержаться данные о некоторых (не всех) уволенных сотрудниках, а также сотрудниках дочерних организаций. По базе можно пробить подразделение, в котором числится каждый из них.

Поверхностная проверка подлинности подтвердила аутентичность базы. В частности, там указаны три правильных адреса электронной почты президента банка Германа Грефа. Подлинность базы подтвердил один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка.

В пресс-службе Сбербанка также сообщили, что там известно о публикации части адресной книги сотрудников. Опубликованная информация «не представляет никакой угрозы автоматизированным системам и клиентам», заверили в банке. Она доступна всем сотрудникам Сбербанка и «не несёт угрозы раскрытия их персональных данных», подчеркнули в пресс-службе банка.

О проблеме уже доложили Герману Грефу, который выразил своё недовольство, сказал источник «Ъ» в банке.

Справедливости ради нужно согласиться, что на phreaker.pro публикуют очень много более чувствительной персональной информации от других компаний и госструктур. Конфиденциальная информация зачастую лежит в бесплатном доступе, как и адресная книга Сбербанка.
Поддержать автора
Поделиться публикацией

Комментарии 59

    +1
    421 тысяча сотрудников…
    4 сбербанка равны вооруженным силам.
      +8
      Один сбербанк больше чем apple и microsoft вместе взятые.
        +14
        Сравнение только отчасти корректное.
        Подозреваю, что наибольшая часть сотрудников сбера приходится на 'розницу' (персонал местных отделений).
        Про розницу MS мне неизвестно, но если взять Apple (123 тысячи сотрудников, 500 магазинов) и Сбер (421 тысяча сотрудников, 17493 (!) отделений) то Сбер еще и эффективной компанией может представится.
        Но масштаб, конечно, поражает: 0,5% трудоспособного населения страны.
          0
          Вот только толку от него меньше как будто. Или я сравниваю теплое с мягким?
          +1
          Не факт что столько именно сотрудников — учитывая вводные (только ФИО + Логин / почта) это не реальные люди, а именно записи в домене, а у одного человека их может быть несколько, например, за счет переброски сбертех-сбер. Плюс достаточно часто сотрудники подрядчика тоже получают внутренние аккаунты (а иногда из-за бюрократки с отдельными договорами и несколько), плюс у Сбера несколько отдельных сетей с независимыми аккаунтами (возможно, те самые три почты Грефа)
            0

            Да, у многих сотрудников Сбера (не операционистов) стоит на столе по два компьютера, подключенных к физически разделённым разным сетям. Из одной, «внешней» сети, есть доступ в Интернет, из другой, внутренней — нет. Один из способов обмена данными между сетями — пересылка электронной почты между двумя адресами почты одного человека из разных сетей. (Бррр)
            Так что да — у каждого минимум по два e-mail'а. Сотрудникам подрядчиков выдаются почты либо в одной, либо в другой сети со всякими странными суффиксами.

          +2
          ссылку не могу найти.
          здесь есть ссылка
          но на уже невалидна

          есть линк у кого?
            0

            Тоже хочу глянуть на структуру LDAP.

              –1
              +1
              Тоже это интересно. Можно в личку ссылочку, а то не хочется по торрентам ходить :)
              +2
              Есть в телеграмме t.me/netstalkers ( не реклама. можете не подписываться ) скачать и выйти.
                0
                Структуры LDAP в файле нет. Судя по названию домена — это «внешний» домен, используется для почты вида логин@sberbank.ru. Соответственно возникает вопрос — это внутренняя утечка или хакеры постарались.
                И да, или база старая, или что более похоже на правду, там логины и уволенных сотрудников.
                  0
                  Там указан внутренний домен sigma.sbrf.ru и есть CanonicalName, этого достаточно.

                  А судя по type information в заголовке файла — кто-то просто выполнил Get-ADUser на доменном компьютере (с правами админа для установки RSAT).
                    0
                    Сигма как раз «внешний» домен, т.е. тот который связан с интернетом. Есть еще куча «внутренних» доменов, которые с интернетом никак не связаны. В принципе, физическое разделение сетей в Сбербанке хоть и затратное, но достаточно надежное.
                    кто-то просто выполнил Get-ADUser
                    а вот кто — мне интересно. СБ СБ я думаю тоже))
                +5
                опубликованная база персональных данных не несёт угрозы раскрытия персональных данных — отлично, чо
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    «Голые» ФИО сейчас по законодательству не считаются ПД, так как неоднозначно указывают на человека. А в дампах кроме ФИО и логина (который на таких масштабах скорее всего создается вчистую из ФИО, а-ля name.in.surname@sbrf.ru) больше ничего нет.
                      +1
                      Это не просто ФИО, а ФИО+место работы, что согласно 152-ФЗ попадает под
                      персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу
                        0
                        Спасибо за информацию. Значит, был неправ.
                          +1
                          ФИО + Место работы + почта = уже что-то
                  • НЛО прилетело и опубликовало эту надпись здесь
                      +6
                      Угрозы не несёт. Вот теперь только это отличная база для злоумышленников в части фишинга, например.
                        +1
                        Через пару недель шум уляжется и тогда… Как раз конец какого-нибудь отчетного периода будет :-)
                        +6
                        Ну что вы, скрипты из внешних источников в личном кабинете полностью безопасны, говорили они.
                          –10

                          Что ж, теперь мы все можем легко узнать всех этих прекрасных людей, которые "вот где вам карту выдавали, туда и идите". Отличная база для люстрации.

                            –1
                            "вот где вам карту выдавали, туда и идите"

                            Эта искромётная шутка протухла как минимум лет пять тому назад. Бросьте бяку!

                              +1
                              Не протухла. Не далее как месяц назад жену так отправили за новой карточкой
                                0
                                По звонку отделение, к которому прикреплен клиент, меняется.
                                  +1
                                  Судя по новостям не совсем так. Надо прийти в другое отделение, там написать заявление на перевыпуск карты в этом отделении, подождать пока карту еще раз выпустят и сходить ее забрать
                                    0
                                    Это если карту уже выпустили. Позаботьтесь заранее о смене филиала и карта придет в нужный.
                                      +1

                                      То есть отмазка, — "вот где вам карту выдавали, туда и идите", — теперь звучит как, — "вот где вам карту выдавали, туда и идите ЗАРАНЕЕ"? — Это, конечно, сильно меняет дело!

                                        0
                                        Нет. Отмазка теперь звучит как: «когда видите, что срок карты истекает, позвоните и сообщите куда вам доставить новую».
                                          +1
                                          При этом другой банк (не буду называть) когда срок карты подходил к концу прислал мне смс-ку «У вас скоро кончится срок действия карты и мы будем делать новую. Сообщите нам устраивает ли вас, что она отправится по адресу (...), где вы получали предыдущую.». И реально звонком адрес можно было поменять.
                                          Сбер же почти за 2 месяца до окончания карты просто написал «Ваша карта выпущена. Забирайте»
                                            +1
                                            Да у нормальных банков вся Россия — одна область, а не куча маленьких, между которыми переводы с комиссией. А-то я хотел в другом регионе прийти подтвердить свои данные, чтобы иметь возможность открыть металлический счет. Но нет, это невозможно у Сбербанка в 2018 году.
                                              0
                                              между которыми переводы с комиссией
                                              вы говорите, как о чем-то плохом (с точки зрения банка)
                                                +2
                                                Для банка это плохо, например, тем, что я не пользуюсь его услугами, а пользуюсь услугами другого банка.
                                0
                                Нет, не протухла, все еще актуальна. Как минимум если карта выдана в другом регионе. А если карта еще и валютная, то вообще тушите свет.
                                  0
                                  Работал в федеральной компании, выдали карту московского сбера(получал сотрудник организации по доверенности и отправляли с курьером)… решил сохранить после увольнения… это была песня… то что три разных операциониста выдали мне разную информацию с разными сроками — это для сбера нормально… но, как итог, выяснилось, что если хочешь получить карту в другом регионе надо приходить и писать заявление не раньше, чем за 30 дней до окончания срока карты(или перевыпустят с тем же сроком действия)…
                                  А главное, первый раз это был для меня шок, когда после принятия заявления действующую карту взяли у меня из рук и разрезали… К этому я был совсем не готов…
                                  До сих пор не понимаю, для чего.
                                  Сервис а-ля сбербанк…
                                  Это была рублевая карта). Боюсь представить, что может быть с валютной… но проверять не хочу )).
                                  +1
                                  Шутка протухла, жаль, что вместе со Сбером — повод для шутки ровно там же, где и во времена её молодости. В теории всё хорошо, а на практике не очень.
                                  +2
                                  Отличная база для люстрации.

                                  Если сольют базу сотрудников какого-нибудь фейсбука, вы их тоже пойдете люстрировать, ведь они слили все ваши данные АНБ и ФСБ, или это ДРУГОЕ?
                                    0
                                    Если сольют базу сотрудников какого-нибудь фейсбука, вы их тоже пойдете люстрировать

                                    Ну… Фейсбуковцы не крали моих денег и денег близких мне людей путём "заморозки" вкладов накануне принудительной инфляции. Они не говорят, — "мужчина, не видете, у нас ОБЕД", — и, — "вот где вам карту выдавали, туда и идите" и не выедают мозг, — "у вас нет нашей карты? как так? А давайте заведём! (а иначе не примем ваш платёж)" — при каждой оплате какой-нибудь коммуналки или налогов. И тд и тп. Зачем их люстрировать? Люстрировать надо профессиональных хамов и непрофессиональных работников. Для меня фейсбуковцы в подобном качестве пока не засветились.


                                    ведь они слили все ваши данные АНБ и ФСБ

                                    Ээээ? Возможно, фейсбуковцы и слили фотки моих котиков в АНБ и ФСБ, но я ведь котиков туда именно для этого и пощщу. Чтобы их любой желающий мог "слить". А вот деньги в сберкассу я клал вовсе не для того, чтобы непонятно кто мог их "слить".


                                    или это ДРУГОЕ?

                                    Ну, сами смотрите, другое или не другое. Если сотрудники фейсбука слили ваши данные АНБ, ФСБ, МИ-5, Моссаду и тд, а вы этого не хотели, то, разумеется, имеете полное право их ненавидеть. Но при чём здесь я?

                                  –7
                                  Что-то мне подсказывает, что без Яндекса тут не обошлось… Сбербанк и власти своими разговорами о покупках крупных пакетов акций «опустили» Яндекс больше чем на ярд баксов… Такое прощать нельзя… В Яндексе грамотных «программистов» не мало. Пишу, а по радио сообщение, что бумаги Яндекса поднялись на 7%. (29 октября 2018г).
                                    +3

                                    Люблю теории заговора. Особенно со словами "такое прощать нельзя"!


                                    Смайлик

                                    0

                                    Не удивился даже. Эти данные и так сторонним разработчикам шарятся, так что утечка хрен знает откуда могла пойти.

                                      +2
                                      А где рабочая ссылка-то?
                                        0
                                        Все боятся НЛО.
                                        Хотя если «не представляет никакой угрозы автоматизированным системам и клиентам», то и не страшно.
                                        +7
                                        Вспомнилось высказывание Грефа, что в стране слишком много программистов и математиков…
                                        Как тебе такое, Герман Греф?
                                          0
                                          Вполне возможно, что это и есть дело рук какого-то недобитого зловредного программиста и математика
                                            0
                                            Какая специальность у него в дипломе: как у премьер-министра, юрист?
                                              0
                                              Вспомнилось высказывание Грефа, что в стране слишком много программистов и математиков…


                                              Ну всё верно же — «у семи нянек — четырнадцать сисек дитя без глазу!»
                                              0
                                              Сначала понавнедряют в интранете мессенджеров и корпоративных социальных сетей, а потом глазищами хлопают.
                                                +1
                                                Куда там мессенджеры и интрынеты — всё проще в разы!!! Слушайте сюда — Давече подходит ко мне один эффективный и говорит, «а что это я в аутлуке не вижу HQ и другие континенты? Это же так не удобно». На что я ему ответил — «мне еще только этой ответственности не хватает, любая офисная курица при наличии навыков сливает весь контент адресной как два пальца обосс байта отослать, потом этот контент гуляет по всему миру и делает нехорошие вещи, а добавить фраера с того берега моря можно и ручками в персональный лист». Призадумался эффективный, но таки согласился.
                                                +1
                                                Самая технологичная контора в стране потеряла базу сотрудников…
                                                  +1
                                                  Пользуясь их банкоматами, у меня язык не поворачивается назвать контору технологичной. О других сервисах один негатив, начиная от списания левых сумм и некомпетентных невежественных курицах в рко.
                                                    0
                                                    Полностью согласен.
                                                    Писал как то им пару лет назад обращение… мол снял в их банкомате сумму, а в СбербанкОнлайн ерунду пишет. Они ответили что они не могут корректно отображать информацию о снятии с чужих банкоматов)))). Почему даже банки городского значения могут — а федеральный, даже международный банк — нет…
                                                    +1
                                                    В каком, простите, месте Сбер* — самая технологичная контора???
                                                      0
                                                      Грефа послушайте, он вам расскажет)
                                                    +3
                                                    Очень жаль, что она никому не нужна. Этим мусором весь даркнет завален
                                                      –2
                                                      Если БД работников утекает в свободный доступ, то что говорить об утечках клиентских данных? Такое ощущение, что ИБ в банках реально не работает, а только создает ИБД и потребляет бюждет в огромных количествах, а также портит жизнь обычным операционщикам. Вообще эти ИБ-шники очень зависимы от настроения — могут и на потенциальную утечку смотреть сквозь пальцы, а могут и за левую флэшку поднять бурление до CEO.
                                                        0
                                                        Был недавно в офисе Сбербанка в Екатеринбурге, у рецепшена стоит терминал, а в нем справочник сотрудников с телефонами (емаилы не помню) с поиском.
                                                        Там фио. должность, отдел и т.п.
                                                        Мне показалось, что там не только Екатеринбург был, возможна эта база и утекла.

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое