Comments 263
Информацию об утечке персональных данных 60 млн клиентов банк отрицает, не подтверждает и считает ее «некорректной из-за многочисленных несовпадений». Так как, например, банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.

Какое отношение имеют 40 млн кредитных карт к персональным данным 60 млн клиентов?

Вообще как-то очень сихронно обе новости появились, не находите? Из заголовка я думал, что речь именно про 60 млн записей. А по факту… Туфта. Такое сплошь и рядом — сотрудники опсосов торгуют данными даже почаще. Сколько уже кейсов было, причем описанных на Хабре.

Опсосы вообще официально торгуют «обезличенными» данными.
А вот то, что сотрудники перевыпускают симки не сильно напрягаясь, заставляет напрягаться граждан, у которых один из идентификаторов личности — телефоный номер.
Шаблонный ответ в духе «приносим извинения, сотрудник, который сделал что-то нехорошее, уже уволен, а вообще, это все почти неправда».

Естественно, ни слова о том, как это вообще стало возможным, почему «сотрудник кредитной организации» имеет доступ к БД, какие технические и административные меры приняты для предотвращения повторения этого.

Да-да, за два дня успели пистона вставить, выбрать добровольца, которого записали виноватым, и на которого все списали.


Забыли только рассказать, как сотрудник (даже начальник) сектора кредитной организации имел доступ к миллионам данных о клиентах.


Что он украл всего 200, и не сделал заранее копию всех миллионов — мало верится.

Для полной конспирологии весомых оснований также нет, но исключить, что всё в заявлении Сбера — ложь, тоже нельзя.
Доступ он мог иметь. Доступы доступами, а вот как он сумел вынести информацию, вот это интереснее.

Тут Греф ничего не сказал. Думаю, ответа особо нет, чего на этом акцентировать ему?

А ниоткуда не известно, что он сумел вынести информацию (кроме тех 200 строк). Вполне возможно, что он подал объявление, когда понял, что у него есть доступ к данным, ещё до того, как начать их куда-то выносить.
Ещё полгода назад был звонок с номера +74955326182 (думал страховая сливает): у звонящих уже есть не только паспортные данные, но и название конторы и должность (только мамкины инвесторы не знают, кому звонят).
Разве это проблема? Записал на MicroSD, потом проглотил ее и вынес с территории, профит!
Обычно, у таких людей заблокирован доступ к накопителям. Т.е. порт есть, но он не работает с usb-накопителями и другими внешними накопителями.
Это можно обойти разными методами. А вот массовая выгрузка должна отсутствовать в любом случае.
Выучил наизусть. Долгие месяцы копил он эти 200-500 строк. На миллионы не успел, поймали раньше.
Все гораздо проще, 200-500 записей это были забиты вручную во время работы. Сбер иногда заставляет своих продажников лепить базу из платежеспособных клиентов в отдельной эксельке. В каждом филиале есть экономически активные клиенты как их называли, а в реале просто клиенты у которых была N-сумма на счетах. Затем эти эксельки летели в отдел продаж для начальника, в виде отчета, кто кому и сколько впарил. Количество рук через которые проходили эти базы невероятное. Те подразделения которые не имели доступа к непосредственно к счетам клиентов, получали файлы с данными клиентов. В этом весь сбер.

И кстати, у каждого Тербанка база своя, отсюда и мем «где открывали туда и идите». По идее и речи не может быть о доступе к информации всех клиентов с одного АРМ.
Но возможно, что то могло и поменяться уже.
Опираясь на стандарты ЦБ и того же PCI DSS должно быть разделение знания ключа к боевой БД. Мне видится, что там присутствует компрометация более серьезная, чем «Парень подумал и предал банк».
Ну и странно, что нет мониторинга как в ГИСах: заранее подготовленные фейковых данные, при выгрузке которых триггирится сием.
Греф высоко, его не переспросишь, а остальным, после начальства, как-то некомильфо говорить что-то отличное от его версии. Замкнутый круг!
Хм. С другой стороны, зачем ему миллионы, если был шанс получить авансовую оплату имея только двести? ж)
В тяжелых «государственных» структурах еще очень жив атавизм «Security through obscurity». Потому что «так проще» понимать топам и это соответствует их представлению о безопасности. Поэтому вы не дождетесь комментария Сбербанка, о том какие меры были приняты.
От создателей «Дави его бля*ь» и «Дебилы бля*ь»!!!
«Мы попробовали провести рассследование, и у нас получилось! »,
«Мы нашли ленивую жопу которая скопировала все! данные и не пряталась»,
«Мы прочитали логи доступа и о чудо! оно работает! »…

Значит, журналист соврал, который писал, что продемонстрировали его данные, или он был в списке тех 200 клиентов, или взлома не было, и этот 28 летний сотрудник попался при получении данных журналиста?

Возможно имея доступ к базе на сервере, сотрудник понял, что может её продать, но не выгружал всю себе ввиду объёма, а выгрузил только тестовые 200 строк, собираясь выгрузить всю когда найдёт покупателя. Затем когда его попросили журналисты данные о себе, он вновь обратился к онлайн базе и нашёл там нужное.
Также вполне возможно, что выгрузить всю базу не возможно, но делок имея доступ к базе (в режиме поисках отдельных записей), наковырял 200 записей, а реального покупателя просто собирался нажухать, ведь любые запросы на проверку базы, он может пройти имея доступ к ней в режиме поиска отдельных записей.
Никого не защищаю и не оправдываю. Просто озвучиваю предположения.

Я примерно тоже так полагаю. Посмотрим на дальнейшее развитие событий.

Злые языки пишут, что этот нашедший «базу» и есть тот единственный источник новости про 60 млн утекших карт. И что занимается он DLP-системами (это которые про борьбу с утечками), а в Сбере стоит DLP его конкурентов.
Фейсбучек его посмотри, а конкуренты уже тролей запрягли, конечно. Ребятки из Коммерсанта всё делали в этом случае.
Подтверждения того, что в базе есть 60 млн записей, на его фейсбуке не видать. Кроме строки с номером 312 на скринах. Ну ок, 312 больше двухсот, но до 60млн явно не дотягивает
В телеграмме есть база с 1999 записями клиентов. Там номер карты, номер счета, паспорт, адрес… тоже на 24 августа. Пароль к архиву sber84vret, ссылку могу в личку. Сами и проверите, больше двухсот или нет.
У него вообще могло не быть возможности что-либо выгрузить независимо от размера, а был доступ к данным клиентов в ручном режиме поштучно (мне представляется довольно очевидным, что к какой-то информации о клиентах у сотрудников банка доступ есть в штатном режиме, и столь же очевидным, что в этой информации нет, например, CVV и пин-кодов, потому что сотруднику банка в работе они нужны быть не могут даже теоретически).

И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.

Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
в этой информации нет, например, CVV и пин-кодов, потому что сотруднику банка в работе они нужны быть не могут даже теоретически
Потому что PCI DSS не разрешает доступ сотрудникам к чувствительным данным во время аутентификации, а по админским причинам — вполне можно с обязательным журналированием «кто, куда и зачем», чтобы было что аудиторам показывать.

Cvv*, pin-ы и прочие крипто-величины нигде не хранятся. Хранятся только их верификационные значение (типа pvv в виза или offset в схеме ibm3624)

В банках может быть и нет, а вот с магазинами случаи были.


Если какой то магазин сохранил у себя CVV — он нарушил правила PCI DSS.
И может запросто лишиться доступа к платежной системе — жалуйтесь.
В российских магазинах не помню, но в заграничных были случаи. О некоторых даже писали тут на Хабре.
Они могут попросить (хоть и в нарушение PCI DSS), ты имеешь право отказать. История тянется еще с тех пор, когда не было магнитных полос на картах и их прокатывали эмбоссером. Копией карты балуются старые отели и компании по аренде авто. Но многие мастодонты отельного и арендного бизнеса уже перешли на современные интерфейсы, и, когда ты расплачиваешься за услугу кредитной картой (не дебетовой), то не требуют фотокопию карты, т.к. в дальнейшем (в случае прихода штрафов по авто, либо горничные сообщат, что ты воспользовался доп. услугами типа минибара) смогут снять с карты дополнительные средства, т.к. протоколы платежных систем позволяют оплату постфактум.

По этой причине я предпочитаю бронировать отели через соответствующие агрегаторы типа букинга или эйрбнб.
А если стоит галочка «Запомнить данные карты»? На этот случай распространяется?
А если стоит галочка «Запомнить данные карты»? На этот случай распространяется?


Нет.
Есть рекуррентные платежи.
Но и их проводят без CVV, а CVV используется только первый раз.
А кодовые слова счетов клиентов тоже не хранятся?

А то лет 8 назад случилась довольно необычная ситуация — сотруднику финслужбы крупного клиента московского СБРФ из этого банка была прислана табличка с ФИО и кодовыми словами. Получатель в рамках акции «Вы все молодцы» разослал по адресной книге этого клиента. На тот момент в организации было 3 (прописью — три) службы безопасности.
когда по телефону в колцентр диктуешь кодовое слово, хэш не очень подойдёт
А что мешает все же хранить хэш. Когда клиент называет слово, оператор его вбивает в поле и зажигается красная или зеленая лампочка.
А что мешает все же хранить хэш. Когда клиент называет слово, оператор его вбивает в поле и зажигается красная или зеленая лампочка.


На слух вбить?
Плюс грамотность у всех разная.
Плюс кодовое слово может быть любым, которое и в природе не существует и на которое правила русского языка, даже если их и знает идеально оператор, не подходят.
Или это иностранное слово.

Хэши хороши когда информацию вбивает ручками сам знающий ключевое слово и в дальнейшем передача идет по техническому каналу.

А человеческое ухо — тот еще элемент «испорченного телефона» (в детстве не играли в такую игру? )
Почему? Проверяющий вводит слово в форму и получает ответ правильно или нет, а видеть правильное слово проверяющему не нужно.
Ох, уважаемый. Если сотрудник не будет видеть слова, то он придумает 30 вариантов, как написать неправильно слово «холодильник». А когда он видит слово он таки может понять что произнесено именно написанное. По этой причине они его видят.
Оффтоп. Давно как-то делала перевод Юнистрим в Казань. Оператор, по всей видимости, должен выбрать из выпадающего списка регион, город и т.д. Монитор от меня отвёрнут, но по пристальному взгляду оператора в экран и затянувшейся паузе, я начинаю понимать в чём дело и спрашиваю: «Вы, наверное, Казанскую область ищите». Так и оказалось. :)

Поэтому, действительно, слово «холодильник» может вызвать затруднения.
Это не оффтоп вышел, а наглядная демонстрация уровня тех кто работает в Сбере и хорошее дополнение к моим словам о том, что они смогут не видя слово набрать его в 30 неправильных вариантах. А если при этом еще и кодовое слово «Маханаксар» или «Габилшатур» какой-нибудь, так вообще страшно подумать, что будет. А я знаю людей которые что-то подобное используют(не именно эти, эти я специально взял, как образцы близкие, из тех же языков, но не те, что используют в подобных случаях известные мне люди)
Не, ну а почему не подойдёт. Клиент диктует, оператор набирает, хэш сверяется.
Слово может быть на английском, или клиент при заполнении мог его ввести с ошибкой, либо с ошибкой вводит оператор. Еще много разных вариантов можно придумать, почему хэш не подойдёт.
Т.е. если я придумаю не существующее проверочное слово «Овтомабиль», а злоумышленник попробует через «старшего-специалиста-оператора» проверочное слово «Автомобиль» — то злоумышленник будет идентифицирован как Я?

Мне кажется, что


  1. Проверочное слово эффективно можно заменить цифровой комбинацией. Набирать в ivr колл центра.
  2. Никакой проблемы хранить хэш и не показывать кодовое слово нет. Тем более, что вроде как его поменять по телефону нельзя. Только через анкету в отделении. Но это не точно. А раз так — им может быть любая комбинация букв и цифр. И, да, желательно, сразу чтобы было нормальные правила. Вроде "только заглавными, только кириллица и цифры". Даже лучше без цифр. Чтобы не было неоднозначностей — "С, C", или "H, Н", или "О, O, 0", или "1, I, l"
У него вообще могло не быть возможности что-либо выгрузить независимо от размера, а был доступ к данным клиентов в ручном режиме поштучно
И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.

Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
Если в сбере админы закончили хотя бы 5 классов «церковно-приходской», а я думаю что там достаточно грамотные люди работают, то никакой ДБА не даст выполнить запрос «выхлопом» которого будут 60 млн записей.
Значит, журналист соврал, который писал

Журналисты не врут, просто у них работа такая )

"1991 года рождения (то есть сейчас ему 28 лет)" — а была вся жизнь впереди...

Ну, он сам выбрал свою дорогу, не вижу ничего, о чем стоило бы сожалеть.
Точно он ли? Нас вообще всегда напрягала эта система. Дядя из СБ с высочайшим уровнем доступа вдруг говорит «вот этот парень, смотрите, вот я логи на флэшку копирнул, по ним видно что это он»© И все ему сразу верят.
Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.
Точно он ли? Нас вообще всегда напрягала эта система. Дядя из СБ с высочайшим уровнем доступа вдруг говорит «вот этот парень, смотрите, вот я логи на флэшку копирнул, по ним видно что это он»© И все ему сразу верят.
Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.


Используется система «разделяй и властвуй».
Дядя из СБ вовсе не один.

Если вы полагаетесь на одного сотрудника на 100%, — конечно он может подделать.
А нескольким людям договориться куда как сложнее между собой.

Тем более, что они в разных подразделениях работают — админы и СБ (которые частенько еще и недолюбливают друг друга).
И карьера вроде была, судя по «руководитель сектора в одном из бизнес-подразделений банка». Зачем? Риторический вопрос, само собой…
Не уверен, что в Сбере это высокая должность. Руководитель отдела в каком-нибудь региональном филиале.
чтобы красиво жить и никогда не работать, или работать по 8 часов, а не по 11, и не за $1000 как платят региональным спецам сбера, которые торчат на работе до 10 вечера
Руководитель среденего звена в сбере — это не должность, а наказание.
Странно видеть столько желчи в комментариях. Ну да, это косяк, конечно со стороны банка. Но, утверждать, что данные продаются налево-направо я бы точно не стал. Ни разу сам не встречал в продаже. ИБ все-таки существует. Каждое действие сотрудника и инженера логируется. Просто так копаться в данных клиентов — это русская рулетка. Очень скоро пригласят в спец кабинет и начнут задавать вопросы. И если не было служебной необходимости (тикета клиента или иного легального повода) — пиши заявление. И благодаря этой будничной работе, новости, подобные этой, являются для нас чем-то из ряда вон. Ведь так и должно быть. Разве нет?

Предупреждение от НЛО, не просто так добавлено.
Это про желчь.
IMHO, рекомендую не ввязываться в дискуссии, ибо чревато.
P.S. Я сам 10 лет в банках, проработал, смысл вашего комментария, лично мне совершенно ясен. Как говориться ППКС

На столько «не продают», что когда я в первые оформил карту сбербанка, в течение месяца мне начали звонить все кому ни лень, начиная от банков и заканчивая фитнес центрами, курсами английского и тп. Это все продолжается до сих пор (около 5 лет), до такой степени, что я начал пользоваться утилитами для автоблокировок номеров всех этих колцентров и тп. Думаю я не один такой. Мб я параноик, но складывается ощущение, что не продают у нас личные данные только ленивые совсем и это касается не только банков
У меня с картой такого не было, но после оформления ИП в течении месяца банки насаждали с открытием расчетного счета)
У меня каждый раз при движении по счёту активизировалась реклама кредитов(от всёх кроме моего банка).
После регистрации ИП разве что письма стали слать типа таких

В пдф ссылка для перехода/загрузки.
И другие подобные, то от «налоговой», то от «поставщиков». Но вирус/троян обычно посылают прямо в письме, а не как в последнем случае
Если не ошибаюсь, список юрлиц в налоговой — открытая информация. Мониторят и ловят новые строчки. Там не хватает только телефона, но обычно это не проблема, особенно для тех банков, у которых новый ИПшник хоть раз побывал.
Да, по инн можно найти кучу информации. На чеке к примеру все должны её печатать.
А у ИП она личная.
Список — открытая информация, это факт. Поэтому банк на самом деле может узнать, что Вася Пупкин стал ИП. А вот телефон — НЕТ. Это закрытая инфа, но как показывает практика, утекает на раз. Свежий номер. Тем банкам, про которые даже не слышал.

Вы кредитку оформляли или дебетку?
Допускаю, что если кредитку, то инфа уходит в БКИ (она считается как полноценный кредит) и другие банки могут по ней увидеть инфу по вам. Но тут более сведущие товарищи подскажут.

UFO landed and left these words here
Допускаю, что если кредитку, то инфа уходит в БКИ

Интересно, а когда мне Сбер сам без спроса оформил кредитку и начал названивать с просьбой её забрать, данные были туда отосланы?
Допускаю, что если кредитку, то инфа уходит в БКИ


Интересно, а когда мне Сбер сам без спроса оформил кредитку и начал названивать с просьбой её забрать, данные были туда отосланы?


1) Кредитку могут и без БКИ выдать. Просто лимит будет маленький.
2) А вы уверены, что это не маркетинговое разводилово? Мне тоже постоянно приходит «Вам одобрен кредит» от очень разных банков. Но стоит реально сходить в банк — как там только начинается оформление. Да если только с паспортом оформлять и сумма иная, не та, что обещали. Вернее те 5 миллионов, к примеру, что обещали, тоже готовы выдать. Под нехилый пакет документов. А сами то карты сейчас выдают моментально, они не индивидуально под вас выпущены.

А вы уверены, что это не маркетинговое разводилово?

Сбербанк писал, что карта уже готова, нужно только забрать. Нов веры ему конечно нет. Так как я являюсь клиентом этого Сбербанка, то данные все у них уже есть.

Это маркетинговый ход. Без подписания вами договора они карту не выпустят. А "готовы" там моментальные карты без имени, они в общем-то всегда готовы, так как их готовить вообще не нужно.

Нет. У меня тоже был случай. Карта была готова, без подписания договора. Т.е. лежала в отделении. Достаточно было подписать акт о выдаче карты и получить ее. И тут у меня возникли вопросы зачем они мне предодобрили кредитную карту, хотя речи об этом не шло. Решилось уничтожением карты в отделении и не подписании акта о получении карты мной. Ну, и извинениями с обеих сторон.

Вы забыли, как некий банк раскидывал кредитные карты по почтовым ящикам?)
Вы забыли, как некий банк раскидывал кредитные карты по почтовым ящикам?)


Tinkoff?
А в США так до сих пор делают.
Вам УЖЕ оформлена кредитка — это часть скрипта спущенного сверху, который придумал какой то эффективный менеджер, в расчете на то, что сердобольные граждане придут и получат, раз УЖЕ выпустили.

А по факту, ее без личного присутствия не могут выпустить, но потом пришел другой эффективный менеджер, изменили инструкцию и начали просто массово выпускать их зарплатникам с минимальным лимитом. Чтобы человек приходил не два раза (оформление-получение) а один раз. Потом стали выпускать карты MC/Visa momentum unembossed.

Так никто не может запросить по вам данные из БКИ без вашего письменного согласия.

Мне на следующий день после постановки на учет в ФНС позвонили 20+ раз из разных банков с предложением обслуживания. При том, что телефон не является публичными данными.
(если сейчас кто-то тянется к клавиатуре написать про телефон в ЕГРЮЛ, то я про ЕГРИП — там телефон не является публичным, это личные данные 100%).

Baigildin
в Эстонии, например, через банк можно получить доступ практически к любым госуслугам. Кроме, разве, информации о здоровье и голосования на выборах. Налоговая, авторегистр, данные об образовании — что угодно с аутентификацией через банк. Логично полагать, то если ты им доверяешь свои деньги, то и данные можно.
Ооо, тут срабатывает «клёвый» сервис от сбера.
Как только вам открывают карту — на нёё можно сделать перевод по номеру телефона.
И, по умолчанию, все у кого есть сбербанк онлайн на телефоне видят в телефонной книге напротив вашего номер — зеленый сберовский кружочег.

Я в своё время заметил прямую корреляцию по плотности холодны звонков — как только поставил в сбербанке-онлайн галочку «не показывать никому, что к этому телефону привязана карта» (не помню как называется, но по умолчанию — показывают), так сразу поток звонков исчез. У меня есть подозрение, что у сбера API на это голой ж' торчит где-то.

На самом деле это больше похоже на утечку от опсосов (или от силовиков которые контролируют опсосов), когда от номера 900 начинают сыпаться смс — значит на том конце завелся человек с деньгами.

Вопрос только в одном — есть все же утечка ещё 59 999 980 карт или нет? Потому что это была бы дыра совсем иного уровня, данные 200 карт можно и с экрана сфотографировать

Зайдите на любой «теневой форум» и посмотрите на количество предложений по продаже различных данных, в том числе и по банкам.
И, конечно же, за всеми этими предложениями скрываются добросовестные продавцы с качественными услугами.
ps: наличия проблемы не отрицаю. Но судить о масштабах по количеству предложений вряд ли разумно.
А вы отзывы почитайте. Более того там есть гарант сервис, типа как на ebay или Aliexpress.
Но, утверждать, что данные продаются налево-направо я бы точно не стал. Ни разу сам не встречал в продаже.

О, крайне веский аргумент, крайне! :)))
Знаете, я вот ни разу в жизни жирафа не встречал. Говорят, что они есть, но наверное врут — я-то сам не видел…

Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).
Эта новость для меня звучит как "в госкомпании без конкурентов опять косяк, крайние найдены, виновные свободны".

Государственный банк — это ВТБ, например. Сбербанк же не является госкомпанией.

UFO landed and left these words here

Там все сложно. Поэтому зря минусуете коллегу.
Мы уже в одном похожем треде разбирали этот вопрос.
Сбер — вполне себе коммерческий банк.

На госуслугах можно верифицировать свой аккаунт через сбербанк.онлайн. Разве коммерческим организациям разрешено настолько доверять?
На госуслугах можно верифицировать свой аккаунт через сбербанк.онлайн. Разве коммерческим организациям разрешено настолько доверять?

Почему нет?
Посмотрите, где можно сдать биометрические данные, посмотрите, где можно зарегистрироваться на госуслугах.
cbr.ru/fintech/remote_authentication
cbr.ru/fintech/remote_authentication/map
Там и частные банки есть.
Это ж вы в данном случае доверяете Сбербанку, а не государство.
Нет, это госуслуги доверяют Сбербанку, если через него можно подтвердить личность. Это означает, что госуслуги считают, что в Сбере информация на 100% верна и подтверждает личность.
Нет. Это всего лишь означает, что вы доверяете Сбербанку аутентифицировать вас в Госуслугах. Можете с тем же успехом своему знакомому доверить, дав ему свой пароль и говоря: “Вася, введи-ка мой пароль на сайте госуслуг!” (механизм другой, но смысл с точки зрения безопасности тот же).

Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.
Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.

У меня сейчас произошел когнитивный диссонанс. Я думал госуслуги как государственный сервис, предоставляя блага этого самого государства, как раз в первую очередь должен заботится за достоверность предоставленной информации от граждан.
На данном этапе развития техники, они физически не имеют возможности проверить достоверность вашей аутентификации. Когда в каждом компьютере обязательной принадлежностью будет аттестованный сканер сетчатки или NFC-имплантанта – тогда может быть.
Да через все банки можно скоро будет, тут вопрос только как быстро оборудование появится для этого.
А сама идея о биометрии — из ЦБ спущена и приходится делать, хотя она банкам нафиг не нужна.

Центробанку, а не государству.
Правовое положение ЦБ вызывает споры, как и его принадлежность к государству.
В любом случае, Сбербанк — это коммерческое предприятие, первая цель которого — получение прибыли, а не какая-то социальная роль в обществе.

ВТБ может работать в убыток, может вкладываться в убыточные, но социальнозначимые проекты.
Например, ВТБ выкупил теле2, объединил с Ростелекомом и создал конкурента большой тройке. С выходом т2 цены на тарифы упали в полтора-два раза. Развивается направление lte450 как наиболее перспективное для обеспечения малонаселенных и удаленных объектов.
Что делает Сбербанк? Объединяется с Яндексом, чтоб создать аналог Амазон.
В то же время ВТБ — худший банк, которым приходилось пользоваться, сбер среди других коммерческих банков — середнячок.

Целью ВТБ, как любого АО в госсобственности, номинально является прибыль, но фактически — выполнение целевых показателей, установленных госчиновниками из совета директоров.

Все свои тендеры Сбербанк оформляет через сайт Госзакупок. Если уж и это вас не наводит на правильную мысль, то я даже не знаю что вас убедит.

Правильную мысль какую? Что Сбер — госпредприятие?
Извините, но это только у Вас в голове (как и у миллиона других граждан).


Государственный банк — это ВТБ, например

Да, кстати, только лишь потому что 60% ВТБ принадлежит госимуществу (хотя ВТБ — ПАО). И получается, что даже в этом смысле ВТБ "более" государственный, чем Сбер.
Но это все софистика...

Например, любой частный мусоросжигательный завод оформляет закупки через сайт госзакупок. Между закупками и принадлежностью к государственным организациям нет прямой причинно-следственной связи, хотя есть определённая корреляция.
Вот я не поленился даже зарегистрироваться, что бы ответить.
Никаких споров о принадлежности ЦБ не может быть, если человек знаком с Конституцией РФ и законами РФ.
Глупости о ЦБ несет движение сумасшедших под названием НОД, движение создано депутатом Федоровым, которому так же принадлежат фразы про то, что Цою песни писали в ЦРУ и что депутатам ГосДумы как голосовать приказывает ГосДеп(в том числе и ему самому, очевидно).

ЦБ РФ прописан в Конституции и действует на основании Федерального Закона РФ.

Конституция:

Статья 75

1. Денежной единицей в Российской Федерации является рубль. Денежная эмиссия осуществляется исключительно Центральным банком Российской Федерации. Введение и эмиссия других денег в Российской Федерации не допускаются.

2. Защита и обеспечение устойчивости рубля — основная функция Центрального банка Российской Федерации, которую он осуществляет независимо от других органов государственной власти.


Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)»:

Статья 1. Статус, цели деятельности, функции и полномочия Центрального банка Российской Федерации (Банка России) определяются Конституцией Российской Федерации, настоящим Федеральным законом и другими федеральными законами.

Функции и полномочия, предусмотренные Конституцией Российской Федерации и настоящим Федеральным законом, Банк России осуществляет независимо от других федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.

Банк России является юридическим лицом. Банк России имеет печать с изображением Государственного герба Российской Федерации и со своим наименованием.

Местонахождение центральных органов Банка России — город Москва.

Статья 2. Уставный капитал и иное имущество Банка России являются федеральной собственностью. В соответствии с целями и в порядке, которые установлены настоящим Федеральным законом, Банк России осуществляет полномочия по владению, пользованию и распоряжению имуществом Банка России, включая золотовалютные резервы Банка России. Изъятие и обременение обязательствами указанного имущества без согласия Банка России не допускаются, если иное не предусмотрено федеральным законом.

Государство не отвечает по обязательствам Банка России, а Банк России — по обязательствам государства, если они не приняли на себя такие обязательства или если иное не предусмотрено федеральными законами.

Банк России осуществляет свои расходы за счет собственных доходов.


Теперь рекомендую перечитать внимательно статью 2 про то, что все имущество ЦБ является федеральной собственностью. Осознать. Понять, что принадлежность ЦБ РФ = принадлежность РФ. Прекратить повторять глупости Федорова в приличном обществе.
В данном случае, иметь 50%+1 акционерного капитала в номинальной государственной собственности – не означает государственного управления предприятием. В силу особого правового статуса ЦБ.
1. Мой комментарий был ответом на заявление, что якобы ЦБ не принадлежит государству. Я показал, что ЦБ прописан в Конституции, его статус определяется Федеральным Законом и все что принадлежит ему является федеральной собственностью.
2. Совет директоров ЦБ назначается в соответствии с вышеобозначенным ФЗ. В ФЗ говорится о том, что совет директоров назначается Государственной Думой Федерального Собрания Российской Федерации по представлению Председателя Банка и по согласованию с Президентом РФ.
3. Председатель ЦБ назначается Государственной Думой Федерального Собрания РФ по представлению Президента РФ.

О каком еще можно говорить управлении, если ЦБ описан в Конституции как «независимо от ДРУГИХ органов власти», то есть по факту считается одним из органов власти, если его руководство назначается одной из палат парламента по согласованию с президентом, а его председатель вносится президентом и утверждается парламентом?

Управление ЦБ это управление государством. Контроль ЦБ это контроль государства. Все четко описано в Федеральном Законе от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)».

Не нужно выдумывать про «а это не государство». ЦБ РФ — орган власти описанный в Конституции РФ и действующий на основании Федерального Закона.

Сами с собой спорите и это как раз то, о чем я и писал, что правовой положение ЦБ вызывает споры, как и принадлежность государству. То есть по закону это одно, то как видят обыватели — второе, то как есть на самом деле — знает лишь малая категория лиц.
А уж на каких правах сбер тут выступает, можно только догадываться.

Я не с собой спорю, а опровергаю ложь и глупость. Правовое ЦБ однозначно, ЦБ — часть государственной власти, все что принадлежит ЦБ является федеральной собственностью, в том числе и акции Сбербанка.
Те кто говорят про неопределенность и тем более, что собственность ЦБ не принадлежит государству либо заблуждаются, либо врут сознательно.
что правовой положение ЦБ вызывает споры

Только у любителей теории заговора. У большинства вопрос правого положения ЦБ в принципе не стоит. Т.е. в обществе такой дискуссии нет, непонятно откуда вы вывели это.
Даже не у любителей теории заговора. Есть такое движение НОД, я выше об этом писал, среди телег прогоняемых его создателями то что ЦБ подчиняется США и статус ЦБ не определен, что Путину мешают либералы, а то бы Россия процветала, что депутатам ГД как голосовать диктует ГосДеп(при том, что создатель НОДа сам депутат ГД, то есть ему тоже) и что Цою писали песни в специальном отделе ЦРУ.
НОДовцы бывают двух видов: пропагандисты на зарплате Федорова и буйный сумасшедшие. К какому виду относится человек прогнавший здесь нодовскую телегу про ЦБ я не знаю.
Я в курсе про НОД, просто обобщил и отнес их к остальной кучке сектантов, которые никак не влияют на повестку дня в обществе. Однако, кроме минуса, контраргумента никакого не получил. Ну да ладно
Ну значит нодовские сумасшедшие бегают и тут, раз минусами кидаются. Я бы раскрыл шире тему про НОД и почему это не секта, а организация направленная на ужесточение диктатуры, но тут не тот ресурс, потому ограничился упоминанием, что человек явно из федоровских
Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).
и надо бы продолжить — и журналистам. Или где-то были доказательства про 60 млн.? я на выходных не следил за новостями, мог пропустить, если было — направьте. Пока было только 200 записей и заявление о возможном сливе.
Не пытаюсь никого защищать, т.к. сам клиент сбера и уже промелькнула мысль «а нельзя ли тут где какой иск от неопределённого круга лиц, за такой слив?».
в настоящее время представители правоохранительных органов осуществляют с ним процессуальные действия
Бутылирование?
Как обычно
Наказание невиновных – Награждение непричастных
Ну это же смешно, такие утечки не делаются рядовыми сотрудниками. Ну нету у них доступа такого, нету у них списка клиентов хотя бы с пагинацией. А тем более кнопок выгрузить данные пачкой. Да они могут собирать данные тех клиентов которых обрабатывают в текущий момент, тупо скриншотами или сохранять страницу или просто копировать текст, но это надо прям сеть чтобы работала в режиме нон-стоп, чтобы собрать столько данных. Да они могут выборочно запрашивать данные на продажу, типа «пробить» клиента за деньги.
Ну это же смешно, такие утечки не делаются рядовыми сотрудниками. Ну нету у них доступа такого, нету у них списка клиентов хотя бы с пагинацией. А тем более кнопок выгрузить данные пачкой. Да они могут собирать данные тех клиентов которых обрабатывают в текущий момент, тупо скриншотами или сохранять страницу или просто копировать текст, но это надо прям сеть чтобы работала в режиме нон-стоп, чтобы собрать столько данных. Да они могут выборочно запрашивать данные на продажу, типа «пробить» клиента за деньги.
Ну ваще-то у рядовых «маринок» USB отключены, поэтому вариант один — переписывать с экрана.
Да и АБС построены так что не может быть на одном экране всех сведений о клиенте. «Маринка» в каждый конкретный момент времени работает в определенной ветке ( а может даже в разных АБС — это не редкость) которая посвящена, например, паспортным данным, КИ, банковским продуктам и тд
Да-да, только 200. И, совершенно случайно, вчера позвонили мошенники как раз по карте сбера :))
У моей знакомой всех родственников обзвонили на днях мошенники.
Говорили что-то типа вы выиграли бонусы, назовите номер карты, щас вам на телефон придет код, назовите его и т.д.
В итоге, таким образом получили доступ к онлайн-кабинету, смогли перевести оттуда деньги (благо немного, 20-500р), карту заблокировали, надо перевыпускать.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос. По времени это подозрительно совпадает с обсуждаемой утечкой.
назовите номер карты, щас вам на телефон придет код, назовите его и т.д.

где они нарыли телефоны владельцев карт — вот в чем вопрос.

Звони любому, с большой вероятность у каждого второго хоть одна карта да есть.
А номер карты, по вашим словам, они сами называли.
Но как вы объясните что звонили не одному человеку, а нескольким родственникам? Вот что подозрительно. Полагаю у них какой-то список людей есть с картами, конкретно по фамилиям.
К счастью, население Земли обновляется полностью примерно раз в 100 лет.
Т.е. если Ваши перс.данные были слиты 20-10-5-1 лет назад, они в большей своей части много лет будут актуальны.
Поэтому вычислить человека и все его связи при наличии пары-тройки, можно сказать, общедоступных баз данных — как два байта переслать.
Пример из жизни.
У меня зазвонил телефон.
Кто говорит?
Какая-то непонятная личность выяснила, имеется ли какая-то связь между мной и моей дочерью.
Далее оказалось, что эта личность разыскивает двоюродного брата мужа дочери, потому как он задолжал денег. (т.е. личность оказалась коллектором).
Когда я это понял, личность была послана, не дождавшись от меня ни чьих контактов.
После каких-то сумбурных угроз, личность начала также названивать моей жене и отцу.
Потом обзвонила вплоть до высшего начальства персонал предприятий, где они работали (мне повезло, у меня начальства нет-).

Короче, данная личность без каких либо проблем находила контакты связанных между собой индивидуумов(как родственными связями, так и «рабочими»)

PS… На сколько я знаю, история не кончилась ни чем. На стол местной полиции легли как минимум 5 заявлений. Телефон с которого звонила «личность» и его владельца нашли, но доказать причастность к данному беспределу, почему-то не получилось.
Личность скорее всего была из «бывших сотрудников». А у таких связи остаются достаточно надолго.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.

1. В Сбербанк Онлайн пробуем сделать перевод небольшой суммы по номеру телефона.
2. Сбербанк Онлайн показывает имя и отчество владельца карты.
3. Перевод не подтверждаем.
4. PROFIT.

Таким образом, узнаем привязана ли карта к номеру телефона и если да, то имя-отчество владельца карты.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.

Мне несколько раз "блокировали" сберовскую карту, когда у меня карты сбера никогда не было. Другие предложения по отсутствующей у меня сберовской карте тоже поступали.

совпадение конечно любопытное, но если в сливе были указаны остатки по счёту, то обзванивать людей с 20-500 р. это как-то… глупо. Не, конечно учитывая, что там за запись просили по 5 р., то даже с 20 р. покупка отбилась, но это всё равно странное занятие. Последний, кто мне говорил «курочка по зёрнышку», попал в поле зрения ОБЭП (взятки), был директором, сейчас работает таксистом.
UFO landed and left these words here
Держите меня семеро, но там всё плохо!

По версии банка какой-то манагер построчно (по всей видимости) выдернул из базы сведения о 200 картах дабы доказать, что это выборка из более обширной базы, которая у него на руках. Ключевой момент в его предложении-простота получения сведений. Есть вероятность что у него был штатный функционал (чего ?) для таких действий (массовой выгрузки)
А теперь вопросы:
1. Что это за служебные обязанности для выполнения которых необходимы подробные сведения по клиентам в больших количествах? Ну не аналитику же он в уме считает.
2. Запросы сведений в базе логируются и статистика анализируется для предотвращения. Как бы так быть должно.
3. Это может показаться странным, но у руководителя вообще доступа к сведениям о клиентах быть не должно.
4. Мне одному кажется, что действия преступной группы пытаются выставить как самодеятельность мелкого манагера? А ведь преступная группа, имея административный доступ к БД вполне могла и логи сделать правильные и слить парня.

Но всё это пол беды. Если допустить, что версия банка правдива, то дела всё так же плохи ибо получается, что практически любой сотрудник (сколько таких манагеров по стране) может выгрузить базу и начать ей торговать. А сколько торгуют, но не палятся?
Пост с новостью обновлен, добавлена информация о ходе расследования. Вот тут можно посмотреть про этот момент более понятно
Я не понял чего так Греф всполошился. Пробивали клиентов Сбера до и пробивать будут после- прям фотку с экрана рабочего компа присылают. Любой операционист или служба помощи это может. Могли бы ловить, но не ловят. Но 200 личных дел и с историей операций так дёргать это сильно. М.б. торговец решил сжульничать и кинуть покупателей?

Смешно, но это не поможет. Это очень похоже на перекладывание денег из одного карман в другой. А страдают обычные налогоплательщики.
Надо наказывать конкретных виновных — кто спёр данные, кто построил систему, которая это позволяет, кто недосмотрел и т п.


Просто как пример — мы судились с администрацией (считай — гос.структура власти) по поводу того, что их сотрудники по халатности нанесли ущерб. Угадайте — был ли кто наказан? Нет. Выплатили компенсацию? Да. Но откуда? Точно не с бюджета казённой структуры, которая финовата, а из общей казны. Т.е. по сути — денег налогоплательщиков. Фейспалм. Занавес

По логике вещей штрафы и должны работать как по цепочке: сбер оштрафовали, он проснулся и полез разбираться, нашли условно косяк в ИС в мониторинге — оштрафовали субподрядчика, который писал эту ИС, субподрядчик проснулся — раскидал люлей по отделам и т.д.
Но это, как обычно, работает только в теории.

Ни одна из проблем не является нерешаемой, и у некоторых банках, у некоторых операторов мобильной связи, у некоторых платежных систем эти проблемы так или иначе решены.
И мне кажется хватило бы всего лишь лишить месячной зарплаты главу Сбербанка Германа Грефа. Но похоже, что кому-то выгодно такое положение вещей.
Как понимаю, «быстро поднятое не считается упавшим»
Т.е. сколько записей он украл — ХЗ, но скомпрометированными признаны те 200, которые он разослал потенциальным покупателям базы.

Цирк с конями и колхоз во всей красе. А Греф лучше бы вообще рот не раскрывал, после его "разъяснения" стало ясно, что всё ещё хуже, чем казалось:


  1. Мелкий клерк заштатного филиала имеет несанкционированный доступ к приватным данным неограниченного круга клиентов.
  2. Этот доступ не вызывает срабатывания триггеров системы безопасности — СБ узнаёт об этом не от своих алармов, а из сми.
  3. Факт доступа не логгируется — СБ проводит расследование не с помощью анализа логов, в телефонным звонком злоумышленнику!

Меня просто поражают люди, добровольно несущие собственные деньги этим жуликам и криворуким идиотам. И ограбление сберкассой почти всего населения страны не стало уроком и этот колхоз не станет. Мыши плакали, кололись…

Я всё же люблю Хабр, этот ресурс IT-профессионалов.

1. Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов. Вас же не возмущает ситуация, когда вы приходите за выпиской по счёту, операционистка смотрит ваш паспорт — и через три минуты отдаёт вам распечатку ваших операций по счёту?

2. У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?

3. Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?
Ваши предложения в корне неверны.

Тысяча сотрудников по тысяче запросов в день, это всего-то миллион записей в базе, два айди (клиента и оператора) и время доступа — по объему это копейки, по нагрузке тоже. Рекламная сеть за час получает миллион событий (показ, просмотр, клик, метрики и т.д.)

Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.

Я не знаю, но не думаю что прям вот так всем менеджерам доступны данные всех клиентом. По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне). Ну это не одна СБ не пропустит и многочисленные сертификации, что данные клиентов из Москвы, доступны например менеджерам из отделения в Самаре (причем что 99% из этих клиентов никогда не бывали и не будут в Самаре).
Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.


Я откуда знаю, почему предыдущий оратор считает, что там по любому чиху должны триггеры срабатывать?

Что же касается сотрудников — у Сбера 15 тысяч офисов, в них работает больше ста тысяч человек. Удачи вам в поиска в этих логах события «В. Пупкин запрашивал данные клиента, который на самом деле к нему не приходил» (отдельный вопрос — как вы по логам будете определять, приходил ли клиент).

По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)


То есть, по вашей логике, «где карту получали — туда и идите», и в отделении Сбера в Самаре я принципиально не смогу получить выписку по счёту, открытому мной в Сбере в Москве?..
habr.com/ru/news/t/470253/#comment_20719785
Я чуть ниже написал как это решается, через введение кода пароля с смс, для доступа оператора к данным клиента. Или если нет телефона, то набора для слепого контроля, по сути это форма не с одним, а с многими вопросами и кнопкой проверить(получить доступ).

Процетирую себя же
(местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)

Если ваша карточка по геолокации из браузера или мобильного приложения засветилась в Самаре, или же просто была любая операция на просмотр баланса или снятие денег с любого банкомата или в отделении в г. Самара, то система понимает где карта находиться, и разрешает доступ операторам из данного региона к вашим данным. Или это технически нереализуемо? Очень даже реализуемо, и скорее всего такие вещи уже сделаны так или иначе.

Все остальные действия по запросу личной информации должны не просто логироваться, а логироваться с высшим приоритетом, для просмотра и анализа службой СБ.
Т.е. клиенту надо постоянно сберу отчитываться где он чтоб получить обслуживание в банке? что это если не тотальная слежка?
А если смс не пришла: глюк оператора, сел телефон и тд — все, нет обслуживанию в банке?

Не надо множить сущности, в конце концов аутентификация происходит в момент предъявления паспорта, а уж в банке вы его показываете или опсосу — не важно.

С таким же успехом можно паспорт левый сделать и украсть личность, перевыпустив сим и получив доступ к банковскому счету.

Не бывает абсолютной безопасности, всегда есть баланс между стоимостью мошенничества и его прибыльностью и в безопасности вы будете только тогда когда стоимость поддельного паспорта (и расходов на адвоката/судью) будет выше чем та сумма что у вас на карте лежит.

Кстати непонятно почему вы так сильно на СБ рассчитываете, это просто еще один человек на окладе, который может быть точно так же слаб как и тот менеджер, который слил карты.
UFO landed and left these words here
> Т.е. клиенту надо постоянно сберу отчитываться где он чтоб получить обслуживание в банке?

Ну вообще во многих банках за этим следят на автомате. У меня было как-то, что я заплатил с карты одного крупного российского банка в мелком городе у подножия Уральских гор, при том, что до этого всегда платил в Москве и Питере, так мне через минуту поступил звонок от СБ банка со словами «С вашей карты оплатили покупку в магазине «ДНС» в таком-то городе. Это были вы?», на мой ответ «Да, это я, все нормально» сказали «Хорошо, тогда помечаем, что оплата вами в этом городе нормальна, а не вашу карту увели».

То есть банки и так следят за тем где ты.

Это не улучшает идеи человека которому вы отвечали, она бредовая. Во всех банках я могу прийти в любое отделение и получить обслуживание в любой момент, без каких-то привязок, что «где карту получали, там и обслуживайтесь».

В Сбере это так не работает. Я уж не знаю, что у них в головах, но буквально недавно:


  1. Карту мы не перешлём в отделение в другом городе. Хотя любой нормальный коммерческий банк это умеет.
  2. Звонили, предлагали кредит в отделении ХХХ. Прихожу. Мне говорят: "А Вы обслуживаетесь в УУУ — туда и идите". Между прочим, все происходило в рамках одного города (СПб), т.е. это был один макрорегиональный филиал или как там оно называется.
    Сплошь и рядом такое. А комиссии при переводе на карту Сбера, но в другом регионе? Но через банкомат или кассу ее (карту другого региона) можно пополнить без Комиссии — т.е. не-клиенты банка в более выгодном положении, чем клиенты. Впрочем, как и граждане РФ по отношению к не-гражданам РФ

И это только вершина айсберга

Все что вы описываете происходит в шарашке под названием «Сбербанк». Это шарашка советского образца, а не банк, там и не такое может быть.
В нормальных банках я прихожу в любое отделение в стране и меня обслуживают, а при перевыпуске карты еще и привозят ее домой бесплатно.
В Сбере это так не работает. Я уж не знаю, что у них в головах,

У них в головах до сих пор куча филиалов/отделений, которые на самом деле считаются отдельными банками. Отсюда и лезут все эти комиссии странные и «где /подставить нужное/ — туда и идите.»
Я в СПб спокойно получаю карты из Мурманской области. Да, они не пересылают, но перевыпускают — спокойно.
Я со счёта не мог снять деньги в том же городе, но другом отделении.
То есть, по вашей логике, «где карту получали — туда и идите», и в отделении Сбера в Самаре я принципиально не смогу получить выписку по счёту, открытому мной в Сбере в Москве?

Очень вероятное событие.
Ибо дефакто Сбер — это куча отдельных банков, с разными БИК. С этим же связаны и непонятные комиссии при переводах Сбер-Сбер, и прочая дичЪ.
Я всё же люблю Хабр, этот ресурс IT-профессионалов.

Родной, это такие азы, которые известны любому, кто хоть немного касался информационных систем с разграничением доступа. А уж если имел какое-то отношение к разработке банковских систем, то там этим всю плешь проедают до самого мозжечка.


  1. Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов.

Я понимаю, что в колхозной сберкассе это сделано именно так — даже Греф это подтвердил, но в настоящих банках это сделано не через жопу, а как положено. И всякий сотрудник, даже отдалённо не касающийся работы с реальными данными клиента раз в несколько месяцев проходит обязательный тренинг в котором всё это разъясняется и описывается. Повторю, в номальных банках. Европейских и штатовских точно. Если на пальцах — не всякому менеджеру положен неограниченный доступ к неограниченному кругу клиентов и к неограниченному объёму данных даже тех клиентов которым ему позволено доступиться. Это самые основы. Азбука, тскзть. Если ещё более на пальцах, то даже(!) у опсосов (тоже, очевидно, не у всех, но, хотя бы, у некоторых) это сделано более грамотно, чем в сберкассе. Когда-нибудь пробовали получить дубль симки, скажем ребёнка, выданной на паспорт одного из родителей (и вы не помните какого)? Вы диктуете номер телефона и номер своего паспорта оператору, а он вам говорит, — нет, эта симка выдана не на этот паспорт, а на какой я не могу сказать — система проверяет введённые данные, но не показывает сами данные оператору, предотвращая утечку. В данном же случае, массив данных содержит персональные данные клиентов, к которым юный менеджеришка из филиальчика не должен был иметь доступа. А если получил его, то получил несанкционированно и на это должны были сработать системы безопасности. В нормальном банке.


  1. У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?

Да, если этот менеджер залез в персональные данные, которые его не касаются. Но, во-первых, его не должны туда пустить, во-вторых, если ему это край как нужно, он должен составить заявку в СБ на временный доступ, в которой должен обосновать причину необходимости такого доступа и срок на который ему этот доступ требуется, в третьих, если он таки залез туда без санкции, да, должны сработать триггеры. Повторю ещё раз — так обстоят дела в нормальных банках. И даже здесь на хабре была статья в которой было описано как "ловили" пентестера, который пытался такое проделать в тестируемой системе. И это была даже не западная компания, а вполне российская, только нормальная, а не сберкасса.


  1. Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?

С точки зрения ардуинщика, это, конечно, нереальный объём, ни в одну ардуинку не влезет, но, вообще-то, это объём ниочём. И, скажу вам по секрету, для быстрого доступа к данным давным-давно изобрели БД и индексы. А если данных и правда много, то есть такая BigData, умением работать с которой тот же Греф очень хвалился.

Господи, как много слов.

А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.
А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.
Глупости изволите город сообщать, поработайте банке, тогда может у Вас появится некоторое представление о том какие доступы имеют сотрудники в банках. И заодно о том как все это логируется.

PS Посмотрите на скриншот отчета. Такой отчет без палева может получить для себя только админ БД, но я думаю что ему это как раз нафиг не надо.
Второй, реальный вариант, это отчет (выгрузка) для бизнес-департамента банка.
Но опять-таки заказать на исполнение такой полный отчет (на 60 млн клиентов или карт) — это сразу спалиться напрочь. Я думаю что это кусочек небольшого отчета типа по просроченной кредитной задолженности клиентов в филиале, потому как выведены полные паспортные данные и адреса. Для расчета всяких экономических показателей этого ну никак не требуется.
Но опять-таки заказать на исполнение такой полный отчет (на 60 млн клиентов или карт)


(пожав плечами) Поэтому никакой утечки в 60 миллионов карт и не существует.
Месяц назад менял владельца сим-карты у Билайна.
Сотрудник спросил номер телефона, взял паспорт старого владельца, посмотрел на него и на экран и вернул паспорт. Дальше взял паспорт нового владельца и начал печатать.
То есть обычный мальчик на месте видит паспортные данные по номеру телефона
Месяц назад менял владельца сим-карты у Билайна.… обычный мальчик на месте видит паспортные данные по номеру телефона

Всё правильно. Рядом с новостью о слитой базе сберкассы маячит новость о базе билайна на 8 млн записей. Причём база ещё 16-го года, но, судя по вашим словам, у билайна с безопасностью всё по-прежнему никак. Совпадение? Не думаю!


Я писал об опыте с нормальными опсосами и нормальными банками. Пара европейских операторов (GDPR отрезвля-я-яет!). И у теле2, по-моему, так же устроено, но давно проверял, сейчас не уверен.

Это еще ничего. Моя бывшая половинакак-то потеряла телефон вместе с симкой, симка оформлена на меня, соответственно для восстановления нужен был я. Мы в то время уже почти разошлись и жили в разных городах, в 500 км друг от друга. Так как номер — вещь критичная я уже собирался брать билет на поезд и ехать к ней, что бы восстановить номер, но не пришлось. Ей восстановили симку без моего паспорта, без меня, просто так. Она пришла в салон Билайн и попросила восстановить, на вопрос про то где же хозяин номера и его паспорт сказала, что я далеко и приехать не могу. Тогда ей восстановили просто так…

То есть по большому счету Билайн просто перевыпустил симку постороннему человеку который знал кому принадлежит номер. Это у Билайна в порядке вещей.
В МТС пришли в ближайшее отделение и оформили доверенность на собственный номер из другой половины страны на паспортные данные другого человека. Через пару дней этот человек пришёл и переоформил номер на себя. И никуда ехать не надо было.
Факт доступа не логгируется — СБ проводит расследование не с помощью анализа логов, в телефонным звонком злоумышленнику!
а что это даст в пользу доказательства злонамеренности действий? Ну вот по логам Вася обратился к данным десяти клиентов за день. За месяц — к 200. Ну и? Работа у него такая в банке. Максимум превышение, если посмотрел чужие без клиента.
А вот если он обратился к данным, которые запросили сб, представившись покупателем данных — то это вполне себе доказательство злонамеренности совершения уже таки преступления.
Эта проблема с доступом к данным решена в некоторых банках очень просто, когда оператор запрашивает доступ к данным то клиенту уходит пароль на телефон, для подтверждения доступа, оператор вводит этот пароль у себя и получает доступ. Все менеджер просто так не может получить доступ к каким угодно данным. Для случаев если телефон потерян, есть слепые проверки для получения доступа (это не только контрольный вопрос, но и могут быть любые данные связанные со счетом или транзакциями или же скрытые персональные данные). И работает это просто, заполняется пяток полей и кнопка, при неправильном вводе ходя бы одного поля не показывает что за поле, а просто показывает ошибка. У операторов связи такое тоже есть, один из 5-т последних звонков назвать и примерный баланс на счету(плюс/минус какое-то число).
UFO landed and left these words here
Получаеться, что Вы просто не не учитываете приоритеты. Да наверное мой косяк что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов. Опять повторюсь, эти все проблемы решены в других финансовых структурах. Сбер это может решить, но не хочет.
UFO landed and left these words here
Ну да, в сбере и во всех банках именно так. Если вы придете с паспортом — этого достаточно. В чем проблема?

Ну, как минимум в Альфе — при получении кредита — просили посмотреть в веб-камеру. Т.е. у них еще и фото моего лица сохранилось. Вероятно, для уменьшения вероятно мошенничества. Молодцы.

ВТБ — фотку делают при серьезных операция, паспорт светят и потом сканят в систему, для доказательства, что клиент был, как понимаю.
СМС, кстати, вроде бы тоже были какие-то, но это я уже не помню точно.

В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личности

Слушайте, мне вот альфа только с утра спам прислала, хотя я уже более трёх лет как разорвал договор с ними. Вот думаю, надо бы на них жалобу накатать, что ли. За нарушением моих ПД.
В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личности
СМС нужна чтобы привязать ДБО.
Никакого отношения эта СМС к подтверждению личности это не имеет, личность только по паспорту (или квалифицированной ЭЦП).
Это Вы мне приписывайте какой-то бред, и с ним сами спорите.

Пришли Вы с паспортом в отделение. Оператор посмотрел лицо клиента, фотку в паспорте, все гуд лезет в данные. Это необходимо, но недостаточно для защиты данных от утечки через оператора. Поэтому идет подтверждение через смс код, чтобы оператор получил доступ к запрошенным данным. Так же вместо паспорта достаточно только карточки, при получении карточки некоторые банки делают фотку. Тут тоже оператору надо просто сравнить лицо клиента и фотку в системе. Если, например телефон утерян или еще какая-то беда приключилась, то никто не мешает оператору в присутствии клиента получить доступ к данным и нужным функциям через форму Вопрос-Ответ, но не только ключевая фраза, а по расширенному списку, например:
У вас недавно была операция снятия налички, сколько сумма была и где находиться банкомат?
Вы расплачивались картой в магазине, название магазина и сумма оплаты?
У вас было пополнение наличкой через терминал, сколько и где было совершено пополнение?

Вот эти вопросы — это вопросы из анкеты по транзакциям. Система вполне может сама список вопросов генерировать, не показывая всю историю.

Давайте
Давайте предметно.
1. Названия финансовых структур.
2. Что будет, если я туда приду с паспортом без телефона и попрошу список своих транзакций у оператора.
3. Что будет если я приду без паспорта и с телефоном попрошу список своих транзакций у оператора.


1. Украина «ПриватБанк», «УкрСибБанк». Можно предьявить паспорт или карту, фотка в системе есть, без смс кода оператор не получает доступа к данным.
2. При наличии паспорта, вы можете запросить выписку со счета с движением средств, как и задолженность/остаток на счету. Это вообще в любом банке стандартная процедура.
3. Если у вас есть телефон, на нем скорее всего есть приложение для онлайн банкинга, в котором Вы можете посмотреть свои транзакции. Зачем тут оператор?

Расширю дальше список, того что есть в ПриватБанке. Можно снять, пополнить карту через терминал не имея карты — подтверждая доступ или кодом с смс или qr кодом с мобильного приложения. Так же при изменении данных в системе оператором, делается фотка (получение новой карты, замена старой, смена телефона, при закрытии карты фотка не делается).

Повторю еще раз — отличить «клиент с паспортом запросил свои данные» от «оператор лезет смотреть данные клиентов» — технически весьма тяжело, если не вводить биометрию.

Еще раз повторяю, и выше ответил на Ваши вопросы, это задаче технически решаемая, и решенная в других банках.
UFO landed and left these words here
Противоречие какое-то. Так нужен только паспорт чтобы запросить выписку, задолженность или обязательно телефон тоже?

С телефоном подтверждение будет быстрее, иначе контрольный вопрос и прочие проверки. Да без телефона получите доступ к своим данным или оператор, если потребуется. Я нигде не писал, что без телефона Вас развернут из отделения и не дадут никакой информации.
Да это в любом банке есть, не только на украине.
И да, приводить в пример «приват-банк» как эталон безопасности — это смешно.

Выше Вы как раз утверждаете обратное, да и не только Вы, но и другие, что ни в каком банке такого нету в россии. Теперь уже оказывается это все уже есть, но только мимо Сбера проходит. Да «приват-банк» не эталон, но что-то не слышно про утечки данных постоянно.

Паспорт это необходимое и достаточное условие для обслуживания в отделении банка, но для защиты персональных данных паспорт всего лишь необходимое, но недостаточное условие. Чтобы защитить данные от несанкционированного доступа сотрудниками и вводят пароли подтверждения из смс. Если нет телефона, тогда опросник для для получения доступа оператором к данным. В любом случае если вы будете в отделении, то при Вас доступ к Вашим данным оператор сможет получить, в обход смс и опросов, но это будет проверять СБ в первую очередь.
UFO landed and left these words here
Да наверное мой косяк что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов.
То есть если к оператору поступает запрос на пробить человека по паспорту, то вся ваша система летит к чертям?
Не говоря уже о том, что он может списать данные после того, как клиент ушёл…
Только тут вопрос в том, что
1. Если доступ был получен без смс и вопросов, то это пишется в логи с высшим приоритетом и проверяется СБ. Мало ли, у клиента телефон украли, и что делать? Восстанавливать номер? А если другой город? Да этот способ должен быть, и причем в приоритете как для доступа клиента к своему счету, так и для СБ при проверке. В идеале еще и фотку должны делать, чтобы точно было видно клиента.
2. Списать данные можно, вопрос как их выносят потом — это уже вопрос к СБ. Даже если и можно вынести данные, то это сеть сотрудников должна работать, чтобы приличный объем собрать. И данные по остаткам будут неактуальные в большинстве таких случаев.
1) Клиент может быть просто без того телефона, на который зарегано. У меня вот 2 симки сейчас. Забыть второй телефон от нечего делать могу.
2) Именно поэтому ходят разговоры о запрете смартфонов на местах, ибо просто фоткают незаметно и всё.
И ограбление сберкассой почти всего населения страны не стало уроком и этот колхоз не станет.

Я полагаю, вы про историю с "протуханием" вкладов в результате гиперинфляции?
Если так, то, справедливости ради, Сбер не грабил "почти все население страны".
Все вклады были сохранены в исходном объеме. И их даже вполне можно было получить в том же объеме (с учетом деноминации).
Компенсировать инфляцию никто, (кроме государства, да и то в весьма ограниченном объеме), вкладчикам не обещал.

«протуханием» вкладов

По рассказам «очевидцев», проблема была не в гиперинфляции, а в том, что обналичить эти вклады не удавалось за приемлемое время. А когда подходила очередь, «уже можно было и не спешить».
Покажите мне хоть один банк на планете, из которого можно в течение 1-2 недель вынуть наличкой все вклады всех вкладчиков, тогда можно будет спорить, кто и кого «грабил».
Проблема в том, что «тогда» был только один способ «сохранить деньги» — взять налом и потратить их хоть на что-то. Если бы тогда разрешали держать в валюте, золоте и т.д. просто диверсифицировать свои сбережения в разных банках — тогда можно было бы говорить, что государство никого не кинуло, а население — ССЗБ.
Сейчас такая же политика проводится — выдавливание валютных вкладов, закручивание гаек по обналичке (особенно валюты) и т.д. Ну и смотрю, некоторые действительно переходят в «рублевую зону»
Если бы тогда разрешали держать в валюте, золоте и т.д. просто диверсифицировать свои сбережения в разных банках — тогда можно было бы говорить, что государство никого не кинуло, а население — ССЗБ

В золоте можно было держать. Ювелирка продавалась, ломбарды работали. Некоторые как раз тогда в ювелирку и вложились.
Другой вопрос, что метод, мягко говоря, не очень. Но потери в любом случае меньше были бы.
Опять же, никто не мешал деньги хранить в обычной стеклянной банке.
Так что по вашему и получается, что можно говорить, что население — ССЗБ (на самом деле нет).


что государство никого не кинуло

А каким боком тут сам сбер? Он, как и вкладчики, под государством был.

Даже фильм «Иван Васильевич меняет профессию» рекламировал сберегательные кассы :)
Учитывая деревянные двери, одинаковые замки («С легким паром») и отсутствие квартирной сигнализации как факта в Советском Союзе — то хранить дома налик в стеклянной банке была так себе идея.

А Сберу запретили выдавать вклады. См. Павловскую реформу.
Учитывая деревянные двери, одинаковые замки («С легким паром»)

В СССР, внезапно, ставили и железные двери (если ориентироваться на фильмы той эпохи, то, однако, "Бриллиантовая рука"). Ставили, конечно, сами жильцы, а не государство.
А уж замки были самые разные: сувальдные, реечные, классические цилиндровые (в том числе с извращениями вроде крестообразного ключа), дисковые.
И квартирная охранная сигнализация была (правда ее могли подключить только при наличии телефона без блокиратора). Другой вопрос, что "наши люди в булочную на такси не ездят", но все же.
И часто новый жилец при вселении первым делом врезал свой новый замок или хотя бы менял личинку старого.


А Сберу запретили выдавать вклады.

Отож, сами же написали — Сберу запретили, а не Сбер ограбил.

Учитывая деревянные двери, одинаковые замки («С легким паром»)

Это и сейчас есть — купите ультрабюджетную квартриру в новом доме без отделки. Только дверь будет "картонной", а не деревянной. Хотя, у нас в СССР тоже была деревянная дверь и один замок (двойную деревянную поставили когда старая стала чуть не выпадать и замок заедать, а новый туда не врезать). При демонтаже выяснился забытый факт — замок "от строителей" был заменён и от него остались дырки, закрытые обивкой двери. Был более-менн спокойный район (и сейчас такой же), в 90е чуть пошумели, квартиры пообносили (кто-то на хабре называл это "время возможностей") на предмет телевизора и хрусталя, потом снова всё тихо.


Ru6aKa


Я чуть ниже написал как это решается, через введение кода пароля с смс, для доступа оператора к данным клиента.

У клиента нет с собой телефона (украли и он снимает нал, чтобы купить новый, находясь в командировке) или сел. Вы теряете клиентов банка сильнее, чем от таких утечек.


Если ваша карточка по геолокации из браузера или мобильного приложения

Телефон уехал в братскую республику (да ещё и в выключенном состоянии), какая и чего геолокация? Не говоря о том, что часть клиентов Сбера даже сотовый недавно стала использовать, а уж смарты… (ГПС в бабушкофонах нет, а читать смс транслитом для многих не представляется возможным).


понимает где карта находиться

Нье-ньет, карта не есть находиться в тот город, это есть плохой вариант.


Или это технически нереализуемо?

Это технически нереализуемо. Кстати, у меня нет приложения Сбера (у меня есть приложение Сбера, но ему запрещён доступ к ГПС). Как решите эту проблему? (На самом деле у меня нет и карточки Сбера, а есть счёт с доступом по паспорту и сберкнижка, ваша идея провалилась третий раз).

Только дверь будет «картонной», а не деревянной.
Почему, может быть даже металлической. Настолько металлической, что консервным ножом вскрыть можно будет или даже руками этот метал сорвать.
У клиента нет с собой телефона (украли и он снимает нал, чтобы купить новый, находясь в командировке) или сел. Вы теряете клиентов банка сильнее, чем от таких утечек.
Доступ без пароля, с алертом в СБ, в идеале с фоткой клиента.

(у меня есть приложение Сбера, но ему запрещён доступ к ГПС).
И небось еще ВПН включен? По айпи геолокация приблизительно определяется.

Это технически нереализуемо. Кстати, у меня нет приложения Сбера (у меня есть приложение Сбера, но ему запрещён доступ к ГПС). Как решите эту проблему? (На самом деле у меня нет и карточки Сбера, а есть счёт с доступом по паспорту и сберкнижка, ваша идея провалилась третий раз).
У оператора в отделении тоже геолокация пропала? Вы так описываете, как будто система вообще не знает что где и кто делает?

Да давай на единичных случаях показывать что ничего не работает и спасет только биометрия с чипами :)
в 90е чуть пошумели, квартиры пообносили (кто-то на хабре называл это «время возможностей») на предмет телевизора и хрусталя, потом снова всё тихо
Да-да, пообносили, потом перестали. Вас просто не было в 90-х, ну разве что в раннем детском возрасте, вот вы эти глупости с десятых источников и повторяете, все логично. Квартиры тогда еще не обносили в столь промышленном масштабе, как сейчас, хотя тогда были у многих деревяшки. Масштаб несравним, конечно: меня за последние 10 лет пытались обнести дважды, первый раз успешно — всю лестничную клетку тогда же вскрывали, тоже с переменным успехом. Ну и опыт родственников и знакомых (масштабы вместо фантазий) о чем-то говорит. Москва, почти окраина, да.
Когда стали массово ставить железные двери?
Вот и ключ к вашему спору.
Железные двери начали массово ставить, когда появилась такая возможность, например у нас в городе это было в начале 80ых.
Начали-то еще в середине 80х — начале 90х. Массово — сильно позже. Где ключ?
Начали как только смогли. В фильме 1969 года «Бриллиантовая рука» показывается железная дверь у персонажа, который старается казаться обычным гражданином. В начале 80ых это стало массовым. Отгораживали тамбура, что бы было две двери, ставили железную внутрь, что бы ее было не видно и все такое.
Ну что вы, в 80-х до массовости было еще очень далеко, стояли обычные деревяшки, как раз тогда металлическая дверь воспринималась как что-то именно из «Бриллиантовой руки».
Ну конечно, а я не помню 80ых и мне будут рассказывать люди которые о совке слышали от пучковатых гоблинов.
Может у вас в поселке деревяшки стояли, не исключаю, а в миллионнике в котором жил я в начале 80ых начали массово ставить железные двери.
Вы зачем-то постите фантазии про металлические двери в 80-х. Мне же ничьи фантазии не нужны, я-то в этом совке жил. Мне бесполезно писать, что все было не так, как на самом деле.
Может у вас в поселке деревяшки стояли
Да, «у нас в поселке» именно деревяшки стояли. Не то что в аж целом миллионнике, там-то было все на широкую ногу, как раз Москве на зависть? Что-то мне подсказывает, что не так.
Твои фантазии про совок не интересны. В реальном совке металлические двери ставили в начале 80ых массово. А в фантастическом о котором рассказывает пропаганда все были прекрасные, двери вообще не закрывали, краж не было, а в 92 году прилетели марсиане и испортили советских людей.
О, да тут уже фантастика, пропаганда, марсиане и советские люди. Видите ли, юноша, собственно, уже на предыдущем комменте про пучковатых гоблинов был очевиден жирный неадекват собеседника, и на том мне бы откланяться. Что ж, второй раз мне наука — с неадекватами дискутировать даже не пытаться, дальше будет только гуще и агрессивней.

Кстати
С персонажем из первого опыта диалога с неадекватом разговор похож буквально в деталях: тот тоже совершенно не владел матчастью (но приписывал себе солидные сертификаты), и это никак не мешало уверенно снести полтонны дичи; когда тому немного базовой матчасти объяснили с терминологией и ссылками, начал немедленно брызгать слюной в истерическом стиле. Это сейчас так модно-молодежно или просто я умудрился найти одного такого персонажа дважды?
Если на рассказ о реальности пациент скатывается к оскорблениям, то с пациентом все ясно
Я полагаю, вы про историю с "протуханием" вкладов в результате гиперинфляции?

Да, эти деньги были украдены сберкассой у всего населения страны.


Все вклады были сохранены в исходном объеме. И их даже вполне можно было получить в том же объеме

Воровство как раз и заключалось в том, что их нельзя было получить ни в каком объёме. Но, "когда-нибудь потом", о, да, можно. После того, как деньги обесценились на три порядка. Вы не считаете это воровством? Ну, а я считаю.


Компенсировать инфляцию никто, (кроме государства, да и то в весьма ограниченном объеме), вкладчикам не обещал.

А вот доступность вкладов была обещана.


Если так, то, справедливости ради, Сбер не грабил "почти все население страны".

Угу. Всё божья роса...

Воровство как раз и заключалось в том, что их нельзя было получить ни в каком объёме. Но, "когда-нибудь потом", о, да, можно. После того, как деньги обесценились на три порядка. Вы не считаете это воровством? Ну, а я считаю.

Вы человека, который вовремя долг не отдает, тоже вором называете? Причем вне зависимости от причин задержки?


А вот доступность вкладов была обещана.

Это да, но эта доступность была отозвана не собственной волей Сбера, а волей государства.

Стройности этой картины несколько мешает то, что 1998 году было то же самое в миниатюре. Как только начался дефолт, Сбер прикрыл выдачу денег. Вот только в 1998 году, в отличие от 1990, были уже и другие банки, многие из которых выдачу денег не прекращали. Помню, как я получал наличные в банкомате Петровского, когда банкоматы Сбера не работали. Соовтветственно, успешно вложил их по додефолтному курсу. А клиенты Сбера пролетели в очередной раз.
У Сбера с вопросом «Кто кидал клиентов» все по старому анекдоту
— А мы назвали сына Изяслав
— А что, удобно. Если нужно Изя, если нужно Слава.

Когда Сбер хочет рассказать какой он старый они пишут, что они существуют с 1841 года. А как только напоминаешь, что кое-кто тут кинул сначала в 1917-1921 годах людей, потом на реформе 1947, потом на реформе 1961, потом на развале союза, они тут же из Изи становятся Славой и рассказывают, что существуют с 1992 года и во всех кидках не виноваты. Про 1998 они стараются отмалчиваться.

Вообще именно Сбер это синоним кидалова, остальные банки в РФ в подобном не замечены.
Когда Сбер хочет рассказать какой он старый они пишут, что они существуют с 1841 года.

Брешут. Конечно, приятно протянуть свои корни в древность подальше, но кроме названия абсолютно ничего общего.


А как только напоминаешь, что кое-кто тут кинул сначала в 1917-1921 годах людей,

Этот Сбер к тому никакого отношения не имеет. Тот накрылся в 1917 с концами. Советский был создан с нуля в 1922. Нынешний Российский в 1991. Это разные конторы.


потом на реформе 1947, потом на реформе 1961

Реформы, внезапно, проводились не Сбером. Сбер в данном случае только посредник, выполняющий распоряжения руководства страны.
Вы еще пожалуйтесь, что Сбер самовольно при последней деноминации вам уменьшил вклады в 1000 раз.


и рассказывают, что существуют с 1992 года

Тоже брешут.
В нынешней форме они существуют с 22 марта 1991 года.
Им, конечно, хорошо обломилось от расформированного 1 января 1992 Сбера СССР (получили со всеми потрохами Российский республиканский банк Сбербанка СССР), но это совсем другая история.

Зайдите на сайт sberbank.ru и прочитайте там, что они с 1841 года ;)
Они сами считают себя одной конторой, когда выгодно
Стройности этой картины несколько мешает то, что 1998 году было то же самое в миниатюре. Как только начался дефолт, Сбер прикрыл выдачу денег.

Пес его знает, но мне случалось в это время забирать деньги со вклада.
Очереди были большие. Наличка в отделениях и банкоматах быстро кончалась. Но чтобы совсем прикрывали выдачу — не было такого.

Вы человека, который вовремя долг не отдает, тоже вором называете?

Человека, взявшего деньги в долг и не отдающего, да, вором. А вы как-то иначе?
Человека, взявшего в долг количество денег равное эквиваленту стоимости квартиры, а вернувшего эквивалент стоимости обеда в столовке, тоже да, вором. Или мошенником. А вы как-то иначе? А, кстати, дадите в долг? Я с процентами верну. На денюжках будет ровно столько же в цифрах, сколько брал (ну, и плюс проценты, конечно). Денюжки, кстати, классные — их стирать можно, они пластиковые, не растворятся.


эта доступность была отозвана не собственной волей Сбера, а волей государства.

А ничего, что это тот же самый карман? Но вы, разумеется, можете верить, что это злое государство не позволило доброму сберу расплатиться по долгам. Ну, и будете раз за разом получать вот такие "приветы". Мне одного раза хватило. А мыши продолжают жрать этот кактус.

Человека, взявшего деньги в долг и не отдающего, да, вором. А вы как-то иначе?

Долг не отдающего — это да. Я же спрашивал про долг отдающего, просто не вовремя.


Я с процентами верну. На денюжках будет ровно столько же в цифрах, сколько брал (ну, и плюс проценты, конечно).

Вот почему-то мне кажется, что проценты будете возвращать те, которые договорено изначально, а не скорректированные с учетом инфляции.

Долг не отдающего — это да. Я же спрашивал про долг отдающего, просто не вовремя

Вы второе предложение не прочли? Так я повторю!
<Человека, взявшего в долг количество денег равное эквиваленту стоимости квартиры, а вернувшего эквивалент стоимости обеда в столовке, тоже да, вором. Или мошенником. А вы как-то иначе?


Вот почему-то мне кажется, что проценты будете возвращать те, которые договорено изначально, а не скорректированные с учетом инфляции.

И что?

У меня вопрос, насколько юридически правильно оформлен факт обнаружения этой проблемы? Опубликовано-то на Заблокированном форуме, т.е. теоретически российские структуры не имеют права на этот форум заглядывать, даже если блокировка дырявая. (попадалась байка, как хитрый амерский адвокат отмазывает бухих шоферов: факт пьянки не оспаривается и не упоминается, НО, полицейский был слегка не по форме одет, немного не так представился, права невнятно зачитал… успешно:) )
Опубликовано-то на Заблокированном форуме, т.е. теоретически российские структуры не имеют права на этот форум заглядывать, даже если блокировка дырявая.


Чё это?

У нас нет запрета читать запрещенную информацию. Этот «оруэлл» вы путаете с западным подходом, там тебя могут арестовать за отказ расшифровать мусор на твоем компьютере: «В Англии ты можешь попасть за решётку за хранение шума».

У нас запрет только распространять запрещенную информацию.
Дык у нас точно так же отмазывали: малейшая ошибка в протоколе, вплоть до отсутствия точки в конце — и объявляли его недействительным. Так судья может и не заметит, но бывшие гайцы, которые составляли костяк таких контор по отмазу — все это указывали и на основании этого сливали протокол.
Ну хорошо, виновный найден. Логичным было бы теперь для журналистов повторить квест с тестированием базы, если был один источник из админов то квест не пройдёт (ну или не пройдёт если Сбербанк купил-таки базу). Они повторили? Не слышал. Странно это.
Сбербанк такой сбербанк… Как можно давать доступ к такому объему данных? Такие запросы к БД как минимум должны выполнятся вдвоем… Один делает запрос, другой подтверждает… Желательно из службы безопасности…
Такой серьезный пост, и личность установлена и дата рождения, а посчитать сколько ему лет, 27, или все же, 28 — не смогли.
Минутка заботы от НЛО

Гм, а в этой статье это зачем?
Статья ведь не про политику, а про дырявый банк.
Не пора ли дорогой редакции полным составом к мозгоправу, параною лечить?
Заодно, возможно, придёт и понимание, что глупые подписи в подвале ресурс от уничтожения не спасут.

либо у них там ОПГ работает вместо одного сотрудника, либо кто-то извне (может, субподрядчик или взломщик) получил доступ к базе и слил ее.

Я от СБ уже ничего не ожидаю. Меня зовут Иван и мне на почту начали приходить промо-письма, в которых меня приветствовали, как "Дамиржан Байжанович". На просьбу объяснить, как такое вообще могло случиться, поддержка ответила, мол, другой клиент на эту почту подключил рассылку. Т.е. при подключении рассылки они даже не подтвердили адрес.
При всём при этом, отказались вмешаться в процесс вручную, и исключили мой адрес из рассылки (внимание!) в автоматическом режиме через 14 дней.
Т.е. добавили без моего ведома — моментально, а отписать — 14 дней. И эти 14 дней я читал "Здравствуйте Дамиржан Байжанович, а купите-ка наш продукт!". (т.е. не исправили даже обращение).


Свиньи, да и только.


Хотя, я предполагаю, что никакой другой клиент ничего на мой адрес не подключал. Очередной чёрный коричневый маркетинговый ход. Что не отменяет, а только подтверждает свинство организации.

Стандартная беда обладателей простых почт. Даже Нетфликс этим грешит. Хороший показатель того, кто в компании главнее — инженеры и безопасники или маркетинговый отдел.
А может быть ещё проще, по крайней мере в Альфе так мне левую почту в договор обслуживания попытались вкорячить, когда я им свою не дал, сказав, что бесовскими изобретениями не пользуюсь (ну нафиг мне ещё и от них спам не нужен). В ответ на вопрос — «Что за н@х?» мне на голубом глазу заявили — «А иначе программа дальше не пускает, если это поле пустое.»

Тогда они могли пойти мне на встречу и отписать моментально, как я и просил. Но мне ответили, что такой возможности нет, хавайте читайте ещё 2 недели

Так не всё так просто-то. Программа без почты-то дальше не пускает! Нужно, значит, вместо Вашей другую почту тому Дамиржану Байжановичу указать. Две недели, значит, выбирали какую.
О, да на эту тему статья была.
Что было значение почты по-умолчанию, если оно не заполнено, и оно принадлежало совсем левому третьему лицу на сервисе публичной почты, куда отсылались письма для тысяч разных людей.
Что-то типа ivan.ivanov@mail.ru
Простую почту не использую, однако гугл когда-то придерживался позиции «модняво-молодежного»: почты с точками и без считал различными.
А потом таки провел ревизию и эти адреса схлопнул.
С тех пор «живу» вместе с Сарой из Британии на одном почтовом адресе.
Но т.к. моя почта была зарегана первой, я же и признан владельцем (хоть тут пронесло).
А Сарина почта теперь вся видна мне. И даже её попытки как-то в этом разобраться (переписка с саппортами)… весело.
> однако гугл когда-то придерживался позиции «модняво-молодежного»: почты с точками и без считал различными.

Так никогда не было. С 2004 года пользуюсь GMail, то есть с ранней беты, всегда адреса с точкой и адреса без точки были одним адресом, точка незначащий разделитель для GMail.
самый лучший вариант, что мне попался недавно, это регистрация в спортмастере. Девочка-начальница (судя по бейджу), взяла мой телефон, установила программу и спрашивая у меня ФИО, дату рождения регистрировала профиль. После проверил, что же она там нарегистрировала: почту — видимо свою, дату рождения — видимо тоже свою (хотя я бы ей столько не дал, но с почтой совпадает), адрес — ну и тут видимо тоже свой)) Вот это я понимаю забота о ПДн клиентов. Мыло я сменил.
Может вы просто понравились девушке и она таким образом снабдила вас всей своей контактной информацией, а вы не поняли?
там был наплыв посетителей, глазки строить было некогда.
ну и спасибо, что предупредила, что она на 10 лет старше меня))
200 клиентов этого банка, у которых были слиты данные банковского счета могут спокойно подать в суд на банк, за то что нарушили пункт о конфиденциальности и информации о персональных данных
Только ко что капнуло в Телеграмм от ДевайсЛока
На текущий момент мы обнаружили в совершенно свободном доступе (даже без пароля) 2499 строк из утекшей базы
Дык этим целые PR конторы занимаются, общественным мнением.
Анализируют и купируют слухи.
Как только появилась информация об утечке — сразу начали форсить эту утечку в 200 карт. Если бы сберовцы отрицали — было бы хуже. А так все пожали плечами — мол ничего страшного, подумаешь карты пострадавшим перевыпустят.
А теперь хоть 1млн человек карты перевыпусти — никто и не поймет масштаба, будут думать что они просто попали в эти 200 человек из выборки.
Да, этим мне реакция Сбера понравилась. Грамотно и четко отработали. Сразу сказали — пострадало двести и точка. И видимо отработали по всем СМИ — везде, где с утра не написали про миллионы — только в их редакции

А вот Роскомнадзор в традиционной позиции незамечания отечественных утечек. И это грустно
А мне какое то время назад стали приходить на емэйл письма из какого то шведского банка (на двух языках). Обращение шло по моим фамилии-имени-отчеству. Сообщали мне о движении средств по якобы моим счетам и картам… Я так и не понял, что это было…
Да нет, больше похоже было на обычные бытовые банковские транзакции: отчеты об оплате неких коммунальных услуг и прочее, связанное с недвижимостью. Такое ощущение, что некто под моим именем там счет открыл и недвижки прикупил. Может быть полный тезка?
Подскажите пожалуйста, касается ли сие только Российского банка, или также утечка коснулась клиентов филиалов в других странах, например в Казахстане?
У Сбербанка нет филиалов в других странах, а есть банки с таким же названием частично принадлежащие Сберу в других странах. Так что общих баз у них быть не может, не стоит беспокоится.
Пока фраза «дает признательные показания» имеет какой-то вес в обществе, можно считать, что судебной системы нет как таковой.
А за что минус? Разве это новость, что признательные показания можно просто «выбить»?
Наверное это от того, кто данную методику практикует.
Видимо, от тех, кто не считает фразу «человек признался» равной «показания выбили».

Чтобы минимизировать человеческий фактор, нужно использовать постоянное шифрование.
Подобные методы есть в разных СУБД.
Тогда никто не сможет увидеть всех данных, даже сам DBA.
На самом деле DBA может расшифровать, но если сможет, то это очень ценный и единичный спец.

Only those users with full accounts are able to leave comments. Log in, please.