8 October 2019

Сбербанк подтвердил утечку данных 5 тыс. учетных записей кредитных карт

Information SecurityData storageLegislation in ITIT-companies
Появились дополнительные факты, выявленные в ходе расследования по обнаружению канала утечки данных учетных записей по кредитным картам клиентов. Согласно пресс-релизу банка от 7 октября 2019 года, подозреваемый в совершении утечки сотрудник финансового учреждения в конце сентября 2019 года продал информацию, содержащую в совокупности данные о пяти тысячах учетных записей кредитных карт Уральского банка Сбербанка. Ранее представителями банка было заявлено об утечке данных только по 200 картам.

Два дня назад Сбербанк сообщил, что завершил внутренне расследование и нашел сотрудника-злоумышленника. Им оказался руководитель сектора в одном из бизнес-подразделений. Согласно предоставленной ранее информации в пресс-релизах банка, этот сотрудник уже дал признательные показания о хищении двухсот учетных записей кредитных карт. Теперь же это количество похищенных записей стало в 25 раз больше.

Сотрудниками службы безопасности банка совместно с правоохранительными органами собрали и задокументированы улики совершенного преступления. В ходе расследования дополнительно было установлено, что пойманный за сбор и кражу данных сотрудник все же смог продать в конце сентября 2019 года одной из преступных групп в теневом интернете (даркнете) пять тысяч учетных записей кредитных карт Уральского банка Сбербанка. Продажа проходила в несколько этапов. Большая часть записей в проданной базе данных является устаревшей и неактивной.

В проданной базе есть данные: ФИО, номер паспорта, номер карты, ОСБ, филиал, лимит кредита, дата опердня, место и адрес работы, срок действия карты, номер счета карты, дата рождения держателя и его адрес, процентная ставка.

По заявлению представителей банка, на данный момент активные карты из этой утечки перевыпущены, угрозы для средств клиентов нет. Виновному в утечке данных клиентов сотруднику Сбербанка грозит уголовная ответственность. Сотрудник объяснил свои действия личными причинами. На данный момент в СМИ информации о возбуждении уголовного дела нет. Налицо лишь признаки незаконного получения и разглашения сведений, которые составляют банковскую тайну (ст. 183 УК). Максимальное наказание по этой статье — принудительные работы на срок до 5 лет либо лишение свободы до 7 лет.

По данным издания "Коммерсантъ", эксперты по ИБ ранее находили в открытом доступе разбитые на несколько фрагментов базы данных в совокупности на 2 тыс. записей, часть из которых может быть еще не заблокирована на данный момент.

Для предотвращения утечек данных Сбербанк использует DLP-систему компании InfoWatch. По заявлению зампреда правления банка Александра Ведяхина, который возглявлял штаб по проведению внутреннего расследования этой утечки, файлы с данными учетных записей кредитных карт не были доступны извне и находились во внутренней директории одной из систем, а копию данных на внешний носитель или на другое устройство во внутренней сети пользователь сделать не может.

Руководитель отдела аналитики Searchinform Алексея Парфентьева считает, что расследование еще проведено не полностью и банк не знает точно, сколько утекло в действительности данных, либо его реальные результаты умышленно умалчиваются.

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт

Кодекс авторов Хабра и хабраэтикет
Полная версия правил сайта
Tags:Сбербанкпроблемаутечкаданныебаза данныхкарты
Hubs: Information Security Data storage Legislation in IT IT-companies
+17
10.3k 4
Comments 76