Information Security
Legislation in IT
Finance in IT
Comments 52
+10
Забавно, ну и чо всякие аудиторы из PwC и прочих KPMG и подобных именитых контор не делают заявлений на тему «ну так у банка с сотрудниками договор запрещающий такие утечки, проблем нет мы подадим на них в суд»
Черт, я на КАЖДОМ аудите задавал этот вопрос, каждый раз один и тотже ответ (выше)
И на закономерный вопрос «так если УЖЕ база утекла, какой смысл в таком суде??»… непонимающий взор и хлопание глазами… и потом опять «ну мы на них в СУД подадим!!! у них в договоре прописан запрет!»
p.s. рукалицо
+1
А что, можно точно установить кто из сотрудников спер базу? И доказать? Тогда там даже не суд, там, вполне может быть, уголовное дело намечается.
Только мне так кажется с доказательствами на этот счет негусто.
+5
Тогда там даже не суд, там, вполне может быть, уголовное дело намечается.

И 900тысяч потенциально пострадавших смогут вдохнуть спокойно, какогото несчастного оператора коллцентра-техподдержки (у меня до сих пор волосы шевелятся когда я вспоминаю уровень доступа этих специалистов) посадят на 10 лет.
Я к тому что у нас ИБ почемуто построено именно на этом принципе, там где этим вообще ктото заморачивается
+3
Оператор коллцентра имеет доступ ко всей БД? Really? Тогда я удивляюсь что БД не воруют каждый месяц.
+1
Вот не стал бы так уверенно это утверждать. Не удивлюсь, если где-то в даркнете давно продаётся какая-нибудь ежемесячно обновляемая подписка на банковские и налоговые базы.
+4
Оператор коллцентра имеет доступ ко всей БД? Really?

Оператор коллцентра с зарплатой в 28-30тыр, имеет очень обширный доступ, гораздо больше чем вам хотелось бы
За последние лет 5 с ужесточением правил pcidss сейчас вроде стали дополнительно логировать доступ к данным...(я хоть уже давно не работаю в этой сфере, но лучше не буду углублятся во подробности, но уверяю вас они не радужные)

Тогда я удивляюсь что БД не воруют каждый месяц.

Я вот тоже очень удивляюсь
0
Напрямую он к банкам не относится, но до того как он стал обязательным в карточных средах, которые почти во всех банках есть, ситуация с ИБ была кардинально хуже
+1
От относится к любым организациям, работающими с данными КК. Регламентирует хранение и обработку конкретно этих данных в cold/hard storage и транзите, параметры аудита используемых систем и т.п.

К работе колл-центров банковских эта организация и сертификация не имеет никакого отношения.
+1
Сотрудники техподдержки у крупных банков обычно имеют доступ к операциям по картам, по этому имеет отношение вполне прямое
(справедливости ради, ну да, у мелких банков работа с кредитными картами может быть на оутсорсе)
0
Оператор колл-центра имеет возможность выборочно посмотреть данные любого клиента, но пакетная выгрузка данных невозможна, это явно оговаривается правилами PCI-DSS.
0
ну никто особо не мешает вручную поселектить пару сотен клиентов в неделю и вынести даже на бумажке
А если инсайдеров-операторов несколько то oh shi--
==
на самом деле тут сильно поможет чтото чтото типа анализатора аномальной активности с сопоставлением звонков и селектов к базе
+1
Вопрос в том, что если несчастного оператора коллцентра, который ваши личные данные продаст по цене гамбургера — не посадить — такие утечки будут вечно. У оператора КЦ нет никаких рисков (максимум — уволят), почему бы и не заработать копеечку?
0
Не понял, кто на кого должен в суд подать? Аудиторы на клиента? Сотрудники банка на работодателя?
0
Бывший работодатель на сотрудника который спер БД, насколько я понял.
+1
Именно, и с точки зрения аудита это достаточный уровень защиты
+5
Нужно срочно запилить сервис «проверки» наличия данных в утёкших базах и собрать еще немного персданных. Как в баяне про проверку абсолютно уникального пароля.
UFO landed and left these words here
0
Ваш банк скупает базы в даркнете и предоставляет по ним поиск?
Или вы все-таки про haveibeenpwned.com
UFO landed and left these words here
UFO landed and left these words here
+9
Не волнуйтесь, для вас скоро будет сделан отдельный сервис, введя ФИО, номер телефона и паспорта в который можно будет проверить утечки по всем базам.
+3

На фрикер.про сторожа и охранники тешат свое самолюбие, обмениваясь старыми БД. Попросите у них — не откажут.

+1
Вот много где есть эта новость, а возможности проверить, есть ли мои данные в утечке — нигде нет. Как быть, если я хочу точно знать, утекли мои данные или нет?
+1
Отправить запрос в банк. Посмотреть на ответ. Но выглядит как троллинг.
0
Написал. В альфе ответили примерно так:
Мы не оставили эту информацию без внимания, поэтому сейчас проводим внутреннее расследование совместно со службой безопасности. Проверяем насколько правдивы и актуальны эти сведения

На вопрос, можно ли проверить, утекли ли мои данные, ответ такой:
сейчас пока уточнить информацию нет возможности. ведутся расследования.
0
С альфой не выйдет — они подстраховались. Мне выпустили, но не отдали кредитку когда я стал вычёркивать из договора «передачу персональных данных третьим лицам».
0

А про неограниченный круг лиц там тоже было?
На самом деле, проворонили ПД, нельзя ли по суду взыскать?

0
они подстраховались. Мне выпустили, но не отдали кредитку когда я стал вычёркивать из договора «передачу персональных данных третьим лицам».


подстраховались… Альфа не может обслуживать вашу кредитку без передачи данных третьим лицам в принципе, из-за особенностей их процессинга
+1
Процессинг у Альфы, афаик, собственный. Тут скорее из-за возможности передачи коллекторам. А вообще, напомнило старую историю суда Тинькова с Агарковым
+2
Покарал таки боженька Альфа-банку! Да отольются им слезы сиротские! А то задолбали по 3 раза в неделю названивать с предложениями, от которых невозможно отказаться. Хотя никогда их клиентом не являлся, а откуда у них мой номер — не говорят, подлюги :)
0
когда звонят из альфы, я обычно рассказываю про интимные связи с родственниками звонящего или сразу посылаю на йух. звонить перестают. правда есть минус: иногда банкомат падла отказывается давать денежки и требует сначала подтвердить номер мобильного.
0
Мне как-то ответили, типа ваш знакомый дал ваш номер по программе приведи друга. На вопрос, кто же этот знакомый ответа не дали. Мне кажется этого знакомого зовут ВТБ.
+1
А разрешение звонить вам с рекламными целями посредством сотовй связи — тоже он дал?
0
Помогает сказать, что вам нет 18. Обычно отстают. Если даже так не поймут то можно письменное заявление на удаление ПД принести в отделение — и вот если тогда звонки не прекратятся, то уже можно и $ с них срубить, через суд.
0
Еще можно сказать что безработный — тоже отстанут. Кредиты дают только тем, у кого есть постоянная работа.
0
Кредиты дают только тем, у кого есть постоянная работа.

теоретически, ага.
а практически имеем кучу всяких колдырей которые вообще непонятно как кредит взяли
0
Еще можно сказать что человек которого они ищут умер, номер на какое-то время исчезнет из базы.
+1

Александр, добрый день. У нас есть хорошие условия по кредиту. Не интересуетесь.?


  • да нет. Спасибо. Не интересует.
  • Можно вопрос. Если бы у вас были 100 000р на ремонт или отдых. Чтобы вы выбрали?
  • ммм. Ремонт.
  • хорошо. Подождите секундочку
  • вы мне кредит что-ли оформляете?
  • да.
  • зачем?
  • так ремонт же!
+1
Покарал таки боженька Альфа-банку!

Да Альфе как раз от этого ни жарко, ни холодно. Если бы ЦБ хотя бы на такие вещи реагировал…
+3
Нужно собирать больше ПД и биометрии — пока можно безнаказанно ее сливать/сарказм/. Заодно это компрометирует саму идею сбора биометрии/не сарказм/
+1
Вовремя они проснулись, база в открытом доступе с 2017 года лежит. Их и обнаруживать не надо гуглишь и все.
+1
Все верно. Относительно новая там вторая база, на 504 записи. Об я этом я изначально и написал (в пятницу). Первая на 55 тыс. это утечка лета-осени 2014 г. Коммерсантъ за это зацепился и полезли гуглить сами, ну и нагуглили базы 2012-2015 г.г. В том числе и не Альфы.
Only those users with full accounts are able to leave comments. , please.