У Сбербанка утекли данные о 60 млн клиентов с кредитками

Развитие событий: Мошенники придумали способ монетизации старой базы "Билайна" — авторизация в финансовых сервисах через голосовой "второй фактор" (10 октября 2019)

Сбербанк сделал официальное заявление:

Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.

В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.

Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.

Утечка ПД Сбербанк

Ранее основатель компании DeviceLock Ашот Оганесян обнаружил на специализированном форуме предложение о продаже базы с данными по 60 млн кредитных карт Сбербанка (действующих и закрытых). Эксперт изучил предоставленные продавцом демо-материалы и убедился, что, по крайней мере, 240 предоставленных записей содержат данные реальных людей, владельцев карточных счетов в Сбербанке. Затем Оганесян обратил внимание "Коммерсанта" на лот. Как убедились и журналисты, данные о сотрудниках редакции в базе тоже совпали с реальными. В базе нашлись сведения о местах работы корреспондентов (в том числе менявшихся за последние 3 года), номера телефонов и карт, данные об операциях и другие верные сведения.

Продавец, получивший бесплатную нативную рекламу в одной из главных газет России, оценивает стоимость одной записи в базе в 5 рублей.

Собеседник "Коммерсанта", близкий к "Банку России", изучил демонстрационные материалы продавца и уверенно заявил, что по крайней мере строки в демо-материалах, представляют из себя "выгрузку базы" Сбербанка. Версию подтвердили специалисты по информационной безопасности:

Информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, "на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы".

Ашот Оганесян считает, что в продажу на "чёрный рынок" (доступ на форум заблокирован Роскомнадзором) впервые попала "самая большая и подробная база" банковских данных — "набор полей действительно поражает". Эксперт считает, что последствия именно этой утечки окажутся чувствительными для всей отрасли.

В июне 2019 года DeviceLock обнаружила в интернете базу с данными конкурирующих Альфа-банка, ОТП-банка, ХКФ-банка, в базе оказались сведения о 900 тыс. россиян.

Проверками займутся в Роскомнадзоре, ЦБ и, вероятно, в правоохранительных органах. Если в базе найдут данные резидентов или граждан Еевросоюза, банку, по закону о GDPR, придётся уведомить об утечке Еврокомиссию (с весны 2018 года, за небрежное отношение к пользовательским данным, утечки, нарушения регламентов обращения ПД европейцев — бизнес наказывается штрафом до €20 млн или изъятием до 4% годового оборота, европейские правила экстерриториальны).

Лучшие комментарии

  • Контекст комментария

    Игорь Ашманов Сам себе компания

    Мне вообще кажется, что это информационная атака, а не кража данных. Атака, естественно, совмещённая с кражей данных для нужд атаки.

    Ашотик ещё такой милый. Увидел! На форуме! Побежал в Коммерсант глубокой ночью! Дал комментариев! Быстрее, быстрее, быстрее дайте мне мои 15 минут славы!

    Интересно, приходила ли ему в голову мысль сначала позвонить или написать в Сбер? Думаю, нет.

  • Контекст комментария

    Ashot Oganesyan

    Как это трогательно — Игоречек опять видит «информационные атаки» и сражается на фронтах информационных войн.

    К сожалению, это не «информационная атака», а паническая атака и не у Сбербанка, а у Игорька.

  • Контекст комментария

    Юрий Синодов Roem.ru

    Чтоб это была именно информационная атака необходимо чтобы внутри Сбера сидел атакующий и на те запросы, которые ему дают журналисты, давал верные ответы.

    Как минимум.

    Я не сильно понимаю, чем описанная мной сейчас ситуация сильно лучше того, что доступ к БД Сбера имеет хрен поймёшь кто.

Добавить 70 комментариев

  • Ответить

    Версия у Сбербанка не только «основная», она ещё и достаточно комфортная для Сбера из множества возможных.

    «Умышленные преступные действия одного из сотрудников». Почему одного, а не ОПГ из нескольких сотрудников? Почему преступные… На преступника и упадёт вся ответственность? А не халатные, например, где за сотрудником недосмотрели те, кто заведует регламентами в Сбере. Или просто, такое же тоже бывает — сотрудник был очень тупой, за что не судят вообще. И его самого развели третьи лица. Тут вся полнота ответственности падает на безопасников, кадровиков и it-шников банка.

    Ещё одна загадка века: зачем продавать базу, стоимостью 300 млн рублей, настолько демонстративно целиком? Очевидно же, что такой жирный лот привлечёт слишком большое внимание к себе, а состоятельных покупателей на него может и не найтись. Вместо того, чтобы продавать нужные мошенникам, социологам и антропологам данные по частям. Не особо выбиваясь за рекордные 900 тысяч записей (их оказалось недостаточно, чтобы даже в подконтрольном ЦБ банке люди обратили внимание на угрозу утечек).

  • Ответить

    Кто может вообще объяснить, какой ещё Роскомпозор запретил(!) и что именно запретил.

    Новость эпическая. Ещё одно доказательство, что только биткоин по-настоящему защищен от такой хрени.

  • Ответить

    Зачем продавать базу? Иван Ильин, тут же даже если не продашь, то получишь постоянников на мелкие сливы.

    Такой лот прежле всего служит рекламой продавца: можно купить всё. Уверен, что информаторы все на местах, сольют может какого зашкварившегося.

  • Ответить

    >Ещё одна загадка века: зачем продавать базу, стоимостью 300 млн рублей, настолько демонстративно целиком?

    Может задача не продать базу, а макнуть Грефа или тех, кто безопасностью в сбере занимается? Грубо говоря, сбер пользуется условным searchinform, надо Infowatch или наоборот.

    Бороться с сохранностью ПД глупо, чем дальше, тем больше. Все что реально нужно сделать, это так, чтобы обладание какими либо данными не могли привести к неправомерным действиям, а если бы и привело, то чтобы это легко можно было расследовать.
    В будущем не будет никаких ПД, все будет прозрачно, так зачем писать против ветра и сопротивляться будущему?

  • Ответить

    это просто следущий этаж закономерных процессов. Все уже украдено до нас, в ход пошли нематерьяльные активы.
    Перспектив тут масса — как реализация занитересованным лицам на чоррном рынке, так и просто например шантаж владельцев данных, порча репутации руководителей и организаций и так далее и тому подобное.
    В условиях, когда уже герой на герое (закрытыми указами) сосредоточились на верхушечке, неудивительно, что у 7777 нянек дитя не только без глазу. но и без остальных многих органов и частей тела.
    Также есть смысл стырить персданные «дитя». А чо? Собсно, факты кражи всего и вся везде и всех — уже не удивляют никого. Только гомерические цифры и количества еще могут привлечь к новости пресыщенную публику.
    Либо это просто под Греффа копают. Ибо процесс пошел, судя по лихорадочным награждениям друзей и знакомых. Ведь в случае ахтунга высокая награда — какая никакая уважительная причина на суде, также есть и ежемесячная доплата + без очереди можно в парикмахерскую. От триллиардов до нуля — процесс может быть неожиданно быстрый. И никакие инновации не помогут в портфолио.

  • Ответить
    Анатолий Орлов AliExpress Россия, ex-Ozon.ru, ex-Яндекс

    > демонстративно целиком
    На самом деле с этой базы невозможно кэшом состричь 300М рублей, карты заблокируют и перевыпустят все равно, а вот со сбера состричь 300М рублей, чтобы база не попала никуда кроме как обратно в сбер вполне можно.

  • Ответить

    Вот так и рушится прежняя система, а на ее место приходит другая, децентрализованная, деэгоизованная, которая не замыкается на человеческие пороки.

  • Ответить

    осбоенно юморно это читается вкупе с соседней новостью про давешние глыбокомысленные диалоги Грефа и И.С. об авторитарных рейхах, кои способствуют инновациям ))))))))))
    Все инновации за последние лет 20 — это что везде (банки, НПФ, корпорации, продукты питания, международное положение и т.п.) — одна сплошная дыра.
    Какие там блокировки телеграммов через DPI и война со всем миром с помощью неограниенных гиперзвуковых непредсказуемых ракет? Куды? Куды с суконным рылом то?
    Цыплят уже пора начинать считать, темболее осень. Еще в августе я поражался, что курица-гриль в европе 130 руб. стоит, а в московском супермаркете — 230 руб. Так она (курица гриль) уже тамже стоит 299 руб.!!! (что объяснимо, поскольку цыплята и яйца бройлеров 100% поставка по импорту).
    А тут грезы про какието китайские файрволлы. Кстати, основная часть резервов размещена теперь в Китае (видимо, в залог за обеспечение огромного долга).

  • Ответить

    Конечно, биткоин защищен. :)

    Следить за каждым персонально — это можно сколько угодно. В битке нет централизованной базы всех аккаунтов, т.е. попросту нечего красть.

    Демидову: будущее — за отсутствие сбора ПД как такового. Нужно пресекать все попытки сбора данных, и бороться — везде где можно не давать согласия. Т.е. к врачу пришел и попросил, чтобы тебя не вносили в базу. Лечить лечите, в карточку пишите, но в базы данных вносить — нет.

  • Ответить

    >Нужно пресекать все попытки сбора данных, и бороться — везде где можно не давать согласия.

    Ты же понимаешь, что это все равно, что писать против ветра? Сервисы не смогут не собирать данные, максимум, могут спрашивать, если отказался, сервис говорит извините, вы не сможете с нами работать…

  • Ответить

    Толя, там очень богатый набор полей, социнженерию в полный рост можно запустить

    ну и другим банкам пофигачить по базе с предложением рефинансирования.

    очень вредная утечка

    Перевыпуск всех карт — тоже ещё тот геморрой.

  • Ответить
    Анатолий Орлов AliExpress Россия, ex-Ozon.ru, ex-Яндекс

    > социнженерию в полный рост можно запустить
    можно, но я все равно не представляю кого-нибудь кто купит эту базу за 300М и сможет эти деньги отбить.

    > Перевыпуск всех карт — тоже ещё тот геморрой.
    Их в любом случае уже будут перевыпускать

  • Ответить

    > а вот со сбера состричь 300 М рублей, чтобы база не попала никуда
    > кроме как обратно в сбер вполне можно.

    Бред, такая транзакция бесполезна, неэффективна и непрофессиональна, так как если за этим стоял инсайдер, то раз уж он уже сделал одну копию, то ничто не мешает ему сделать и вторую, а затем препродать по кусочкам, чем нанести ещё больший вред.

    Скорее всего произошедшее — это контролируемый слив для наполнения медийного пространства, на котором и взращиваются подобные «анатоликсы».

  • Ответить
    Игорь Ашманов Сам себе компания

    Мне показалось прикольным, что:

    Как убедились и журналисты, данные о сотрудниках редакции в базе тоже совпали с реальными.

    То есть продавец краденой базы активен, к нему можно пойти за пробником.
    Он радостно отгружает заказанные строчки. То есть уже прямо сейчас не объявляет там что-то, а публично торгует краденными ПД.

    Журналисты в свою очередь смело общаются с преступником, радостно объявляют о результатах.

    А где закупка от ФСБ, где арест?

  • Ответить
    Игорь Ашманов Сам себе компания

    Мне вообще кажется, что это информационная атака, а не кража данных. Атака, естественно, совмещённая с кражей данных для нужд атаки.

    Ашотик ещё такой милый. Увидел! На форуме! Побежал в Коммерсант глубокой ночью! Дал комментариев! Быстрее, быстрее, быстрее дайте мне мои 15 минут славы!

    Интересно, приходила ли ему в голову мысль сначала позвонить или написать в Сбер? Думаю, нет.

  • Ответить
    Олег Яшин Русский Щит

    > Увидел! На форуме! Побежал в Коммерсант глубокой ночью!
    Зачем ночью? «Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме». Пн-вт-ср на связь с журналистами, проверку и комментарии. Когда Комиссия еще занимались базами данных, мне лично чуть ли не каждый день звонили разные журналисты и спрашивали, что новенького на рынке появилось.

    Когда была большая статья об утечке «Банковские проводки» база больше недели гуляла по рынку, а пресса думала, писать об этом, или это неинтересно.

    > Интересно, приходила ли ему в голову мысль сначала позвонить или написать в Сбер?
    DeviceLock давно предлагает всем интересантам мониторить утечки и закрывать дыры, было бы желание. Т.к. это не случайный сервер с общим доступом (куда написали закрыли, и то некоторые не закрывают неделями), а целеноправленная утечка — разговаривать бесполезно.

    Банк, телеком будут кивать на СОРМ, на ХОРМ, на что угодно и говорить, что утечка не от них (как в ситуации с утечкой прошлых 900.000 клиентов).

  • Ответить

    >в последнее время разкукарекался насчет кончины текущего гос. строя

    похоже вы не поняли что разговоры о кончине текущего гос.строя следует интерпретировать так что сидеть будут те же ребята, но придется исполнять другие роли.

    как советская номенклатура которая при режиме бори топила за рыночек а при нынешнем — за сильное государство. конфликт там, если таковой есть, может быть только внутренний.

  • Ответить

    > То есть продавец краденой базы активен, к нему можно пойти за пробником. Он радостно отгружает заказанные строчки. То есть уже прямо сейчас не объявляет там что-то, а публично торгует краденными ПД
    Ага. Целые форумы существуют, и они даже не в даркнете, не в телеграме и не в блоке РКН. А там — сюрприз — «банковский пробив по физическим и юридическим лицам», практически все, кроме одного банка.

    Тема сложная, даже комплекс мероприятий после «дела Скрипалей», когда выяснилось что журналисты давно и плотно сидят на этих форумах и юзают за бабло малое в хвост и гриву «Роспаспорт», «Мигрант», «Магистраль», «Граница»,»ЗАГС», «Поток» и пр. не сильно помогло.

    И СМИ статьи про «рынок пробивки» пишут, и отдельных продажных СМ за 3.000 рублей суды осуждают… Но системной работы — нет.

    > А где закупка от ФСБ, где арест?
    Так это же не Савеловский или Горбушка. Закупили, следы кривые, слабые, ведут на Украину. И как дальше? ДРГ засылать?

  • Ответить

    Иван Ильин
    > зачем продавать базу, стоимостью 300 млн рублей, настолько демонстративно целиком?
    5 рублей запись это для демонстрации и мелкой сторонней ерунды. 300 млн — это чтобы мимопроходящие не мешали.

    Все более-менее серьезное обсуждается в личке, при крупной закупке понятным людям цены снижаются в разы. Не зря же тонко намекнули на то, что база разбита на 11 частей.

  • Ответить
    Альтер Эго

    Роскомнадзор направил в Сбербанк письмо, в котором ведомство требует предоставить информацию о массовой утечке данных клиентов, передает ТАСС со ссылкой на пресс-службу ведомства. РКН заинтересовался причинами произошедшего и намерен разобраться в обстоятельствах нарушения.

    Да, хотелось бы разобраться…

    В РКН отметили, что к настоящему моменту база с данными клиентов банка в открытом доступе не распространяется. Ресурс, на котором она появилась, заблокирован в России еще с апреля 2019 года.

    А, не, показалось. Разобрались ещё в апреле.

    (c) РБК

  • Ответить

    Ашотик, ты как раз тогда бросился участвовать в той информационной атаке, потому что не мог удержаться. Потом тебе стало стыдно или стрёмно, и ты спрятался. А организатор атаки Лёва ещё сколько-то времени хорохорился, обещал суды и всё такое.

    Кстати, а где Лёва, его совсем не слышно?

  • Ответить
    Игорь Ашманов Сам себе компания

    Кстати, там ещё прикольное высказывание: якобы Ашот проверил 240 записей и подтвердил, что это «реальные люди».
    Вообще пробить 240 человек по записи в БД — это большая работа. Она точно делалась — или это надувание щёк?

  • Ответить

    Это не информационная Отака :) Ашот не виноват ;) Из сберу украли данные в результате тупого фишинга, продавец скорее всего один из пострадавших от заморозки вкладов в 90, поэтому совершил он данное деяние из мести или в революционных целях.

    ps. Просто не понимаю зачем всё усложнять :) Скандалы интриги расследования. Сначала поймали на фиш … малограммотную сотрудницу сбера, затем с её компьютера послали префу письмо с красивой девочкой (мальчиком) на аватарке … из внутренней сети сбера с предложением встретиться и вложением промо порно ролика открыл и отдал ключи от царства :) ну что он будет сам себя теперь наказывать? — конечно нет, найдут какого нибудь терпилу (терпилку) и посадят. А зло так и останется не наказанным.

    Уйти безопасность сбера? — юзайте Cobalt и будет вам счастье безопасность останется в безопасности, а базы станут в открытом доступе. И если честно я не понимаю зачем скрывать какие то данные о себе? Это первый шаг к сбер блокчейну — ну пока без подтверждения транзакций просто все данные о пользователях и их вкладах, незачем скрываться друг от друга, каждый должен знать сколько у кого денег. На самом деле первый шаг сделало правительство россии когда доказало всем что фиатные рубли ничем не отличаются от мусора и не имеют никакой разумной ценности точнее могут легко обесцениваться, но никак не приобретать ценность, это продолжение этих передовых практик.

    Видел я базку на 74 млн уникальных мыл, реальных людей без ботов русских + казахов укропов и белорусов, думаю 60 млн сбер акков как бы косвенно намекают о кол-ве реально проживающих в стране, учитывая что сбер покрывает более 70 процентов рынка карт, есть большие сомнения что осталось более 80 млн человек на территории России.

  • Ответить

    Мне вообще кажется, что это информационная атака, а не кража данных. Атака, естественно, совмещённая с кражей данных для нужд атаки.

    Какая вообще разница, что это?

    Прежде всего нужно понимать, что база данных всех клиентов Сбера существует. Это значит, что кто-то имеет к ней доступ и получить этот доступ без санкции — вопрос денег/полномочий.

    Системы нужно проектировать так, чтобы такой базы попросту не существовало.

    Приведу пример. Есть сайт «я и моя собака», там логины пользователей и солёные хеши паролей. В этом случае система работает, но утечки паролей быть не может. Это начало вообще трудного пути, и это и есть верное направление.

    Биткоин — тоже хороший пример, он сильно дальше ушел от такого сайта «я и моя собака». Сама база транзакций даже открытая, но при этом со злым умыслом ею воспользоваться крайне сложно, нужен дополнительный источник информации.

  • Ответить

    Сбербанк держит окружающих за идиотов. Значит, если это «информационная атака», Сбер начал ее проигрывать. Сообщает РБК:

    «Утечка данных из Сбербанка, скорее всего, вызвана действиями одного из его сотрудников, это основная версия, сообщил журналистам представитель банка. Такую информацию можно было получить только сотруднику Сбербанка, который имел доступ к его операционным системам, добавил он.

    В Сбербанке не исключают, что кто-то из сотрудников физически разобрал компьютер с соответствующей информацией и изъял жесткий диск. Среди других вариантов — фотографирование экрана и компиляция цифр, сообщил представитель банка.

    В банке подозревают в утечке одного из сотрудников и проводят работу по его поиску».

    Из реплики выше мы узнали, что, якобы данные на дисках в сбере не зашифрованы даже стандартными способами винды или любой иной операционки.
    Можно физически переставить диск и на другом компе данные окажутся доступны.
    На одном жестком диске хранятся 200 записей. А не 200 млн записей.
    Данные журналистов коммерсанта продавец предоставил им из воздуха.

    1:0 в пользу продавца и коммерсанта. Если не 2:0

  • Ответить

    Смотрите на базу шире. Смысл далеко не в кардинге. База интересна конкурентам и продавцам других товаров и услуг. Платежеспособные клиенты нужны всем.
    И да, круг желающих получить список платежеспособных клиентов может быть достаточно бесконечным. А конкурентам могут пригодиться люди, нуждающиеся в деньгах.

  • Ответить

    Если верить основной версии — инсайд. То вернусь к спору Н лет назад тут. Все-таки снова замечу — айтишникам надо нормально платить, чтобы не ставить весь бизнес под серьезные риски.
    По поводу шифрования. Ну если на боевом сервере лежит база. Ее конечно можно зашифровать на диске. Но если ключ расшифровки доступен админу, то особого смысла в этом уже нет. А он по сути доступен. А вот проблемы с этим есть. В том числе с производительностью.
    Насчет возможных каналов утечки. Ну может все гораздо проще. Вытащили диск из массива как неисправный, а стереть/испортить его забыли и отдали оутсорсной компании или в помойку выкинули. Оутсорсной компании чужие секреты мало интересны для охраны. Там вообще диск могли на авито потом продать. Ведь айтишникам платить много не надо… Помним. Да.
    Вот тут эксперты точно знают, что происходит с их старым оборудованием?
    Есть регламенты защиты данных? Насколько хорошо они выполняются?
    По поводу высокой политики, такая утечка скорее удар по местным безопасникам. Чем наоборот.
    А куда должен был бежать Ашот? Есть номер быстрой связи? Я вот прихожу в сбербанк, у них терминал три месяца наличные не берет. Все сотрудники отделения об этом знают, но ничего сделать не могут, даже надпись предупреждающую сделать не могут, чтобы люди время не тратили. А тут по звонку Ашота тысячи тысяч клерков начнут что-то делать? Очень сомнительно. И да, утечка — это не вопрос чей-то личной жизни, утечка в таких масштабах должна быть известна всем. То что Ашот рассказал об этом Коммерсанту — скажем так — лишило Ашота некоторых возможных проблем. Такая у нас волшебная страна. Все правильно сделал (с)

  • Ответить

    «Их в любом случае уже будут перевыпускать» — сколько там карт утекло? 60 млн клиентов? Это процесс на месяцы… ведь карточки надо напечатать и вручить клиентам. Это нагрузка на персонал. Если новость реальная, то это черная полоса для банка.

  • Ответить

    Биткоин — тоже хороший пример, он сильно дальше ушел от такого сайта «я и моя собака». Сама база транзакций даже открытая, но при этом со злым умыслом ею воспользоваться крайне сложно, нужен дополнительный источник информации.

    Да. Прекрасный пример. Записи всех транзакций мистеров X с мистерами Y за все года. Частное лицо, действительно, будет иметь проблемы с идентификацией каждого конкретного человека, даже если он примерно представляет «кого», «из какой сферы деятельности». ФБР (и ФСБ) — никаких проблем с идентификацией кого угодно не будет иметь никогда. При государственных масштабах поиска, граф транзакций накладывается на графы связей некоторого числа подозреваемых. И — бинго! В крайнем случае, если потребуется, в масштабах государства, прямо по приказу, в 100 квартир в 100 городах любой страны мира, одновременно выедут 100 опергрупп. Обследовать, так сказать, на месте, кто больше соответствует графу транзакций?

    Отсюда вывод — биткоин сделали в разведке, в госструктуре. А не воображаемые криптолибертены. Они бы сделали по-другому. И базу Сбера — сделали в госструктуре. Просто именно у сберовской базы не было в числе задач, которые она решает, «ловить либертенов на живца».

  • Ответить
    Альтер Эго > Petr ¹ контекст

    По поводу шифрования. Ну если на боевом сервере лежит база. Ее конечно можно зашифровать на диске. Но если ключ расшифровки доступен админу, то особого смысла в этом уже нет. А он по сути доступен. А вот проблемы с этим есть. В том числе с производительностью.

    База явно не транзакционная, судя по набору полей. От неё не требуется через секунду отработать оплату чека на кассе в «Красно Белом».

    Записи плюс-минус о том, где человек работал 3 года назад характерны для скорринговой базы. Обращение к ней может занимать хоть минуту, хоть три, хоть 10 — это не влияет ни на что.

  • Ответить
    Олег Яшин Русский Щит

    Тут в некоторых кругах прозвучала версия, что это резервная копия…

    Красивая версия, ведь работа DLP c резервным копирование очень зависит от настроек.

  • Ответить
    Игорь Ашманов Сам себе компания

    О, Ашотик вернулся в чятик.
    Привёт, Ашотик, помаши ручкой!

    Оставь только твою фекальную фиксацию для семьи и друзей, здесь ты в относительно приличном обществе.

    Ашотик, а вот тут в телеграм-каналах клевещут онанимусы, что это вообще твой личный скам и шантаж.
    Что «база», а точнее имитация слива, лежала на форумах с августа, что это выложил кто-то от тебя или ты сам.

    А потом ты , не получив раскрутки, побежал в СМИ с целью раскрутить, потому что ты таким образом пытаешься запугать потенциальных клиентов.

    Клевещут, гады, что это не первый случай, а модус операнди твоей компании.
    Это правда или нет?

    Мне как-то сомнительно, что ты бы стал замахиваться ажно на Грефа. Ну как-то калибры ваши разнятся на несколько порядков, Ашот. Могут ведь и по голове дать, если вскроется.

    Можешь как-то (по возможности без фекалий и аналий) прокомментировать эту аццкую клевету на тебя онанимов в Телеге?

  • Ответить

    Олег, там дело вообще не в DLP.
    DLP надо ещё подеплоить, поставить на все каналы.

    Как правило, ставят на почту, потом с трудом ещё на что-то. Потом — отдельная головная боль — монитор на конечные устройства и т.п.

    При этом всё равно остаётся куча каналов, которые закрыть очень сложно по административным или политическим причинам.

    Утечка номеров кредитных карт в принципе не могла произойти через канал, контролируемый системой защиты. Потому что номер кредитной карты как объект и ФИО распознаются со 100% точностью.

    У номер кредитки есть внутренняя логика, это не случайный набор четвёрок цифр, распознать его легко. ФИО тоже имеет чёткую структуру.

    Это не фрагмент кальки — кусочек чертежа секретного узла секретного изделия (что тоже, кстати,в последних версиях векторизуется и распознаётся). И это не протокол заседания СД, где все буквы по отдельности не секретные.

    Кроме того, вытащить через пересылку по электронному каналу предполагаемые 60 миллионов записей, каждая из которых под полкилобайта размером, то есть 20-30 гигов — тоже особый бизнес.

    Значит, базу выносили через неконтролируемый канал: на животе, на жёстком диске, или сначала паковали в архив с паролём и резали на части, или фотографировали с экрана смартфоном, или ещё как.

    Или не выносили вообще. Что тоже очень вероятно.

  • Ответить

    Так это старая фишка. Если в контору поставили DLP, то за утечки теперь производитель софта отвечает, а не внутренняя безопасность.

    По крайней мере СБ-шники очень такие версии любят. Как и «фальшивку, сделанную на коленке, не имеет отношения к реальным данным».

    ЗЫ Изначальная тема, которая «появилось в минувшие выходные на специализированном форуме» и которую копали журналисты — удалилась с указанного форума.

  • Ответить

    Пересылать гигантские объемы по контролируемому каналу достаточно глупо. Безопасник заметит аномальный трафик и начнет задавать вопросы.
    Сейчас мобильный трафик стоит копейки, этот трафик СБ конторы никак не контролируется. Полно векторов, о которых СБ не в состоянии достоверно знать и предотвратить.
    Даже если трафик пойдет через DLP, шифрование RAR с более менее длинным паролем снимает вероятность что-либо когда-либо найти в потоке передаваемых данных.

  • Ответить

    >Записи всех транзакций мистеров X с мистерами Y за все года.

    Иван, полная структура транзакций в современном блокчейне нелинейна и нетривиальна для извлечения. То есть у вас здесь есть сразу две проблемы by design: социальная и математическая. Допустим, смарт-контракты могут быть дешифрованы, но как дешифровать нелинейные цепочки посредников? Условно говоря, X и Y заменяются китайским алфавитом и взбалтываются. (Очень отрадно, что спасители Руси чудотворцы Николай и Павел это хорошо понимают, и поэтому запускают свой грам в ближайшем месяце.)

  • Ответить

    Чтоб это была именно информационная атака необходимо чтобы внутри Сбера сидел атакующий и на те запросы, которые ему дают журналисты, давал верные ответы.

    Как минимум.

    Я не сильно понимаю, чем описанная мной сейчас ситуация сильно лучше того, что доступ к БД Сбера имеет хрен поймёшь кто.

  • Ответить

    Прошло в новостях откровение Спербанка:
    «В банке отметили, что деньги клиентов находятся в безопасности, так как CVV-коды, логины и пароли от интернет-банка в открытый доступ не попали.»
    Вывод №1.
    Судя по описанию полей, полей вполне достаточно, чтобы сделать копию карты и откать ее чрез слип, где-нибудь в глухой деревне. Да, вариант уже экзотический, но реальный. Для классических эмбоссированных карт вполне легальный.
    Т.е. говорить об отсутствии проблем для клиентов — уже обман со стороны Спербанка.
    Похоже, персональных данных вполне достаточно, чтобы позвонить в поддержку банка и поговорить от имени клиента со всеми вытекающими возможностями.
    Вывод №2.
    С персональными данными клиентов в банке все-таки обращаются не очень чистоплотно, мягко говоря. Зачем какому-то сотруднику так легко видеть полные номера карт в сочетании с персональными данными? Зачем? Обычно, даже самим клиентам в интерфейсе не показывают полные номера карт.
    Вывод №3.
    Раз сотрудника быстро вычислили, значит интеллектуальные способности сотрудника и его материальное положение (мотивация) не соответствовали уровню доступа к данным.

  • Ответить

    Любая база проверятся таким способом берётся несколько случайных имён, проверяется наличие инфы о них в базе если совпадает первое имя то вероятность подмены базы 0.5 если совпадает второе вероятность 0.25 и тп. на 10 именах вероятность что у злоумышленника не вся база 0.0009 это при наивном методе (встречу динозавра или не встречу) если учитывать не наивный метод то вероятность попасть в человека 1/N где N кол-во человек в базе, если люди выбраны совершенно случайно уже на первых двух трёх человечках вероятность подмены базы выходит за пределы разумного даже для сильно верующего человека такого как Игорёк.

  • Ответить

    >> персональными данными клиентов в банке все-таки обращаются не очень чистоплотно, мягко говоря. Зачем какому-то сотруднику так легко видеть полные номера карт в сочетании с персональными данными?

    Даже в самом «клиентоориентированном» банке Авангард новые карты выдаются кассиром из стопочки карт, перевязанной резинкой.

  • Ответить

    Сейчас мобильный трафик стоит копейки, этот трафик СБ конторы никак не контролируется. Полно векторов, о которых СБ не в состоянии достоверно знать и предотвратить.

    Передача 60 гигов по офисному-то каналу — это сутки, примерно. По мобильному — вообще без шансов, по-моему.

    Попробуйте фильм в 4К на смартфон скачать целиком.

  • Ответить
    Игорь Ашманов Сам себе компания

    «Чтоб это была именно информационная атака необходимо, чтобы внутри Сбера сидел атакующий, и на те запросы, которые ему дают журналисты, давал верные ответы.»

    Ну или чтобы база была действительно украдена, но не для продажи, а для атаки.
    Внутри Сбера может сидеть не атакующий, а человек, у которого работа — сидеть внутри Сбера. Потому что ты можешь довольно легко прикинуть, кто у нас в стране может спланировать и организовать атаку на Сбер.

    P. S. Насчёт «вопросов, которые задают журналисты» — я что-то сомневаюсь, что это делали сами журналисты. Прямо вот пошли на хакерский форум и сами там давали свои ФИО.
    Я уж скорее предположил бы, что это делал по их просьбе Ашотик, которому очень нужны были 15 минут славы.

  • Ответить

    Удивительно, что все считают ок, что такие базы в принципе есть. Вот кажется, а можно ли без них? Ну почему, почему никто не ставит задачу так: сделать систему такой, чтобы таких баз данных просто не было бы?

    Ашманов мехмат же, и тот упорно не слышит и не видит самой проблемы.

    Пипец просто, ну почему люди не улавливают простых и очевидных мыслей?

  • Ответить

    Да я много о чём могу говорить и предлагать, это никому не интересно.

    Начать надо с того, что вообще поставить вопрос — а нужно ли иметь одну большую базу данных клиентов банка? Вот если откинуть в сторону то, что «у всех банков есть список клиентов».

    Клиент банка должен себя как-то идентифицировать и сообщать, что он клиент? Безусловно, для этого он должен отдать свой публичный ключ, а банк — подписать. Сперва сотрудник о том, что он проверил документы на имя Иванова Петра Ивановича, затем — вышестоящий человек. И — внимание — просто отдать человеку цифровую бумажку с подписями, а в банке это ничего сохранять не нужно и даже скорее вредно. Можно сдавать в специальный архив, но посекуреный ключом, доступ к которому нет ни у кого, а ключ — уникальный для каждой записи в архиве — лежит в ФСБ. Но смысла нет реально в таком архиве точно.

    В этом случае у клиента есть доказательство, что его приняли в клиенты банка, а банк у себя сохранил только публичный ключ, который является по сути белым шумом.

    Именно так должно начинаться бытие клиента банка. Оно должно начинаться с уважения к персональным данным, личности клиента и возможности избежать пресловутой «заботы банка о клиентах».

    Да, я предвижу сразу кучу вопросов, типа 115 ФЗ и прочие дела. Всё это решаемо, конечно же. При желании, опять же, что-то сделать, а не просто залить базу с кучей колонок и пусть крутится как хочет, админы же все честные…

  • Ответить

    Вообще, обычная криптография с открытым и закрытыми ключами и хеширование может творить чудеса. Решения на этих технологиях могли бы сильно поменять вообще ситуацию в области финансов и с государственными органами.

    Практически сразу многие реестры можно будет упразднить вообще, а иные сделать бесполезными для слива/кражи.

    Мы получим тогда более справедливый мир, где нет принудительной переписи, нет насильственной бигдаты.

  • Ответить

    «То есть продавец краденой базы активен, к нему можно пойти за пробником.
    Он радостно отгружает заказанные строчки.

    То есть уже прямо сейчас не объявляет там что-то, а публично торгует краденными ПД.»

    Один хороший журналист, который сейчас работает там, где не может тебе ответить, просит передать, что:

    «так всегда всё и проверялось. и насчет преступников — вопрос, в чем именно их подозреваемые

    чаще — просто в мошенничестве

    чтобы убедиться, что кража есть, берешь и натурально спрашиваешь …….

    интересно, какие еще могут быть алгоритмы

    меня так потом пытались укатать следователи из прокуратуры. но слабо пытались, из-под палки»

  • Ответить

    >Удивительно, что все считают ок, что такие базы в принципе есть. Вот кажется, а можно ли без них?

    Конечно можно, можно не только выстрелить себе в ногу, но и отрезать себе руку, но проще сразу в петлю.
    К чему еще может привести добровольный отказ страны от нефти 21 века?
    Панков, не будет в будущем никакой анонимности, все что нужно сейчас сделать, это чтобы само по себе обладание персональными данными человека не могло нанести ему значимый урон.

  • Ответить

    Я открою вам мужичкам персональный секрет о том что DLP и PLP и даже ДБЛП может фиксировать всё что угодно, но от атаки типа включение устройства в сеть вайфай роутера с последующим включением в роутер компьютера и сливом данных с устройства, без разборки устройства, без замены жёсткого диска и без каких либо малейших проблем с охраной и тп, достаточно принести на работу малюсенький вайфай роутер, никакая ДБЛП не спасает, для вас таких продвинутых до дикого смеха безопасниках, безопасность обеспечивается только вырубленным вокруг здания лесом https://scontent.fnic2-1.fna.fbcdn.net/v/t1.0-9/1526179_10152444529059744_2272604703859378999_n.jpg?_nc_cat=103&_nc_oc=AQkquWI9knz48Pm4ldpNc2Xn5QaLXR39HwuRR3TglfXSZf5QH6yUxcJEeChGT7P_bKM&_nc_ht=scontent.fnic2-1.fna&oh=206433f302d4e3920dae657e88ff2862&oe=5E1AA780, многочисленными эшелонированными периметрами за первым контуром охраны и подавлением всех радиоустройств работающих в здании и вокруг, металлизацией окон и прочее и прочее, что вообще невозможно в работе современного банка, да и вообще любой даже военной организации в которой царит бардак и жажда наживы на любых уровнях.

  • Ответить

    ps. роутер можно притащить и на батарейке, в компьютере как в банкомате просверлить дырку, воткнуть разьём usb любое устройство, ресетнуть биос перезагрузиться со своей флэшки, заклеить дырку наклейкой в цвет корпуса (банкомата) и причину кражи базы данных обнаружат далеко не сразу, если обнаружат вообще когда нибудь. Безусловно я рассматриваю только самые тупые способы, сложные типа установки на кабель бэкапа своего оптического маршрутизатора с ответвлением сигнала мы не берём в расчёт, это придётся найти колодец залезть в него испачкаться, убедится в том что бэкапы ничем не защищены, или защищены паролем 1234 любым паролем длиною менее 8 символов и тп. Мы не рассматриваем все эти так сказать умные случаи :) Всё должно быть тупо и беспредельно тупо, продукт на котором работает сбербанк по картам https://www.bpcbt.com/smartvista-solutions/risk-fraud-management/ в описании к нему легко найти как он делает бэкапы, впрочем я не буду утомлять вас поисками описаний к нему, там работает база данных oracle, по умолчанию он бэкапиться без какого либо шифрования.

  • Ответить

    pss. По правилам платёжных систем сбербанк сертифицированный по PCI DSS высокого уровня обязан делать территориально разнесенные бэкапы клиентской базы.

  • Ответить

    Любая закрытая система, система без открытого исходного кода, выложенного на всеобщее обозрение, система, с открытым исходным кодом, ревизию которого никто никогда не проводил, система с небольшим кол-вом пользователей (считанное кол-во банков) система, работающая на микросхемах c закрытой архитектурой, всегда содержит колоссальное кол-во уязвимостей, скорость её вскрытия прямо пропорциональна баблу вложенному в её вскрытие и более ничему, никакая безопасность никакие зарплаты сотрудников безопасности никакие сторонние горе консультанты и прочие дебилы от сохи, занимающиеся только тем что охраняют систему от собственных сотрудников и простых пользователей, не обеспечивают безопасность клиентских данных, не говоря уже о безопасности денег или собственности доверенной им пользователями, прыжок в цифровую эпоху, выполняемый без наполнения бассейна водой — программным обеспечением с открытым кодом, микросхемами с открытой архитектурой, обменивающихся данными по открытым протоколам, широко используемым, аудируемым любым желающим за миллионные призы, чреват тем же самым, что и допущение государства к бесконтрольному печатанию денег, обесцениваем активов, кражей активов граждан, что проделало государство посредством сбербанка в 90 годы прошлого века и неоднократно повторяло обесценивая валюту и сейчас, сейчас история повторится с реестрами собственности и деньгами на вкладах, утечка этой базы ставит безопасность людей под угрозу, сбербанк должны были сразу завалить миллионными исками, так как посмотрев на ваш счёт и адрес можно прийти к вам домой с паяльником и осуществить хакерскую атаку: изьять все ваши деньги, в считанные минуты.

  • Ответить

    Юрий то что мы называем кредитной картой, на самом деле является в большинстве случаев дебитовой зарплатной картой с возможностью уходить в минус по балансу, как на кредитной карте, так же в сбербанке есть дебитовые карты привязанные к счетам ИП, самой массовой форме бизнеса в России, на счетах ИП может хранится до 50 млн рублей.