Information Security
Comments 319
+41
А тинькофф деньги вам не вернул, потраченные на проверочный «пробив»?
+38
Интересно, через сколько месяцев внесут поправки в закон о банковском инсайде, или как он там называется, что данная статья попадёт вот в эту самую категорию инсайда, и публикация таких статей станет незаконной. За статью будет статья, вот такой каламбур-с.
+38
Пропаганду пробива, описание методов, очернение госслужб, нарушение устойчивости российской финансовой системы, мало ли что можно придумать…
+2
Очернение честного частного бизнеска предприимчивого клерка ТКС!
Малый бизнес и так страдает, а тут вы ещё…
+2
Слишком сложно, 128.1 УК РФ — Клевета, до 1 миллиона рублей штраф. Практика показывает, что еще могут обыск провести дома, клевету поискать.
+1
Насколько я понимаю российские законы,

УК РФ 272 ч1,. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.

Информация, защищенная законом, есть, копирование есть. Корыстных мотивов, ущерба или служебного положения, нет, и именно поэтому ч1 упомянутой статьи, а не ч2, 3 или 4.

А то, что информация об авторе же — ну, это бы работало, если бы автор в собственный личный кабинет вломился, куда у него доступ и так есть. А доступа к ИС банка у него не было и быть не должно, поэтому копировать полученную оттуда информацию (пусть даже и о самом себе) он права не имел.

Если бы не такое широкое освещение в медиа — думаю, автору бы прилетело, Тиньков иногда бывает импульсивен.
+5
Технически говоря, ТС не осуществлял доступ к информации, это делал злоумышленник. Так что тут можно крутить в любую сторону — в зависимости от компетентности адвоката, от полной невиновности до какого-нибудь сговора.
+1
О, точно, группой лиц по предварительному сговору!

На самом деле, двухходовка, которую вы описываете — то есть, два формально не не особо незаконных действия, (или одно из которых не особо незаконно) но неразрывно связанные и вместе составляющие четкую картину правонарушения, уже давно и просто трактуются как правонарушение.

Ну то есть все вот эти «какие налоги, какие чеки, какие разрешения, я ему ничего не продавал. Я подарил ему картину, он подарил мне деньги», или там кошелёк из кармана тащит один воришка, и тут же передает его второму. Если первого ловят — у него нет главного вещдока, а второй — он вроде как и не крал… В общем, всё это не работает. И то, что ТС лично не заходил в интерфейс оператора банка — не изменяет того, что информацию, которую он сознательно получил, да при пособничестве сотрудника банка, он получить не должен был.
+4
Одной из обязательных составляющих преступного деяния является умысел. Нет умысла — нет состава преступления. В данном случае умысел был на выявление дыр в безопасности, а не на незаконное завладение информацией.
И, пожалуйста, про «вы ничего не докажете» давайте не будем, мы же обсуждаем формальную сторону.
0
Умысел — это не то, что автор хотел сделать на самом деле, а то, что пишет следователь в обвинительном заключении. Это если говорить именно о формальной стороне.
+2
И причем этот идиотизм уже начинает реально работать — помните, пару лет назад в Штатах хотели посадить несовершеннолетнюю девушку за пост своей фотки с обнаженкой в соцсети: ретивый прокурор привлек ее по формальной статье — порнография с участием несовершеннолетних. А что сама себя — так про это в законе ничего не говорится.
Этак скоро вскрывать вены, вешаться и травиться перестанут — приехала скорая, откачала, и героя сразу в тюрьму на 10 лет — покушение на убийство. Самого себя, но про это в законе опять же уточнения нет.
+2
Причем иногда этот идиотизм работает во благо. В Финляндии детишек, которые сильно прогуливает школу, судят за нарушение их собственно права на образование и приговаривают к проживанию в воспитательном приюте.

Правда у них в приютах взрослых в два раза больше, чем детей, поэтому сей метод работает хорошо. У нас юридическая техника помещения в приют иная, но работает плохо, потому что у нас в приютах меньше взрослых.
+1

В Германии вот нет права на школьное образование. Вместо него есть Schulpflicht — обязанность детей определенного возраста (различается в разных Землях, находится в промежутке 5 — 17 лет) посещать школу.
За нарушение этой обязанности суд может наложить штраф на родителей. Если же ребенок достиг определенного возраста (в разных Землях по разному, обычно — 13-14 лет), и был сам виноват в прогулах, то суд по заявлению родителей может вместо штрафа назначить ребенку обязательные работы (100 — 300 часов). Дети привлекаются к не требующему квалификации труду (обычно уборка помещений, территории) обычно в различных заведениях социальной направленности (больницы, дома престарелых, детские сады и т.п.). В общем получается так: прогулял школу — поработай метлой.
Ну а в Jugendanstalt (воспитательное заведение закрытого типа для несовершеннолетних) отправляют только в совсем экстремальных случаях. Например если ребенок начинает прогуливать те самые назначенные ему обязательные работы.

0
судят за нарушение их собственно права
Это, простите, что-то немыслимое. По такой логике выходит, что права и обязанности — это одно и тоже. Мечта наших отцов народа. Можно, к примеру, издать указ, в котором будет явно прописано ваше право публично хвалить государя в комментариях на хабре. Соответственно, если вы этого не будете делать, то вас можно увозить в «воспитательный приют», т.к. вы нарушаете своё собственное право.

Я к тому, что если ходить в школу — это обязанность детей, то так и нужно говорить. Иначе это подмена понятий и, как следствие, нарушенное мышление.
0
Такое бывает и с другими правами.

Например, есть право на жизнь. Но если вы совершили неудачный роскомнадзор, то ваш будут принудительно лечить в психушке. Собственно за отказ от собственного права на жизнь.

Есть право на жилье. Если вы его не используете, вы нигде не зарегистрированы. И из-за этого теряете в других правах. То есть любой документ, где требуется регистрация, вам не получить. Например, с полисом ОМС — огромные проблемы.

Могу ещё несколько примеров привести. Так что бывает такое.

P.S. Разумеется то относится не ко всем правам. Но для некоторых — отказ от права наказуем.
0
Не стоит ли из этого заключить, что на самом деле речь идёт об обязанностях? Само по себе наказание человека за то, что он не пользуется своим правом — абсурд. Наказать можно только за невыполнение обязанностей, но никак не за нежелание пользоваться правом.
-1
Почему? Из каких аксиом это вытекает?

«Право» означает, что вы можете его использовать разными способами. Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?
+1
Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?
Из смысла слова «право» в русском языке. Право — это предоставленная возможность, но не обязанность. Иначе бы не было никакой разницы между правами и обязанностями.
0
Это юриспруденция, забудьте про русский язык и здравый смысл. По смыслу — «несовершеннолетний» — это одно понятие. А у юристов — два разных, одно в ГК, другое в УК.

И в УК у нас "Несовершеннолетними признаются лица, которым ко времени совершения преступления исполнилось четырнадцать, но не исполнилось восемнадцати лет."

Русский язык, ау? Здравый смысл, ау? Нету их. Есть законы.

Мне лень искать источники, но вот вам вики:

Если правоотношение урегулировано диспозитивной нормой, управомоченный субъект может отказаться от принадлежащего ему права, в том числе передав его другому субъекту (такой отказ, будучи юридическим действием, прекращает либо изменяет правоотношение).

Если общественное отношение регулируется императивной нормой, то отказ от соответствующего субъективного права не имеет юридической силы (к правам такого рода относятся, в частности, права человека).
0
Я не спорю по поводу того, что здравого смысла в этом нет. Однако, юриспруденция сама основана на обычном языке и, если подходить рационально, никак не может превалировать над ним, иначе вообще станет не ясно, за что судят человека. Т.е. человек в суде будет говорить, что никого не убивал, а ему скажут что-то из серии: «Вы просто не понимаете юридического языка». Опять же, я согласен с вами, что в реальности всё печально, и на практике порой происходят откровенно абсурдные ситуации, но я ведь с того и начал, что высказал мнение против подобных практик. Считаю, что это одурачивание людей и поле для жонглирования понятиями и законами.
+1
Мне кажется, что рациональный подход (с точки зрения домохозяйки) не применим. И не только к юриспруденции, но и к программированию.

Ну что рационального (для домохозяйки) в том, что 1 и 1.0 имеют разные битовые представления? Мы к этому привыкли и понимаем причины.

Видимо и юристы понимают необходимость прав, отказаться от которых нельзя. Вроде права на жизнь vs эвтаназии.

Кстати, ещё есть личные права, которые не передать по доверенности, вроде права на написание завещания. Они тоже не очень рациональны (для домохозяйки).
0
Видимо и юристы понимают необходимость прав, отказаться от которых нельзя
Чем вообще в таком случае права отличаются от обязанностей?
0
Из вики: субъективное право определяет меру и пределы возможного (т.е. дозволенного) поведения правомочного субъекта в отличие от обязанности — меры до́лжного поведения, и запрета — меры недопустимого поведения

Вы имеете право работать. Вы сам решаете, где работать, кем, за какие деньги, по какому графику. Но за тунеядство в СССР была уголовная статья.

Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.

То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можете (или этот выбор сильно ограничен).

Но это лучше к юристам.

P.S. Ещё один пример. Завести детей — это право, но налог на бездетность в СССР был.
0
То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можете
Этим самым вы утверждаете, что право это в принципе вид обязанности, и единственная разница — реализация обязанности. Я с такой трактовкой не согласен. Не лучше ли это назвать определённым видом обязанности, дабы не путать понятие права как возможности, не предполагающей принудительной реализации, с понятием обязанности в том или ином виде?

Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.

Дело в том, что режим налогообложения тоже можно выбирать. Таким образом это в соответствии с вашей же интерпретацией является правом, а не обязанностью. Выходит путаница.

Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете. Например, я обязан содержать помещение, в котором проживаю, в соответствии с определёнными требованиями неких законов. Как я буду это делать — я выбираю сам, таким образом по-вашему — это не обязанность, а право.
0
Я не юрист, поэтому не утверждаю, а объясняю. Но могу и ошибаться. Нет смысла со мной спорить.

Вопрос о том, кого как лучше назвать — смысла не имеет. Не лучше ли назвать «программу» ну скажем «прокодом», ибо в ней нет ничего про граммы? :-)

понятие права как возможности, не предполагающей принудительной реализации
Хорошая мысль. У обязанностей есть принудительная реализация, а у прав нету. Налог на бездетность все-таки очень далек от принудительного совокупления. :-)

Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете.
Так я вообще ничего не предлагаю. Просто вместе с вами разбираюсь во взаимосвязи прав и обязанностей.

По мне, общая обязанность платить налоги не противоречит частному праву на выбор налогового режима. Кстати, если этот выбор вас касается — от него нельзя отказаться, ибо все равно какой-то режим будет выбран по умолчанию.

Знаете, что? Понимайте этот так. У любой переменной в Си есть значение. Оно может быть неопределенным, но какое-то значение всегда есть. А вот в SQL — бывает NULL, что означает «нет значения». Вы хотите, чтобы везде было как в SQL, но технически — это неудобно.
0
Путаница в терминах получилась. «Формальная сторона» в моём понимании — это то, что произошло «на самом деле» и должно быть отражено в деле, актах и заключениях. Случаи неправомерной, незаконной работы судебной машины здесь неинтересны и я ещё раз прошу их оставить за скобками, чтобы не разводить флейм.
У вас есть мысли насчёт того, что произошло на самом деле между автором и банком Тинькофф?
0
Автор в результате не пострадал. Он просто получил данные о себе, и заяву сам на себя писать не будет. А вот сотрудник, незаконно сливший данные на сторону неавторизованному пользователю, вдобавок получивший за это финансовое вознаграждение — злоупотребляет положением, и есть статья.
0
Так получается, что умысел на получение информации всё равно был. А то, что делалось это для выявления дыр в безопасности, не играет никакой роли.

Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.

Т.е. автор хотел получить эти данные? Хотел. Производил целенаправленные действия для получения данных? Производил. Умысел налицо.

Если бы автор не хотел получать эти данные, и действий, направленных на их получение, не производил, но данные все равно оказались бы у него, то умысла не было бы.
0
автор хотел получить эти данные?

Ну нет же. Автор хотел получить другую информацию — о возможности неправомерного доступа. Ему не нужна была информация о себе самом!
Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?
0
Автор хотел получить другую информацию — о возможности неправомерного доступа.

Как я уже написал:
Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.

Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?
В данном случае аналогия будет такой: для проверки прочности забора, вы наняли человека с инструкцией: «Сломай забор». После этого человек его благополучно сломал, получив за это от вас деньги.

Автор же не пентестил сайт банка для проверки его на уязвимости (шатал забор для проверки прочности), чтобы потом разбираться, хотел ли он просто взломать сайт или скачать с него охраняемые данные. Автор заплатил за результат — выписку по счету (ценную вещь с охраняемой забором территории).
0
Если бы автор просто спросил, он бы не получил требуемого, а требовалось ему достоверное свидетельство о наличии уязвимостей, в которое можно было бы ткнуть носом сомневающихся. Ещё раз — не список своих собственных транзакций, которые он мог получить штатным путём.
С понятием информации вообще тонкий момент — то, что ничего не меняет для субъекта (наблюдателя), информацией и не является — ценной вещи автор за деньги не получил. Он получил данные, которые не несли информации. Точнее, не несли охраняемой законом информации. Если бы он заказал выписку с чужого счёта, то он бы получил охраняемую информацию, а в данном случае нет. С помощью посредника или без, он провёл именно тестирование уязвимостей и получил информацию, разрешённую для получения, а именно о надёжности хранения данных в банке Тинькофф. Клиент банка имеет полное право на достоверную информацию подобного рода.
0

Если говорить о том, что автор не получил информации, к которой у него не было допуска, то выходит, что отсутствует одна из составляющих преступления — не состоялось нарушение банковской тайны, не произошло нарушения ничьих прав на какую-либо тайну (смотря, кстати, что за преступление мы пытаемся инкриминировать автору, потому что неправомерный доступ к охраняемой законом информации таки произошел, но это ладно, мы сейчас про умысел).


Мы же обсуждаем умысел на получение своей выписки. Которую, как вы сами сказали, автор хотел получить, чтобы предъявить в качестве доказательства возможности её получения в обход законных процедур. Т.е. ему не просто надо было узнать, можно ли её получить, а ему нужна была сама выписка (вы сами так сказали). И он заказал саму выписку, а не проверку на возможность её получения. Т.е. договор между автором и исполнителем звучал как "дай мне выписку по номеру ххх", а не "проверь, можно ли получить выписку по номеру ххх, и если можно, дай доказательства, что можно". Автор, как вменяемый человек, понимает и отдает себе отчёт в том, что заказ "дай мне выписку по номеру ххх", в случае его успешного исполнения, приведет к получению и предоставлению ему выписки со счета. С учётом того, что автор заплатил за это, и был удовлетворен результатом, о чем свидетельствует эта статья и написанное в ней, автор заранее понимал, что он получит в результате этого заказа и получил именно то, что хотел, т.е. выписку со счета. В этом и есть умысел на получение выписки, т.е. на совершение конкретного объективного действия.


Вы же все время подменяете понятия. Вы говорите, что автор не хотел нарушать чужую банковскую тайну, а потому заказал выписку по своему номеру. Т.е. у него не было умысла на нарушение банковской тайны. Но это работает немного не так, умысел нужен не на то, чтобы стать преступником, а на формально, физически проведенное действие, т.е. на получение выписки.


По аналогии с забором, мы не ищем умысел на "испортить чужую собственность", мы ищем умысел "сломать забор". А если умысел в случае с забором был "достать свою вещь с территории", то этот умысел все равно был, но т.к. эта вещь своя, то самого преступления, т.к. кражи чужого имущества, не произошло (хотя произошло проникновение на охраняемую территорию, но это уже другой вопрос).

0
Одной из обязательных составляющих преступного деяния является умысел. Нет умысла — нет состава преступления.

А если я вас случайно насмерть молотком по голове ударю, или случайно с крыши столкну вам на голову кирпич, или на машине собью не заметив — тоже нет состава преступления?
0
Про случайности и неосторожности есть отдельные статьи, тут не про это.

Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры. Вашу шкатулку из вашей квартиры. Он её успешно спёр и принёс вам, после чего вы сдали его полиции. Вполне вероятно, что если все будут в адеквате, то вам ничего не предъявят, т.к. собственно и предъявлять-то по большому счёту нечего, состава преступления с вашей стороны нет.
0
Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры.

состава преступления с вашей стороны нет.

Очень даже есть. Согласное статье 33 УК РФ, в предложеной вами ситуации, «я» соучастник преступления. (к стати, автор этой статьи, теоретически, тоже)

Статья 33 УК РФ. Виды соучастников преступления

4. Подстрекателем признается лицо, склонившее другое лицо к совершению преступления путем уговора, подкупа, угрозы или другим способом.
0

Тут важна субъективная сторона. Если вы сообщили исполнителю (а еще лучше если предъявили доказательства), что это ваша квартира и сказали ему: "Знаешь, я забыл очень важные документы дома, сломай дверь топором и срочно привези их мне" — тут преступления не будет. Если же вы просто сказали: "Вломись в квартиру по адресу такому-то, забери документы и привези их мне" и при этом исполнитель не знал, что квартира ваша, то это однозначно преступление и вы — соучастник (организатор и подстрекатель).

+1
Можно ли говорить о подстрекательстве в ситуации, когда исполнитель сам открыто рекламирует свои услуги? Его никто не склонял к совершению преступления, он имел намерение совершить преступление задолго до вашего прихода.
0
Исполнитель взял шкатулку по просьбе её владельца. О каком преступлении вообще может идти речь? Тут уже скорее, при условии что все будут в адеквате, заказчик рискует получить по 306 ст. УК РФ.
-1

Не понял, какую информацию он не должен был получить? Доступную в его же ЛК выписку? Операции по своей карте, которые он совершал и поэтому информацию эту заведомо имеет?

0
не-не.
вот хоть ту же торговлю свечками в храмах возьмите.
факт передачи товара и денег на лицо, а ккм как не было, так и нет.
подумываю зарегистрировать церковь святого опохмелия и причащать в обмен на пожертвование.
круглосуточно и в передвижных молельных домах.
0

Все норм, пойдёт как "группой лиц по предварительному сговору". Можно ещё роль организатора докинуть.

0
Если человек работает в банке.
Автор, надеюсь, что вы не работаете в Тинькофф?
0
Нет, опасался, что это инсайд… А это видите, теперь карается, все дела. То есть писать банковскому служащему о том, как в этом банке все плохо — нельзя, инсайд же. Акции упадут!
0

Инсайдер — имеющий доступ в силу служебных обязанностей, как-то так, скорее это будет в другой части…
ИМХО проблема в том что искать тех, кто продаёт информацию можно только имея точную информацию о том что, по кому и когда слили, да и то не так просто, но из-за этих уродов в ближайшее время сотрудникам банков запретят пользоваться не только интернетом с рабочего компа (я не про операциониста) но и в принципе своими телефонами (а сейчас уже есть проблема того, что ответы на технические вопросы приходится искать через смартфон)

+1
Ну ТильковБанку это будет сложновато, учитывая, что он хвалится отсутствием офисов. У него же люди по домам сидят и из дома работают. Как тут контролировать? Только собирать в одном месте людей имеющих доступ к перс. данным.
Ну и абсолютно ничего не мешает самому банку делать контрольные закупки и по логам посмотреть, кто пробив делал или Тинькову 10К жалко?
0
нормальная тема) наделать кучу аккаунтов и рекламировать пробив, скидывать любые левые данные и все деньги себе, банк счастлив что слива нету, оператор счастлив с деньгами в кармане
0
В тех местах, где сливают такую инфу, репутация — это все (ибо ни за что другое просто не зацепиться). Новичку будут очень неохотно предлагать хорошо если /10 от среднерыночного ценника. А если ньюфагов-кидал по данному направлению станет слишком много, то еще меньше.

Да и аккаунтов там наделать не выйдет, ибо все по инвайтам.
0
Да и аккаунтов там наделать не выйдет, ибо все по инвайтам.
эх, а я думал тёмная сторона интернета свободна от этих предрассудков) стартап закрылся, даже не начавшись
0
Закон не имеет обратной силы. По идее ;)

Впрочем, если кто-нибудь сделает репост — придраться можно будет к репосту.
0
Это положение конституции РФ, обычным законом тут не обойтись.
0
Смотри, дадут срок за упоминание конституции (увы, уже не сарказм)
Обходят на раз. Самое известное — роспозор против тайны переписки и заодно свободы слова.
0
Да ладно, людей уже судят за посты, сделанные задолго до всей этой вакханалии с цензурой.
+4
Нужно в банковское ПО внедрять водяные знаки, а потом вычислять нарушителя.
+32

Наверняка имея примерное время можно без водяных знаков по логам посмотреть кто запрашивал. Не думаю что там будет большое количество запросов через внутренюю систему.

+7
Если бы банки действительно массово боролись с этими утечками, а не действовали в лучшем случае точечно, а так же «слившему» информацию сотруднику вместо увольнения и штрафа грозил реальный или в самом лёгком случае условный срок, продавались бы только фейки с редким и быстро вычисляемым реальным сливом.
И это только банки. Масштаб проблемы если его озвучить/выложить в месте где его услышат/прочитают хотя бы сотни тысяч, вызовет массовую истерию и панику у правительства. Правда паника правительства ничем хорошим не заканчивается, в первую очередь они заблокируют ресурс где была выложена информация, затем меры могут последовать ещё более идиотские(вроде ареста автора публикации).
+3
Правильно, нормальный не ленивый аналитик будет знать, что данные из ИС можно вытянуть не из интерфейса операциониста, а запросом к базе, причём запросом оттуда, где данные и так ходят тоннами (для аналитики, только для аналитики), и логи этих запросов можно будет разбирать до посинения.
+6
Для аналитики зачастую логи обезличиваются. Как минимум, имена заменяются на внутренние cli_id.
+1
Проблема в том, что неленивых аналитиков (а также админов и других) с прямым доступом к таким данным — единицы, возможно десятки. Почти все из них чётко осознают последствия и если занимаются таким, то выявить их будет крайне сложно. А ещё за свои услуги они сразу будут просить много. А ещё у них будет достаточно большая зарплата и голова на плечах, чтобы ради не слишком больших денег не рисковать своей свободой.

А вот «специалистов первой-второй линии поддержки» с доступом через логируемые интерфейсы — сотни, а часто и тысячи. И вот такие как раз на раз палятся на контрольной закупке.
Тем более, что у них часто не хватает мозгов догадаться, что ВСЕ доступы к любой информации логируются и даже самый тупой безопасник может сопоставить событие «данные Иванова А.А. были проданы 01.01.2019 в 00:45» и запись в логах «сотрудник Петров В.В. заходил в карточку Иванова 01.01.2019 в 00:10», а тут уже и до уголовного дела с реальным сроком недалеко.
+8
мм, я очень радовался, после того как пришлось брать карту в сбербанке и мне начали названивать из разных компаний такси с рекламой много лет назад.
тут даже идиот догадается, что слив из банка.
-1
Мы сейчас в США.

У супруги есть карты нескольикх банков, но только с одном у неё на карте написано не NAME SURNAME а NAME L SURNAMЕ, то есть в банке поставили в середине первую букву отчества. Это было только в этом банке (в котором есть слово America). И теперь, когда нам прилетают офферы на кредитки из всяких других мелких банков и там в поле «кому» есть первая буква отчества, мы сразу знаем, кто слил инфу :)
+1
Так если вы расплачиваетесь этой картой через терминал какого-либо банка, то этот банк узнает имя/фамилию указанную на карте. А если вы расплатились где-нибудь онлайн с указанием email/телефона, то вот вам и связь с вашими контактами. В нынешних реалиях, к сожалению, источников слива слишком много.
0

Банки может и хотят, но увы это превращается в бюрократию от, иногда, недолёких иб-ников в стиле всё запретить и подложить себе бумажку…
В принципе многое сделано, но самое сложное понять когда слили, на фото слив вероятно из чего-то похожего на АБС, там найти можно, а что делать если это где-то в 10-й пред прод системе рисковиков по которой ещё документации нет?
Тут нужна слаженная работа и безопасности и МВД, но вот не быстрое это дело...

0
да кого эти сроки останавливают? к примеру, гос эксперт имеет прямую уголовную ответственность, но тем не менее может написать отсебятину, а ты потом попробуй докажи, что он не наврал, а здесь риск попасться невелик, а поощрение в деньгах, судя по статье, норм. так что вопрос цены совести…
+1
Если нарушитель не дурак, будет делать эти запросы от другого лица. Как правило, сотрудники не задумываются о внутрикорпоративной безопасности, и украсть пароли у коллег совсем несложно, да и степень защиты (сложность паролей) часто невелика.
Также у него может быть прямой доступ к базе данных банковской системы.
0
Мне кажется, можно и не работать там. Найти друга который там работает и заразить его комп. В некоторых банках люди дистанционно работают. На обучении банковских работников говорят: пароли делать сложными, не хранить их на бумажке и блокировать комп даже если в гостях лучший друг, потому что именно друг может оказаться крысой. Возможно, эти правила писаны чьей-то кровью?
0
что мешает такому «другу» воткнуть вам шпиена в систему? вывод — пользуемся дома linux XD без судо
0
Что такое Linux XD? Какой-то дистр?
И да, у меня вполне стоит на одной из домашних машин, для работы. Хотя для поиграться есть ещё комп с виндой.
0
эх молодежь, молодежь. ну не виноват я, что для вас на хабре автоматически не меняют текстовые смайлы на графические…
+1
внутри Сбербанка используются повсеместно iButton. Они их на связке ключей таскают. Это видно и по операционистам, да и знакомого спрашивал. Там даже заявки на ремонт компов через подпись закрываются.
+1
Да уж не операционисты таким бизнесом занимаются, можно не сомневаться.
Quis custodiet ipsos custodes…
0
Ну, такое тоже можно отсдедить при желании с помощью какого-нибудь SIEM. Мол, если сотрудник заходит с нового места и начинает запрашивать базу — то это плохой звоночек.
0
Если служба безопасности не дура, то логируются не только имя пользователя, но и имя компьютера. А получить скрытно доступ к чужому компьютеру гораздо сложнее.
+3
зачем? есть же логи! Достаточно разогнать туповатых «погонов» из СБ и набрать на работу нормальных не ленивых аналитиков.
+2

Готов спорить что хранится всё это в каком-нибудь Oracle и лог транзакций там всегда включён.

-1
Транза́кция (англ. transaction) — группа последовательных операций с базой данных, которая представляет собой логическую единицу работы с данными.
wiki
В общем случае наверное скорее является.
+2

Проще еще чтобы любой доступ к данным клиента, вне рамок стандартных процедур без авторизации клиента (не чат, телефон, отделение) требовал смс подтверждения, код высылать клиенту — типа "Сотрудник банка получает доступ к Вашей информации, сообщите код из приложения банка"? Или чтобы если вы в банк не обращались, вам поступало бы сообщение, о том, что с вашими данными ктото работает из сотрудников. Если операции легальны и доступ к анкете/операциям тоже то не вижу в этом ничего страшного для клиента, сообщения можно высылать по смс/ в чат банковского приложения.

0
Вроде бы такое, при общении с сотрудниками банка часть действий требует сообщения сотруднику кода из смс.
+1
Почему только часть? Само открытие карточки клиента без его авторизованных обращений в банк не требует подтверждения??
0
Хм, посмотрел историю обращений в банк: когда были проблемы с NFC и шёл отказ операций был запрос кода. Когда было неверное списание с зависшего терминала — не просили код, создали тикет на разбор ситуации. Просмотр состояния счёта в инвестициях — без кода. Ещё одна проблема с бесконтактной оплатой — тоже код. Замена карты — код. Ошибочное зачисление суммы не на тот счёт с конвертацией — тикет, без кода. Перевыпуск карты — без кода. Вопрос со списанием обслуживания карты — код. Просмотр последнего снятия налички — без кода. Консультация и подключение услуги — код.
В целом видно, что только часть операций требует этот код. Иногда также запрашивают ФИО, дату рождения и телефон.
Скорее всего имеет место быть некий баланс между безопасностью, удобством и скоростью обслуживания, чтобы не спрашивать код на любой вопрос.
0

Первая линия — нет доступа к вашей информации либо через подтверждение.
Запрос ФИО — проверка что вы это вы а не тот кто нашёл телефон (код не поможет).
В принципе норм. ситуация когда места с меньшей текучкой имеют более широкий доступ.

+1
Ок, у меня сломалась мобила/сеть не ловит или я просто ретроград. Что, мне теперь картами пользоваться запрещено будет? Короче есть много всяких НО.
0
Обычно для этого используют паспортные данные, контрольные слова, контрольные вопросы или одноразовые коды со скретч карты.
0
Некоторые банки высылают в смс единоразово код доступа. При звонке вам нужно назвать пару цифр из него, чтобы сотрудник осуществил доступ к вашей клиентской карточке. Либо кодовое слово.
0

Это и так есть, для тех кто работает с клиентом, а что делать с теми кто работает с данными, вот пщапускает аналитик запрос… А оператор миллионами смски шлёт.
И с обезличивание не всё так просто, если по хорошему, то того что мы часто можем знать о человеке, может быть достаточно для идентификации, не говоря уже о том что обезличивание платёжки не очень выходит, ибо нет быстрее способа ввести подтип транзакций в АБС под нужды какого либо учёта, чем добавление кодов и спецпоследовательностей в текст описания ;)

+4
Смс: «Подтвердите согласие раскрытия выписки сотруднику МВД»
через час
Смс: подтвердите согласие раскрытия выписки старшему следователю по особо опасным экономическим делам"
Через час «просим вас не выходить из дома, нужно уточнить детали»
0

А нормальный, не ленивый аналитик точно захочет работать за зп тупого погона?

0
Исходя из того что я наблюдал работая в банках — те самые «погоны» как раз таки получают вполне и вполне себе.
А вот спецы с отдела информационной безопасности — не особо…
0
На одной из статей Хабра видел про отслеживание «инсайдера», от которого утекают данные, по автоматически вшиваемым спецсимволам UTF-8 в копируемый им из документов текст. Для каждого пользователя уникальная комбинация символов. Полагаю, в отображаемые, копируемые и логируемые данные можно напихать очень много подобных неявных и неотображаемых идентификаторов, чтобы вылавливать утечку на любой стадии при проверке.
0
Поэтому надо не копировать неотображаемые символы, а фотографировать их на телефон, как это и было сделано.
0
Потому я и упомянул отображаемые идентификаторы. Это может быть как однотонный узор фона, который не бросается в глаза, так и точечки, добавленные под/внутри буквами, картинкой (логотип), с краю экрана, так и ещё очень много способов, если подумать. Мало ли способов скрыть или замаскировать идентификаторы.
0
Способов ровно столько же, сколько способов скрыть их. Фотография экрана на телефон, ее распечатать в чб и отсканировать, потом пофотошопить и еще раз…
0
При условии наблюдения за пользователями, их действиями и подключаемыми устройствами это может стать заметно. Даже если это групповой сговор, то они рано или поздно оставят достаточно следов в системе, чтобы гарантировать вину.
+1
Под наблюдением достаточно делать только снимки экрана. Остальное можно делать в специальном офисе с яркой вывеской «ТРУБА ШАТАЕМ ИНФОСИСТЕМЫ», с бейджем «Иванов И.И, специалист по краже персональных данных 3-й категории».
+2

Я протру жирным пальцем объектив телефона перед тем, как фотать — и плакали ваши точечки...

0
Невидимые глазу QR с избыточным кодированием уже 100 лет как придуманы
0
В цветных принтерах вшивался (сейчас не знаю, применяется ли такая практика) уникальный код из цветных точек (практически незаметный на рисунке) для поиска при использования принтера в подделке банкнот. На страницах интерфейса тоже можно в «случайных» местах ставить «случайные» пиксели, по которым можно даже по фотографии монитора определить логин пользователя.
0
Вот только после поимки и публичного освещения одного инсайдера таким способом все остальные будут прогонять фотки/скрины через OCR и предавать данные в текстовом виде без закладок.
0
Зачем освещать метод поимки? Его могут знать только следователи и судья.
+3
Уголовные дела несекретные, а заседания суда гласные и открытые (за редкими исключениями по особым статьям, подделка бумаг к которым не относится). Любой может придти на любой процесс и слушать, что там говорят.
0
чтобы такое работало, камера должна фотать пиксель-в-пиксель. а фотографировать с такой точностью мы не научимся еще лет 50.
могу еще предложить увлекательный эксперимент: попробуйте любым стеганографическим методом зашить сообщение в картинку, потом сфотать экран на телефон или на профессиональную камеру в идеальных условиях и попробовать считать сообщение.
UFO landed and left these words here
UFO landed and left these words here
0
Это не формулировка такая, это определение стеганографии) Как вы видите на скриншоте, никаких декоративных элементов там нет. Если менять саб-параметры, например, межстрочное/межбуквенное расстояние на несколько пикселей, на фото не будет видно. А если менять сильно, то пользователю будет видно (глазом воспринимается как непрогрузившееся css). Это сложная задача, поэтому, наверное, в посте мы и видим именно фото, а не скриншоты.
UFO landed and left these words here
0
так я и говорю, что нельзя так внедрить, чтобы можно было определить через фотографию!
и что не так с моей формулировкой: если я глазом вижу элементы, которых в тексте быть не должно, я могу догадаться, что имеется скрытая передача информации.
0
я могу догадаться, что имеется скрытая передача информации.

Даже если глазу не будет заметно, через какое-то время все равно все узнают.
Но в целом, не скрывать даже лучше, так как не будут сливать втупую, нагло и дешево, из-за страха быть пойманными.
UFO landed and left these words here
0
достаточно просто сделать так, выдача в рабочее время смартов, которые только звонить умеют, чтобы сотрудник не мог фотать что-попало и без связи не остался, мало ли дома какое ЧП, а личные смарты сдаются охране на пост под роспись в журнал. XD
+1
Я не думаю что проблемно найти того кто слил(если жертва заявит о таком факте). Проблема в том что как отличить штатный запрос детализации от нештатного(когда заявления нет, а не будет его вероятно в 99% случаев).
0
Можно и без знаков. Нужно разделить на 3 части:
1) Доступ к файлам базы, тут всё неплохо описано в PCI DSS, немного паранойи, отдельный физически контур с доступом через некое подконтрольное API. Сюда же — резервные копии данных которые обычно не шифруют и хранят вне доверенного контура или доступ к ним не так строго контролируется, также передаваться данные могут не в шифрованном виде (будь то интернет или грузовик)
2) запросы в базу делим на 2 части, автоматизированные (проверки целостности, отмывания денег и прочее, что делается скриптами) — анализируем на аномалии, учитывая что это может быть взлом одной из автоматических систем
3) слив сотрудниками. Логировать, кто куда обратился и с какими фильтрами, в том числе для разделения — это попытка слива всей базы, пробив клиента или легитимная обработка.
Сами логи при этом тоже являются особо важной информацией и нужно ограничить к ним доступ даже для админов, оставив только для СБ, и принять все меры для невозможности их модификации или удаления вне регламента. Удаление только по регламенту, автоматизированно (где-то было обязательство хранить такие логи 5 лет, а потом они не нужны)

Также влить в базу некоторое количество «пустышек» и как-то их актуализировать, периодически добавляя новых. Информации о том что это пустышка не должно быть нигде кроме СБ.
0
Любая информация в мире продаётся и покупается, вопрос только в цене. Больше удручает тот факт, что количество ресурсов, хранящих наши данные, с каждым годом увеличивается.
0

Скоро плявится ресурс с более чуткими и конкретными данными и оптом :) С деанонимизацией вме скоро станет возможным

+8
Дело не в ее принципиальной доступности, а в том, что этим занимаются рядовые служащие. Все настолько плохо, что даже простые люди, которые в иное время боялись бы наказания, приторговывают тем, что у них есть, по принципу «значит и нам можно» и «мы тоже хотим». Тут как и с футболом: если даже в самом грязном переулке, самые бедные мальчишки пинают самодельный мяч, то у страны есть сильная футбольная сборная.
0
Любая информация в мире продаётся и покупается, вопрос только в цене.

Увеличение цены вопроса на несколько порядков тоже приемлемо.
А так, страшно становится. Имея доступ к базе можно написать простой скрипт, который покажет тех, кто регулярно снимает в банкомате больше определенной суммы, в определенные дни месяца в определенное время. И найти покупателя на такие данные.
-19
Интересно, как с этим обстоят дела в загнивающей Америке и Гейропе?
0
А точно также. Мало что ли на всяких ибеях «услуг» по разлочке телефонов и получению информации о них из баз данных? - где сидят такие же кроты, только у провайдеров.
+3
Я бы не сказал, что «точно также». Разлочка телефона и выписка из банка — немного разные вещи. Да, здесь бывают моменты типа взлома Equifax и Capital One, где утекают личные данные на сотню миллионов человек, но это сравнительно редкие явления (раз в год), и подобный snapshot — это не то же самое, что готовый рынок подобных данных в реал-тайме. Здесь более распространен угон мобильных номеров и последующий взлом аккаунтов c 2FA и/или восстановлением паролей, но сколько я ни слышал про такие случаи — это были не нарушения правил оператора, а именно что небезопасные правила (т.е. номера угонялись простой социнженерией). Некоторые операторы уже внедрили нечто вроде заморозки, когда симку невозможно сдублировать без личного присутствия с документами в офисе оператора. Еще раз — это совсем не то же самое, когда за 3 часа добывается свежайшая выписка из банка.
-4
То есть, спокойненько сделать рабочим краденный/неоплаченный телефон - это, по Вашему, не одно и то же? Этим занимаются точно такие же кроты в операторе, как и те, что данные у банков воруют.
+2
Я писал не об этом. Мои слова были про угон номеров, выполняемый с помощью социнженерии. Важное отличие в том, что 1. Социнженерия не предполагает осознанного нарушения закона со стороны сотрудников, и 2. С этим можно хоть как-то бороться изменением политик (т.к. в момент угона номера сотрудник не осознает наличия проблемы, и смена инструкций на более устойчивые к СИ будет воспринята и исполнена). Кроты — это судя по публикуемым здесь новостям и косвенным данным, куда менее частое явление, и уж точно не настолько распространенное, как в России.
0
А я как раз пишу о том, что кроты - достаточно частое явление у американских операторов связи, иначе не было бы на ибеях тысяч объявлений вида "%operatorname% premium unlock service", которые работают и удаляют imei из блэк-листов операторов. Это вам не социнженерия.
+1
То, что мне удалось найти, рекламируется только для «чистых», не украденных телефонов, не прописанных в стоп-листах. Представляю, что «исключения» могут быть сделаны, но с трудом верится, что такие аккаунты могут иметь по 600+ фидбэков на на том же eBay и не блокируются площадкой по первому же запросу от оператора. Видимо к конкретике, которой они занимаются, прикопаться сложнее, чем было бы, будь это явно незаконная деятельность кротов.
0
Ну Вам слабо верится — а многие, в том числе и я, успешно пользуются. Прощайте, дальше с Вами дискутировать мало смысла.
0
Спасибо за инсайд. Позволю себе поинтересоваться, есть ли у подобных действий какая-либо цель, не связанная с нарушением законов (к примеру, разлочка/сбыт краденых телефонов)?
0
Мой кейс - купил на ибее телефон, у которого в описании было всё прекрасно. По приезду из США оказалось, что на нём висит невыплаченный кредит - телефон не даёт пользоваться никакими симками. За умеренную цену и пару дней ожидания всё было сделано. Всего таких случаев в моей практике было три. Незаконные кейсы мне не интересны, но по утверждениям некоторых продавцов они любые, в том числе и blacklisted (ворованные) могут очищать.
+2

Два года назад после ливня я пришел в салон T-Mobile в Нью-Йорке и попросил поменять симку, ибо старая от ливня кончилась. Мне потребовалось только назвать свой номер и дать старую симку, которую сотрудник повертел в руках и выкинул (то есть, я мог дать произвольную).

0
Я бы после такого накатал жалобу. Иначе когда-нибудь она может кончиться не от дождя. Verizon несколько лет назад начал требовать присутствия в офисе, мне казалось, T-Mobile тоже, но видимо что-то пошло не так (тм).
0
Как вариант он не просто «повертел» симку, а сверил указанный на ней ICCID с тем, чтоб в базе данных.
+16
У мобильных операторов разговоры из «пакета Яровой» еще не предлагаются?
+9
:sarcasm
Ну судя по заголовку новости от 30 июля:
«Ростелеком» впервые закупил системы хранения данных по закону Яровой
Ждём новые пакеты услуг =D
:sarcasm
0
3 миллиарда отработать надо, конечно появятся такие сервисы.
+10
Плюс с вышеприведенному, можно наверное ожидать продажу данных с Яндекса. Вот где разгуляться-то можно — где и что ел, куда ездил, что смотрел, слушал, говорил, где и что покупал, чем интересовался в поиске, с кем дружил и прочее.
+1
После национализации Яндекса и такой сервис будет. Но видимый только для уважаемых людей из «компетентных структур»©.
-17
Цена растет из-за ваших (и других подобных постов). Вот сейчас тиньк прибьет у себя канал утечки, но найдется другой, который просто будет стоить дороже.
Спрос неэластичный, так как данный «товар» всегда будет востребован и всегда будут пути слива.

Это как «борьба» с наркотиками
+28

Вот и славно, что цена растёт. Любопытных обывателей будет меньше, останутся только профессионалы.

+1
С одной стороны это хорошо, с другой — настанет момент, когда дешевле будет заплатить господину майору, чем сотруднику провайдера или банка (который получит данные через «пакет» или другим законным способом). И тогда цены стабилизируются очень на долго.
+2
Цена растет из-за ваших (и других подобных постов).

Вы приверженец Security through Obscurity?
0
А я бы предпочел схему, где нужна авторизация, что бы получить информацию о клиенте. Элементарное кодовое слово… не сверка с тем, что указано в базе, а оператор должен ввести то слово, которое ему сообщит клиент. Прям как пароль. И если оно совпадает, то только тогда можно просмотреть данные.
+21
В атмосфере всеобщего поклонения баблу и уверенности в безнаказанности воровства, некоторые клерки думают о приемлемости подобного «заработка» (нуачо, они воруют, а мне — нельзя?).
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.
К тому же, тут широкий простор для применения ИИ: выявление нехарактерных действий пользователя; действий, не связанных с выполнением служебных обязанностей и пр.
+27
Да вы что, это же работать надо, контрольные закупки делать, протоколы оформлять, дела писать, прокуратуру напрягать. На защиту детей от опасного интернета времени не останется.
+1
не сойдет (пример, наркоторговля). Только цена повысится. Плюс возможен выход на новый уровень: агрегаторы всех возможных персональных данных и продажа их уже на уровне b2b, а не p2p, как сейчас.
+9
Наркотики — не тот пример. «Дурь» нужна зависимым от неё людям. Родную мать продадут за дозу.
А данные о богатеньких нужны бандитам и мошенникам. Эти не станут покупать данные, если цена не отобьётся грабежом или обманом. Просто сменят подход.

На негодяев действует не строгость наказания, а его неотвратимость, поэтому «новый уровень» будет сомнительный. Клерки перестанут продавать из-за огромного риска: срок и голая задница на многие годы станут весьма вероятны, не то, что сейчас.
Те, кто сможет продать оптом (начальники и админы), и так не хило получают, и дальше хотят получать. Мараться не станут.

Рынок этих данных реально сожмётся, ибо исчезнет массовость, останутся «реальные дядьки», охотящиеся на крупную дичь.
Уже неплохо.
0
Покажите мне компанию, в которой админы неплохо получают. Это не Сбер и не Тиньков точно.
+1
Чукча — не читатель?
Речь в статье идёт именно о них, родимых.
+1
Ну так это тоже следствие «невысокой цены».

Повысится ответственность за утечки (неважно как, преследование по закону, общественный резонанс или ещё что-то), появится стимул минимизировать риск утечки. А это не только технические меры, но и сотрудники, которым есть что терять. Хорошо зарабатывающий сотрудник трижды подумает, рисковать ли сложившейся карьерой или сдать предложившего подзаработать в СБ, как потенциальную угрозу.
+1
1. Неплохо это сколько?
2. Админы разные бывают, речь про которых? Не думаю что DBA кормят плохо хоть в сбере, хоть в любом банке из топ-100.
+1
Т.е. вы хотите сказать, что админы в Сбере мало получают? Какой у них грейд у админов? От 9 до 11-го? С этим на еду не хватает?
Уж не говорю, что если вскроется, то потом ни в банк, ни к ОПСОСам, ни в сетевой ритейл с такой «историей» не возьмут.
+1

Есть много людей которые не разделяют точку зрения о том, что наказание должно быть не только соизмеримо деянию но и оказывать профилактический эффект на окружающих. Многие считают что за первое воровство надо чуть ли не по голове погладить и помочь исправиться, в такой среде, на мой взгляд, отлично уживаются безпринципные жулики, увы.

-1
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.

Правительство прилагает все усилия, чтобы 'свести на нет' такой бизнес. Недавно же только новость про 'отжим яндекса' была.
+1
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело

Если в СМИ просто разрешить одну реально независимую колонку, то жить мы будем совсем по-другому.

0
На въездных воротах города Jüterbog в Германии прибит деревянный щит с большим железным топором и на щите написано, что этим топором были отрублены руки последнему вору города в 1786 году.
Другие методы вряд-ли помогут.
+1
заказал месячную выписку (с 24 июля по 26 августа 2019 г.)
Судя по скриншотам, наверное, с 24 июня по 24 июля?
+6
В качестве эксперимента было бы неплохо видеть такие расследования в фокусе чинуш/депутатов, особенно тех, что на людях «кричит» в таких вопросах. Только делать такое нужно анонимно, конечно. Пробить пару чинуш и выложить анонимно всю подноготную(адреса, паспортные данные, состояния счёта, СМС любовницам, кодовое слово) — авось кто-нибудь зачешется. Мечты…
+18
Точно зашевелятся. Но в первую очередь в сторону поиска «анонима».
+10
Могу подтвердить этот факт, лично видел людей, представившихся сотрудниками отдела К, которые выясняли у провайдера персональные данные человека, писавшего на форуме компромат про чиновника. Они приходили несколько раз и им были интересны только имена людей, писавших то или иное. Странно даже не это, а то как радостно их принимали: «бросайте дела, будем искать, они тогда с нами дружить начнут». Это было несколько лет назад, еще до пакета яровой.
0
Я тоже сталкивался с этим. И, дайте угадаю, официального запроса не было?
+23
Вы правы. Пришли два человека, показали корочки и директор был готов для них на все. Пока они разговаривали, я удалил логи и к общей досаде, не смог их потом обнаружить. А потом уволился, но вот уверенность, что и меня тоже продадут даже не за копейки, а за намеки, теперь со мной.
0
авось кто-нибудь зачешется

Будет показательная казнь и хороший повод закрутить гайки еще на полоборота для каких-нибудь месседжеров.
0
а ты думаеш расследования про состояния и собственность чиновников каким образом в прессе появляются? ))
+1
я думаю, что наличие пачки данных в паблике, и расследование с их помощью — разные категории.
+4
Я не понимаю, почему действительно крупным корпорациям, вроде банков из ТОП 10 или операторов сотовой связи сложно бороться с такой пробивкой?
Лицо слившее данные, можно определить элементарной контрольной закупкой и сопоставлением обращений к этим данным из логов.
-6
Никто не логирует все запросы к БД. Никакого хранилища не хватит, что бы логировать запросы на чтение. Обычно логируют только запросы на изменение данных. И то, при масштабах того же Тинькова, а уж тем более Сбера — это будут десятки если не сотни гигабайтов данных в час.
0
Есть и другие методы — например получение фактов просмотра конкретных экранов конкретным человеком непосредственно из трафика. Вот только у безопасников обычно не так уж горит, чтобы всем вот этим заниматься, хотя первых особо эффективных обычно ловят меньше чем через месяц от начала пилота, проверено на реальных банках ;)
UFO landed and left these words here
0
Дык, надо увеличить расход скипидара, выделяемого на СБ, чтоб горело сильнее. :-)
+7
Зачем логировать все запросы к БД? Инсайдеры данные берут не через консоль ведь. Явно через интерфейс для операторов, который работает через некий метод, который обращается к модели.

И есть большая уверенность что обращение к БД таким образом так или иначе уже логируется (каждое обращение пользователя определённо точно хранится в системе).
+6
У некоторых весь трафик пишется. А вы говорите что доступ к приватной информации не логируют. Это можно объяснить только безалаберностью. Для мобильных приложений логируется каждый чих, чтобы смотреть тенденции в поведении пользователей. Так и своих работников надо мониторить и смотреть каждый чих и запрос. И если будут подозрения в сливе инфы, это будет явно видно.
+1
Логировать просмотры оператор/клиент — это три копейки. Это же не соц сеть из сотен миллионов юзеров.

К тому же, это не очень чувствительные данные, можно обойтись без оракла, HP-сервера, сертификация от регулятора, тогда вообще о стоимости хранения и говорить не стоит.
0
Не знаю как сейчас, но раньше регулятору нужна была бумажка на критические системы, а как оно реально реализовано — регулятор уже не разбирался.
+4
Никто не логирует все запросы к БД. Никакого хранилища не хватит, что бы логировать запросы на чтение.


А все и не надо. Достаточно внести в систему ханипоты — фэйковые клиенты, при запросе которых СБ получает соответствующее уведомление. Ну и периодически «закупать» пробивку ханипотов.
0
что такое сотня гигов в час в 2019 году для банков с их миллиардными бюджетами, когда уже в пользовательском сегменте продаются винты на десятки терабайт?
Это всего-то 200мбит/с трафика
+1
Там не то что все логируется, там запись экрана оператора пишется в видео онлайн. Так что найдут элементарно
0
Потому что всем нужен удобный быстрый инструмент получения информации в обход закона. Кому бизнес-партнёра пробить, кому любовницу, кому знакомого мента
0

К вариант проблема в том, что банк должен заплатить жуликам, чтобы поймать инсайдера. При этом наверняка 99% таких жуликов — мошенники. Т. е. денежки заплатил, а в ответ ничего. Банк должен ещё и с мошенниками разбираться? Как по мне, это дело полиции.

-2
В макдональдсе на время смены отнимают мобильные телефоны. Ибо нех, вдруг ктонть скомуниздит секретный рецепт секретного ингредиента.

Надо распространить эту практику на всех имеющих доступ к персданным, т.к. основной транспорт для передачи данных — сотовые сети. То что идёт через корпсеть легко отлавливается всяким антифродом, то что на внешних носителях — заложенными портами. Т.о. мошенникам придется развивать фото-память — взглянул на скрин, убежал в туалет, записал на кусочек туалетной бумаги, привязал к голубю и отправил заказчику.
В обще ми целом — проблемы достаточно легко решаются, и то что они не решены свидетельствует только об одном — это выгодно ЛПР.

… обидно за билайн, с таким дисконтом продают своих пользователей -(
+6
У билайна, судя по прайсу, настолько много сотрудников торгует персональными данными, что даже приходится денпинговать.
0
ЛПР обычно просто не до этого. Поскольку практики успешных исков на x — xxx млн. рублей за разные виды ущербов от физика к юрику в РФ нет, соответственно, репутационные или прямые финансовые потери от реализации рисков утечки — ничтожны, и любой риск-аналитик говорит, что проще (==дешевле) таковые принять.
0
Да это то понятно, тем более, что на уровне ИС и БД права на просмотр разграничены в т.ч. по категориям пользователей — «простые люди» и «особо важные», к примеру. Доступ к «особо важным» имеют строго ограниченный круг лиц и вот их операции строго логируются, а в некоторых случаях и предоставляются только после отдельной единичной визы инспектора безопасности.

Под своим выражением «выгодно ЛПР» я в том числе подразумевал, что пока в сеть не утекают данные по особо важным персонам, или пока судебная система столь несовершенна, или пока рак на горе не свистнет — ЛПР не будут вкладывать деньги/ресурсы в защиту персданных на столь глубоком уровне.
0
Права… а данные по зарплатам «топов» и простых смертных в разных физических базах не хотите ли? :-)
0
Билайн равняется на МегаФон, где торговля была поставлена на широкую ногу:

"СМИ сообщили об обысках в офисах «МегаФона» в связи с нарушением тайны переписки

МОСКВА, 15 августа. Следственный комитет проводит проверку в офисах службы безопасности компании «Мегафон». Об этом сообщает «Новая газета».

По информации издания, это связано с возбуждением уголовного дела в отношении руководства СБ дочерней компании, «Мегафон-Ритейл». Представители силовых органов сообщили, что основной причиной обыска является нарушение тайны почтовой переписки. Остальные детали операции пока не разглашаются.

Ранее, как сообщается, «Мегафон» оштрафовали на 30 тысяч рублей из-за передачи данных своей «дочке». В ходе ведомственной проверки Роскомнадзор установил, что «Мегафон-Ритейл» имеет доступ к персональным данным клиентов, а также их счетам. На самом деле тайна переговоров должна быть сохранена именно тем оператором, к которому подключен абонент.

Данный факт подтвердил девятый арбитражный апелляционный суд Москвы, который вынес штраф оператору в размере 30 тысяч рублей. По мнению самого «Мегафона», проблема решается с помощью изменения формулировок в договоре с дочерней фирмой.

Между тем, продолжает «Новая газета», утечка данных в сети популярного оператора случалось неоднократно. В частности, в феврале 2014 года за разглашение сведений и нарушение тайны телефонных переговоров суд Уфы признал виновным продавца-консультанта компании «Мегафон-Ритейл». 23-летний Мурадбек Эргашхожаев помог своей знакомой вывести ее гражданского мужа «на чистую воду» с помощью детализации телефонных разговоров. В результате Мурадбека приговорили на два года условно.
"

Источник: www.rosbalt.ru/moscow/2014/08/15/1304457.html

Но видимо лишь ход уголовного дела заставил МегаФон поднять цены (цитата: «Цены выросли в 2 раза.»).
+1
По ОПСОСам много дел, по МВД (пробив роспаспорт и слив данных умерших) много уголовных дел и даже посадок. А вот найти что-то подобное по банкам я не смог.
+3
Потому что в целях возбуждения уголовного дела Следком отправляет запрос в ЦБ РФ. А в Телеграмме много историй как Банк России до последнего скрывает проблемы банков. Так что отсутствие уголовных дел — это во многом результат действий банковского регулятора, скрывающего наличие системной проблемы.
0
Зато у них есть ФИНЦЕРТ не понятно чем занимающийся и много говорящий про страшных хакеров ежесекундно атакующих банки.
+4
Просто если банковский регулятор будет делать то, что он обязан (в том числе в сфере информационной безопасности), то тому же «Сбербанку» должен быть вынесен фатальный приговор. См. pikabu.ru/story/kak_sberbank_otnositsya_k_svoim_klientam_5439532 и ruinformer.com/page/klient-sberbanka-smenil-pol-i-postavil-v-tupik-sistemu-raboty-s-klientami. Остальные уже равняются на «Сбербанк»…
0

Центральный банк, кроме того, что регулятор, еще и контролирующий акционер Сбербанка. ;-) Зачем ему подставлять "свою" собственность?

0

Представляешь что ты предлагаешь, почему люди должны терять возможность быть на связи? Хотя не таких как ты много, уже и Госдума с ЦБ обсуждают. Запретить всегда просто, но давай начнём с того, что в целях борьбы с разными опасностями разрешим в метро только в трусах и майке?

-3
каждый раз при чтении подобных статей вспоминаю 1984 Оруэлла. Живем прям «как в сказке».
+9
В Тинькофф-банке считают «подобные исследования и оценки спекулятивными, так как они исходят от «экспертов», которые используют их в собственных коммерческих интересах», в частности, «вбрасывают на рынок информацию об утечках из конкретных банков, а затем предлагают им свои коммерческие решения». При этом в кредитной организации заявили, что проводят «регулярную проверку объявлений о продаже персональных данных клиентов и во всех случаях эти объявления не имели под собой реальных подтверждений».

Очень коррелирует с реакцией Олега Тинькова на договор с клиентом, который банк отказался выполнять:

image

Первоисточник: https://twitter.com/olegtinkov/status/365218836703756288

Тогда комментировали: «Позиция Тинькова и его юристов попахивает маразмом. Клиент мошенник, он де внес изменения в анкету. То есть, когда возмущается ограбленный банком клиент — банк назидательно говорит: „Надо внимательно читать договор, включая мелкий шрифт. Закон не запрещает писать мелким шрифтом.“ А если то же самое делает клиент, причем разленившемуся и зажравшемуся персоналу банка лень прочитать договор — то клиент мошенник, он же заставляет свиней работать и пользуется их ленью. Запредельно.»

Источник: https://zergulio.livejournal.com/501073.html

Сейчас банк и его владелец проходят все те же стадии: отрицание, гнев, торг, депрессия и принятие.
0
Стороны отказались от претензий друг к другу. Кроме того, банк выпустил для Дмитрия Агаркова дебетовую карту, по которой банк начисляет 10% годовых на остаток по карте и платит cash back до 30% по отдельным видам покупок
www.forbes.ru/news/243449-bank-tinkova-pomirilsya-s-trebovavshim-24-mln-rublei-voronezhtsem

Думаю, здесь нужно уточнить, что претензии были следующие:
1) Клиент имел долг в сумме более 45 000 рублей
2) Банк должен был оптатить компенсацию в размере 24 млн рублей
+1
Важное пояснение: в то время дебетовые карты от Тинькова все имели 10% годовых на остаток и до сих пор имеют 30% cash back по отдельным видам покупок. Для обычных покупок было и есть менее 1% — т.к. округляют до рубля.
+2
А могут ли того, кто обратился за пробивом данных привлечь к ответственности? Если речь идет об обращении к гос. чиновнику, то и как дачу взятки могут это трактовать. Или нет?
+2
Возможно, за попытку доступа к своим данным — нет, так как состава преступления не наблюдается.
0
Если данные в чьей-то чужой системе, то являются ли они «вашими» даже если это данные о вас? Если это не персональные данные которыми вы разрешили пользоваться, а как в посте — логи системы которые вам просто тоже могут показать, то мне кажется данные нельзя назвать вашими. А значит состав преступления вряд ли так уж сложно найти.
+3

Для хадупа — Apache Ranger, для БД — IBM Guardium (например, это то, что я знаю. Например, используется в Société Générale во Франции, как раз для data masking, распределения прав доступа и аудита).
Проблема стара как айти в банковской сфере, и для неё уже есть проверенные решения.
Кроме того, уже по-моему во всех промышленных базах данных есть RAC — row access control.
Банки же не пирожками торгуют, в конце концов, можно пару лямов вложить в покупку зарекомендовавших себя решений

-5
Есть и другие, одним из которых я профессионально занимаюсь. За подробностями — в личку.
+1

Yota действительно не продаётся или просто не перечислена по принципу неуловимого Джо?

0
Йота встречается. Ее просто небыло в прошлом обзоре и не стал включать. Есть есть Ростелеком.
+1
По такой логике у вас ничего нового не появится. Если предложений много или цена сильно отличается от мегафона — было бы интересно их тоже увидеть. Вообще именно отличие от мегафона интереснее всего на самом деле.
-4
Любые ваши данные доступны в любой момент. Вопрос только лишь в цене. Все предложения выше из серии «а давайте вот так вот хитро предотвратим» абсолютно бессмысленны, ибо данные вы сами отдаёте банку, сотовым, государству, наконец, ну а там везде (и активно) работает рынок, на котором всё определяется одним фактором — ценой. Можно свести интерес к вашим данным до уровня «только для богатых», но что толку, если именно богатому выгодно с вами что-то сделать? А нищим выгодно лишь спереть на пять копеек, что вполне переносимо для вашего бюджета. Но если за вас взялся богатый — пятью копейками не отделаетесь, скорее всю жизнь придётся менять.

В общем — всё логично и нормально для нашей страны. Только так здесь и может быть.
+3
<сарказм>
Пароли у Вас тоже все «111»? Ведь получить Ваш пароль можно в любой момент, дело в только в цене, дверь в дом вы не запираете, ведь вас всегда могут ограбить, вопрос только в цене.
</сарказм>

Защита данных это не сделать несанкционированный доступ к данным невозможным, это утопия, а сделать доступ дороже, чем стоят сами данные, а это вполне возможно.
-1
>> сделать доступ дороже, чем стоят сами данные, а это вполне возможно

Очень интересно, и как вы этого добились, например, в налоговой, в мвд, в куче банков, у сотовых операторов? Или вы считаете слив много раз по паре сотен рублей с мобильного счёта дешевле бесплатной для оператора информации о счёте? Или это всё фигня? Ну тогда — продажа вашей квартиры по договору, подписанному ЭЦП, зарегистрированную на ваши данные — тоже мелочь? Или всё же сначала стоит подумать, и только потом писать?
0
В общем — всё логично и нормально для нашей страны. Только так здесь и может быть.

Мне кажется, дело не в стране. 'Что знают двое, знает свинья', а в эпоху, когда для копирования информация не нужно даже уметь говорить или писать, бороться с ее свободным распространением это все равно что воевать с ветряными мельницами, мне кажется.
-14
Желание словить хайп на известных брендах или персонах — тенденция нашего времени, к сожалению. Почему был выбран именно Тинькофф для такого своеобразного обзора, остается загадкой.

А по поводу кейса: остается лишь порадоваться за клиентов Тинькофф и оперативную реакцию Банка и результат, а ведь есть и другие банки, где добиться какого-либо вменяемого ответа на аналогичные по сути инциденты, практически невозможно.
+2
Никакой Тинькофф выбран не был. Вы текст Коммерсанта прочли? Пиар Тинькофф никто за язык не тянул, они написали (см. текст) и я на это ответил. Все, ничего более.
-4
Спасибо, что прояснили, стало понятнее!
А как такие кейсы решает ваше решение? Например если бы в Тинькофф был установлен Devicelock, можно ли было это пресечь и собрать доказательства для суда? Насколько мне известно другие dlp (Solar Dozor, Searchinfrom, Infowatch) собирают такие данные и успешно используют в судах.
+2
Потому что у автора карта Тинькова. Можете повторить если у вас есть карта сбера.
+1
и это тоже, кстати. проверять на чужих картах я не планировал ;)
+2
Скорее можно порадоваться за PR отдел что хотя бы написали отмазку. Остальные компании даже до этого не снизошли.
Поймать инсайдера торгующего данными дело техники. Надо просто поднять ленивую ж…
0

Про остальных нет достоверного подтверждения (неважно почему) пока не доказано что есть проблемы, лучше не участвовать в этом.

0
Ну вообще про пробив давно известно, тут человеческий фактор, его никак не уберешь. Если у человека есть доступ к информации, за которую платят деньги, у человека появляется соблазн информацию продать.
Вообще с банками ситуция интересная. Паттерны миллионов людей собирают с помощью алгоритмов — предсказывать спрос, изучать поведение, потом для каждого составлять персонифицированную рекламу, миркротаргетирование. Вроде Cambridge Analytica, только банковская.
Забавно, что банки собирают паттерны и им за это еще и платят сами клиенты.Потом паттерны такое же товар как и «пробив»
Почитать можно здесь.
www.computerworld.com.au/article/664459/machine-learning-can-find-heavily-sampled-anonymised-dataset
0
т.е. можно сделать вывод о том, что в этих банках защита информации на более высоком уровне, или черных услуг по этим банкам не было на конкретном ресурсе, но на другом они могут быть?
0
Тут нет речи ни о каком «одном ресурсе». Исследовался рынок в целом (порядка 5 форумов клирнета, столько же онионов, порядка 10 телеграм каналов и порядка 20 селлеров через телеграм)
0
Один исправил утечку данных по операциям по картам, но не до конца, а другой вообще не исправлял. Какой это банк и какая последовательность — решайте сами :(
UFO landed and left these words here
+5
это классика «вывсьоврети». вы случайно не в Тинькофф Банке работаете? ;)
UFO landed and left these words here
UFO landed and left these words here
+7
Все понятно, что вы плохо понимаете написанный текст и повтряете «вывсьоврети» до бесконечности. Этот «Андрей Иванов » официальный представитель банка в социальной сети Фейсбук. Продолжайте веселить нас.
UFO landed and left these words here
0
>А как определить, действительно ли автор говорит правду?
Практически никак. Можно лишь определить степень доверия — оценить заинтересованность и мотивацию сторон, попытаться найти логические нестыковки, учесть репутацию автора, но все это будет на уровне предположений и распределения вероятностей.

>Дайте ссылку на этот ответ — тогда поверим.
Не на все можно дать ссылку. Интернет — это не только веб.
-1
> Продают практически всё – от выписок и балансов до кодовых слов.

Понятно что объявления на черном рынке источник не очень то и надежный, но вообще тот факт, что кодовое слово может продаваться (оно хранится в открытом виде, серьезно?) вызывает смешанные чувства.
+1
Все надежно и проверялось много раз. Аргумент «вывсьоврети» уже даже смех не вызывает.
+1
кодовое слово проверяет оператор по телефону
как еще оно может храниться, как не в открытом виде?
+1
В виде хеша(с солью и всей фигней)?
Оператор услышал его в трубке, ввел в формочку внутренней софтины, софтина сравнила хеши и сказала верное или неверное слово?

Да, человеческий фактор в виде оператора остается, однако если вы ни разу не авторизовались кодовым словом по телефону — из БД его достать нельзя.
+1
оператор будет ошибаться при вводе и тратить время и нервы клиента
по моему опыту операторы в банках (Сбер, Тинькофф) авторизуют по кодовому слову сразу и ничего никуда не вводят, а значит видят его на экране, вместе с остальными моими данными
0
И это ведет к тому, что кодовые слова продают. Что меня лично напрягает.
0
К продаже ведет безалаберность банков. Выше уже все написали про логирование, контрольные закупки и прочее. Я очень удивлен, что в таких продвинутых банках, как Сбер и Тинькофф, не решили кардинально эту проблему. В ней нет какой-то принципиальной сложности.
0
Я согласен с Вами, что организационные меры по этому поводу должны быть приняты (причем их нужно повторять периодически, для профилактики). Однако это не отменяет возможности технического решения проблемы.
0
я как клиент могу думать, что правильное написание слова «картофель» — «кортофель».
Мы с оператором будем очень долго хэш на него правильный получать, если только он не на моей волне изначально.
0
Можно хранить кодовые слова в открытом виде, но сравнивать с какой-то степенью допуска прямо на сервере и наружу вообще не передавать. Схожесть слов программно вполне себе проверяется, можно даже по разным признакам, например, фонетически.

Соответственно, считать эту информацию особо чувствительной и регистрировать все обращения к ней.

Конечно, слив всё равно возможен, то круг вовлечённых лиц резко сужается. Одно дело обиженный на зарплату оператор с мобилкой, другое — DBA.
0

по моему опыту в качестве "ключа" открывающего оператору доступ к информации о клиенте, используют дату рождения. Это если звонок идет не с зарегистрированного в банке телефона клиента. В последнем случае предлагают просто представиться.

0
как и пароли, в захешированном. Другое дело что тогда придётся операторов проверять на грамотность и запретить слова не из словаря/похожие друг на друга при произношении.
[я буду обновлять страницу, я буду обновлять страницу...]
0
а в каком виде хранить кодовое слово? Оператор в уме хэш будет вычислять в режиме разговора?
вариант с вводить и пусть машина сравнивает красивый конечно, но до первого блока карточки из-за связки неграмотный оператор — грамотный клиент или даже наоборот.
+2
Ну баланс между безопасностью и удобством — всегда компромисс. В данной ситуации (ИМХО) нужно его сдвигать в сторону безопасности (в разумных пределах). Так-то деньги в банке лежат. Скомпрометированное кодовое слово может очень дорого обойтись клиенту.
0

Как влияет на безопасность невозможность заблокировать карту при ее утере/компрометации пина ввиду того, что клиент написал в анкете кодовое слово "КАРОВА"?

0
Если уж на то пошло, то аутентификация по кодовому слову всё равно происходит человеком с изрядной долей допуска :)

Оператор по телефону не может быть уверен в побуквенной точности кодового слова и подтверждает его совпадение на своё усмотрение. У меня в карточке написано «КОРОВА», а в гарнитуре оператор услышит КАРОВА, КОРОФА или даже КАГОВА — и всё равно подтвердит.

Здесь тот же самый механизм может быть реализован программно. Есть фонетическая схожесть на 90% и побуквенная на 80% (условно) — система подтверждает. Показатели подобрать, чтобы минимизировать срабатывание по схожим словам, в пограничных случаях всегда можно попросить клиента произнести слово по буквам (или просто уточнить пару конкретных букв).
0

Русская орфография местами настолько запутана, а фонология настолько причудлива, что решение может оказаться гораздо сложнее чем видится на первый взгляд. Рискну процитировать классика. чтобы обрисовать масштаб проблемы.


Лев Иванович Успенский, Слово о словах.

Вспоминается мне маленький, почти разбитый снарядами городок в дни Великой Отечественной войны, дорога от наших постов к его окраинам и столб возле дороги. На столбе стрела и странная надпись "Оптека".
Я и еще несколько офицеров стояли под этим столбом и крепко ругали чудака, который такую надпись сделал. Как нам теперь было понять: что´ находится там, за углом, на улицах городка, по которым уже свистели фашистские пули? Если там и верно "аптека" — дело одно; надо немедленно послать туда бойцов, не считаясь с опасностью, вынести все лекарства, какие там могли остаться, бинты, йод. Все это было нам очень нужно. Если же "оптика", — так ни очки, ни фотоаппараты нас в тот момент не интересовали.
"И как только грамотный человек может этакое написать?" — ворчал майор.
Тогда среди остальных возник спор. Одни утверждали, что неизвестный нам автор надписи был, несомненно, или из Ярославской области, или из Горьковской. В этих местах люди "окают", — говорят на "о", четко произнося не только все те "о", которые написаны, но иногда, по привычке, выговаривая этот звук даже там, где и стоит "а" и надо сказать "а". Тому, кто родился на Волге или на севере, отделаться от этой привычки нелегко. Валерий Чкалов говорил на "о", Максим Горький заметно "окал". Так произошла и эта ошибка: человек, конечно, хотел написать "аптека". Но произносил-то он это слово — "опте´ка". Так он его изобразил.
Однако многие не согласились с этим. По их мнению, все было как раз наоборот. Есть в нашей стране области, где люди "акают", "екают" и "и´кают". Одни говорят так, как в пословице: "С МАсквы, с пАсада, с калашнАвА ряда", произносят "пАнИдельник", "срИда", "мИдвИжонАк". А другие, наоборот, выговаривают "пАнедельнЕк", "белЕберда". Ну и пишут, как произносят! Может быть, тот, кто это писал, был именно человек "екающий". Он слово "оптика" слышал и говорил как "о´птека", да так его и написал на столбе. Значит, аптеки там нет.
Спор наш тогда ничем не кончился. Но это и неважно.


Ну и в дополнение могу сказать, что своими глазами видел почти полную реализацию известного анекдота: написание слова ЕЩЕ, как ИЩО. От человека со средним специальным образованием (бухгалтера).

0
Проблема в следующем: можно хранить хеш слова, но тогда оператор должен с точностью до регистра каждой буквы ввести это слово. Можно не показывать оператору, и сравнивать на фонетическую схожесть, но тогда хранить придётся исходное слово. Но вот как это совместить — я вот так с ходу не представляю.
0
«нормализация». Приведение к единому регистру обычно это 1 строчка или даже меньше (.lower())
Другое дело что есть слово типа «семидесятипятимиллиметровый» то тут никакие схожести не помогут, а от оператора будет нужна грамотность, что вообще не гарантировано. Автоисправления тут никак не помогут, сложносоставные слова корректоры обычно не знают.
0
Интересно, но что ответят представители Тинькофф…
Ждём.
+2
Есть очень простое решение. За три достоверно доказанных факта утечки данных по примеру из данной статьи штрафовать на миллиард рублей, а за повтор — лишать лицензии на ведение банковской деятельности с арестом руководителей и учредителей организации с полной конфискации всего имущества в пользу пострадавших клиентов.
+3
Идея мне нравится в целом. Но! Вы представляете какой вой поднимут банки и ОПСОСы, если даже сегодня они чуть-что сразу идут в отказ. Стандарт де-факто уже ответы «у нас утечек не зафиксированно», «информация не подтвердилась», «это очень старая утечка», «это компиляция из различных источников» и т.п.
0
Ага, при этом, когда я писал в часть банков из списка в статье и в множество не из списка со словами «Смотрите, у вас здесь можно вытащить данные по операциям клиентов и балансам карт, нужно только ...», мне отвечали странные вещи уровня «Ваша атака не работает, у нас не получается воспроизвести» (но после года борьбы с этим банком я скинул им черновик статьи на Хабр об этой уязвимости, через неделю признали наличие проблемы), «Мы считаем, что авторизация надёжна», «Когда-нибудь исправим» и подобное.
+5
Когда есть шанс потерять миллиард — в суды уже не идут, а устраивают несчастный случай.
0
Одно не исключает другого. Ведь торговля данными — тоже бизнес, и его тоже надо налаживать.
0
Как? Ликвидировать всех людей, имеющих доступ к вашим ПД по служебной необходимости пока вроде как нереально.
Так же не стоит забывать кто в итоге заплатит за это «отлаживание» (борьбу с ветряными мельницами). В итоге останется один банк — зеленый. Сами, думаю, понимаете почему.
Кмк, нужно ужесточать наказания непосредственно для тех кто сливает.
0
Обезличивать данные для обработки, не требующей личной коммуникации. При личной коммуникации сделать верификацию по смс, приложению, токену, etc…

Так же не стоит забывать кто в итоге заплатит за это «отлаживание»

лучше заплатить, чем получить кирпичем по голове, так как слили инфу, что снимал 3 раза подряд ЗП 7 числа в 22:20 в определенном месте.

нужно ужесточать наказания непосредственно для тех кто сливает.

Что бы наказать, сначала нужно найти. А когда доступ есть даже у уборщицы(утрирую), найти сливателя тяжело.
0
Обезличивать данные для обработки, не требующей личной коммуникации
Ок, согласен.
При личной коммуникации сделать верификацию по смс, приложению, токену, etc…

Сделано ведь уже во многих CRM и используется в банках. Но тут мы правда только операционистов отсекаем.
Что бы наказать, сначала нужно найти. А когда доступ есть даже у уборщицы(утрирую), найти сливателя тяжело.

Найти как раз не сложно, даже судя по примеру автора. Логи в той же CRM хранятся по действиям юзера. Cложно ведь именно отличить нелигитимную активность при выполнении штатных задач и предотвратить слив.
Собственно, я про это и говорил, что 3 случая, то точно наберется при хорошем желании со стороны заинтересованных людей.
+1
Мне кажется, что не очень сложно отличить легитимную активность от нелегитимной. Например, зачем оператор Иванова полезла в карточку клиента Петрова? Клиент ей звонил? Да — все отлично, нет — выясняем, давали ли ей задачу, в которую входил анализ карточки клиента Петрова. Если да — до опять все нормально, если нет — то тогда уже пусть Иванова готовит вазелин и деньги на возмещение ущерба. Нет денег? извольте принести пользу Родине в окрестностях Магадана. Правда, мой способ подходит при расследовании уже выявленного случая… Каков алгоритм предотвращения — пока затрудняюсь придумать. Разве что триггером может быть, если был анализ карточки клиента при отсутствующем обращении клиента.
0
Разве что триггером может быть, если был анализ карточки клиента при отсутствующем обращении клиента.

Выдумываем посещение клиентом офиса банка, берём за него талончик, садимся сами к себе и разглядываем его карточку. Тут можно будет разве что прицепиться к тому, что обычно клиент ходит в отделение в Мытищах, а тут вдруг обратился в Новокузнецке. Но объёмы проверок по таким критериям будут колоссальны.
0

Представьте, кто-то знет ваш номер расчётного счёта (вы в садик заявку на возврат отдавали) что вы будете обезличивать? А если ещё дату рождения и город, а если ИНН и СНИЛС? И номер карты…
Обезличивание это очень тонкая штука...

+1
Вы серьезно? Прямо с арестом всех руководителей и конфискацией? Наказывать нужно тех кто торгует данными…
+1
Торгуют операторы, но происходит это с попустительства ЛПР и СБ.
ЛПР не выделяют деньги на техрешения для контроля данных, СБ или ленятся или не обладают должной квалификацией — в сумме данными торгует каждый энный оператор.
0

Вы представляете что могут сделать сотрудники сбера со всей страной?

+3
Поставить в очередь, пока большая часть уйдет на обед?
0
И тогда расцветет бизнес по «решению проблем» с банками. Не существует в мире ни одного способа, который даст гарантию в 100%. Даже если всю работу с персональной информацией сконцентрировать в одной комнате, обвесить её камерами под всеми углами (даже на лоб сотруднику) и т.д., шанс всё равно остаётся. Любые «решатели проблем» без особых финансовых и организаторских затрат смогут любой банк довести до штрафа, а потом — к закрытию. Ну и обратная сторона — чем меньше людей имеют доступ к персональным данным, тем безопаснее. Стало быть, разговор будет таким:
— Здравствуйте, мне нужно перевыпустить карту.
— Ожидайте, пожалуйста. Наш оператор ответит вам в течение… 7 лет 250 дней 7 часов и 10 минут.
0
На западе сделано разумнее, там есть обязательства предоставлять сведения по каждому взлому и возможны штрафы, смотря какие были причины взлома и сколько затронуло. Но попытка скрыть инфу — штрафы сразу до небес взлетают и отзыв лицензии легко бонусом.
0
Помнится, когда лет 15 назад я приехал из «глухой деревни» в Москву, то выпал в шоке, что возле Лубянки на Мясницкой продавались базы на дисках — база паспортов, база наркоманов, база тех и сех, и даже предлагались все банковские проводки за год на харде.
Меня тогда это нокаутировало. )))
К сожалению, это минус цифры.
0
А еще операторы сливают в МВД (или другим заинтересованным лицам) в районе какой вышки, в какой момент времени вы находились, я так понял по триангуляции могут довольно точно назвать адрес и время прибывания.
-10
Дочитал до ответа Тинькова. Что можно сказать — подставил сотрудника, продавца данных, герой! Может, даже медаль дадут. А может, и не дадут.
+3
Люди, которые продают персональную банковскую информацию — совершают преступления. За эти преступления они должны понести наказание. Что здесь не так?
0
Для меня это никогда не было новостью, мне неприятно скорей другое, что за годы ситуация в общем-то не улучшается, даже в коммерческих структурах, что уж говорить про государственные где в этом вообще похоже интереса нет.
0
когда берут ИТ, то получается выставленные в инет Elasticsearch и MongoDB без аутентификации
+1

Когда-то давно на каких-то курсах я слышал такое рассуждение:


Существует два принципиально разных подхода к обеспечению безопасности: безопасность в коммерческой сфере и безопасность в сфере государственной.
Коммерческая безопасность исходит из того, что размер вреда может быть выражен в денежном виде. При этом затраты на принимаемые для предотвращения этого вреда меры не должны превышать определенной (риск-менеджмент, ага) доли от размера спрогнозированного вреда.
Государственная безопасность исходит из того, что возможный вред не может быть выражен в денежном эквиваленте и поэтому на меры по его предотвращению должны быть потрачены все доступные финансовые и прочие ресурсы. То есть пляшем "от бюджета".

Как правило бывшие сотрудники государственных силовых структур (по крайней мере в то далекое уже время) используют второй подход. Отсюда и странность некоторых решений.

0
Чтобы сотрудники не барыжили на работе, эта работа должна быть дороже разовой наживы, условиями труда и оплатой.
0
Возможно ли решить проблему зашумлением, чтобы гугл на запрос персональных данных выдавал 1000 разных фото, телефонов, паспортных данных и ссылок на базы данных?
0
интересная ситуация получается, организации любого уровня при контакте с физическим лицом для трудоустройства или каких-либо других взаимодействий проверяет человека законными или не очень методами для того чтобы обезопасить себя от проблем в будущем и вообщем то система смотрит на все это прикрыв глаза, но если за подобным замечет отдельный гражданин тут же начинается движение карательного характера. Вопрос как мне обезопасить себя тогда хотя бы от неадекватного работодателя? — или надо само общество привести в состоянию когда все сразу доступно при определенных процедурах(типа индекса гражданина в Китае) или невозможны или минимальны противоправные действия ввиду наличия контроля самого сообщества (вспомним советское вроде Совесть пассажира лучший контроллер). И тогда «пробив» будет неактуален
-2
Все не так однозначно, друзья мои.
В частности открытым остается вопрос любого ли человека можно пробить таким образом.
Все знают, а кто не знает гугл в помощь, про кучку сервисов предлагающих прислать переписку любого человека в том же гугле или яндексе.
Но это не значит, что сотрудники гугла или яндекса барыжат данными.
Это с большой вероятностью означает, что пароль человека есть в базе паролей гуляющей по интернету.
Если он есть — сделка состоится, если нет — то нет.
Ни в чем не подозреваю автора, но вероятность что пробив по банкам происходит именно так не нулевая.
-2
Будто люди от хорошей жизни этими данными торгуют. Не нужно никого наказывать, увеличьте зарплаты!
Хотите запреты — сделайте свой гулаг и запрещайте всё, что хотите.
0
Я бы мог понять, если вред не шёл третьим лицам, но такое простите это уже наглость.
-1
Что «это»? Им выгодно продавать эти данные, пока выгодно — они будут продавать, даже под страхом ужаснейших пыток. Надо просто сделать так, чтобы не было экономически выгодно торговать этими данными. Например платить 140-150 тысяч рублей в месяц после налогов, а за торговлю данными увольнять, ну и по закону штраф какой-нибудь и/или условный срок.
0
Это:
Будто люди от хорошей жизни этими данными торгуют. Не нужно никого наказывать, увеличьте зарплаты!

Это оправдания и мягко говоря не очень хорошие.
Завтра я продам скан вашего паспорта, по нему оформят кредит, оформят ЭЦП, на неё создадут ИП и продадут вашу квартиру. Вы тоже будете говорить: «ну з.п. у людей маленькая, не нужно никого наказывать»?
За такое только уголовный срок, за первый раз возможно условный, т.к. всё равно это уже чёрная метка и ни одна фин. организация такого человека не возьмёт на работу.
0
То есть вместо борьбы со причиной, т.е. низкий уровень жизни, плохая зарплата, мы будем бороться со следствием? Я правильно понимаю?
И аналогия бредовая.
0
т.е. у высокопоставленных коррупционеров тоже низкий уровень жизни и плохая зарплата? надо их тогда пожалеть и отпустить всех. Или чем отличается менеджер от дорогого чиновника? Зарплату поднять это конечно хорошо, но у кого-то вместе с зарплатой и аппетит просыпается. С з/п в 10к вы будете изредка посматривать на мясо, с 30к — мясо уже есть, а засматриваться будете на элитный алкоголь, с 50к — может что из техники? с 100к — ой на Канары бы раз в месяц, но не хватает(( К хорошей зарплате надо ещё и хорошую ответственность прикладывать, да и государство не платит з/п менеджеру оператора или банка, но вот ответственность предложить может.
+1

Не вместо, вместе. Скажем так:


  1. Установить обязательные доплаты сотрудникам, работающим с персональными данными. Можно еще и дополнительные льготы, скажем увеличенный отпуск и т.п.
  2. Установить дополнительную ответственность в виде лишения права занимать должности, связанные с доступом к персональным данным, конфискации имущества или высоких штрафов. Ну в порядке бреда: "штраф в размере всей суммы полученных доплат за работу с персональными данными за все время работы".
0

vaim


подумываю зарегистрировать церковь святого опохмелия и причащать в обмен на пожертвование.

Подпадёте под определение секты, ведь только кошерным церквям такое можно (это ли не чудо?), а кому попало — нет.


mig126


В госслужбах всё ещё проще — по крайней мере в некотором ПО (а не миф ли оно?) все запросы протоколировались и, внезапно, можно было посмотреть что Иванов запрашивает жителей своего района/участка, с которыми работает, а вот Петров — случайных жителей города (что не странно, поскольку они могут иметь отношение к району и странно, если число таких запросов выше среднестатистического (чтобы вписываться в коридор он должен быть 1. Умным, 2. Не работать, дабы не портить статистику)) или он вообще не работает с теми данными, для которых такие запросы нужны.
Но для этого должно быть хоть у кого-то желание поймать Петрова (и наказать, а не потребовать поделиться), а с желаниями у них как-то несколько импотентно.


greensky


Если нарушитель не дурак, будет делать эти запросы от другого лица.

Да ещё и так, чтобы никого не было в это время в офисе… на чём и прогорают (ибо учётка одного, а по СКУД в офисе только другой). Если что — это мне приснилось.


deustech


Проще еще чтобы любой доступ к данным клиента, вне рамок стандартных процедур без авторизации клиента (не чат, телефон, отделение) требовал смс подтверждения

Не заработает, как же вам впарить "новую мультиплатиновую безпроцентную кредитную карту с кешбеком <Лохолява>"?
Нет, конечно, можно сделать модуль аналитики, который выдаст по непонятному правилу телефон-ФИО, но это долго и правила нельзя быстро менять, а тут нейросеть в костюме сидит, оценивает, звОнит с предложениями (вы делали вклад полгода назад и у нас есть униКальное предложение вложить 100500 мульёнов под 0.5% годовых, как не интересно и нет денег? если расскажете знакомым — дадим 100 рублей). Профит.


Gordon01


Вот сейчас тиньк прибьет у себя канал утечки, но найдется другой, который просто будет стоить дороже.

Отлично, повторять{действие();}пока(цена<бесконечности);


stanislavkulikov


Никто не логирует все запросы к БД.

К БД не нужно, к БД должны иметь доступ несколько человек (или давать доступ на время проведения работ специалистам нижнего уровня), а запросы "подайте мне всех Ивановых Иванов" должны логироваться, с указанием кто, когда, откуда и что запрашивал, причём как из интерфейса, так и пакетные запросы смежных систем.
А пока такой бардак, что любой наёмный тестер может select *, то только дыра и в безопасности (на самом деле логи наверняка есть, но чтобы кого-то ловить, надо поднять зад) и как раз именно "безопасники" получать доступ и не должны (это как на складе сторож-дегустатор).


user_man


как вы этого добились, например, в налоговой, в мвд, в куче банков, у сотовых операторов

Вы ставите вопрос о завершённости начатого процесса, это некорректная постановка вопроса, процесс начинается в том числе такими статьями.
Стоит почитать, прежде чем писать, это задача перечисленных органов сделать пробив дороже выхлопа (причём, не просто сделать 200 рублей за 100 профита, а сделать 5 лет с достаточно большой вероятностью за 100 профита).


iLikeKoffee


Скомпрометированное кодовое слово может очень дорого обойтись клиенту.

Кодовое слово может быть набрано латиницей и быть не KOROVA, а LOREMIPSUM какой, не считая варианта смешанного языка — опреатор выполняет нечёткий поиск aka "ну, вроде, похоже".
Хотя когда-то слышал о варианте "назовите 3ю и 5ю букву кодового слова", когда софт показывает несколько букв, порадовался, но потом во всех банках именно слово целиком запрашивалось.


Heian


подставил сотрудника, продавца данных, герой

Звучит как "поймал вора". Вы из профсоюза воров, раз так расстроились за коллегу?


ExplosiveZ


Надо просто сделать так, чтобы не было экономически выгодно торговать этими данными.

Так это и предлагается — когда штраф в годовую зарплату и вероятность его высока, то экономическая выгода от торговли отсутствует (для большинства).
Плати вы им по 150тыр, то всё равно найдутся сливающие (ответственности-то нет, а профит есть), да и связь подорожает существенно, а за ней и остальные услуги (поскольку много где есть что сливать и придётся поднимать всем, в итоге что раньше было 30 — теперь станет 150).

0
> Плати вы им по 150тыр, то всё равно найдутся сливающие
Только им никто сейчас не платит по 150 тысяч. Вот начнут платить и если будут сливать, то уже тогда и думать надо, что делать с ними. Например запрет на работу с любыми персональными данными, штраф, либо условный срок.
0
Интересно, а сколько стоит перевести SIM-карту на архивный тариф с поминутной тарификацией?
Only those users with full accounts are able to leave comments. , please.