Информационная безопасность
Администрирование баз данных
Хранение данных
Законодательство в IT
IT-компании
3 октября

Персональные данные 60 млн клиентов Сбербанка утекли в сеть

По данным издания "Коммерсантъ", база данных с подробной информацией о владельцах 60 млн кредитных карт, как действующих, так и закрытых Сбербанка оказалась на черном рынке. Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет, никаких внешних кибератак не зафиксировано. Сбербанк сообщает о проводимых мероприятиях в связи с возможной утечкой информации.

Обновление [на 5.10.19]: добавлены в конце публикации комментарии Роскомнадзора и компании OpenWay, которая занимается разработкой программного обеспечения WAY4 для Сбербанка, Сбербанк нашел виновного в утечке данных клиентов.

Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца в объявлении, в базе данных содержится информация о более 60 млн кредитных карт. Потенциальным покупателям продавец предлагал пробный фрагмент выборки из базы в составе двухсот строк. По информации специалистов компании DeviceLock, которые первыми обнаружили такую масштабную утечку, данный фрагмент содержал данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.

В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.

База разбита на 11 частей (именно столько у Сбербанка сейчас территориальных банков). Каждая отдельная строка продается за пять рублей.

Для проверки гипотезы корреспонденты издания “Коммерсантъ” попросили продавца найти в базе свои данные. Вскоре им была предоставлена информация о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Специалисты из центробанка также изучили «пробник» и выразили уверенность в том, что эта таблица является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. Таким образом, по словам специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти только из самого банка.

«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка, набор полей действительно поражает», — заявили в компании DeviceLock.

Последствия такой большой утечки данных будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию.

Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объём активных кредитных карт в несколько раз меньше (у банка сейчас около 18 млн активных карт)».

Пресс-релиза Сбербанка по утечке данных


Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.

В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.

По заявлению Сбербанка, похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.

Фрагмент таблицы с некоторыми строками из этой базы содержит такие данные:



Заявление Сбербанка в FB (Мы приносим свои извинения за эту ситуацию и обязательно будем держать вас в курсе нашего расследования):



По данным нового пресс-релиза для СМИ и слов первого заместителя председателя правления Сбербанка Александра Ведяхина:

1. В интернет действительно попали технические данные по учетным записям кредитных карт. Данные по зарплатным или социальным картам не были затронуты.

2. На данный момент подтверждена утечка записей по кредитным картам 200 клиентов. Пострадавших клиентов уведомили об утечке, их карты были перевыпущены. Банк не зафиксировал ни одной мошеннической операции по этим картам.

3. Информацию об утечке персональных данных 60 млн клиентов банк не подтверждает и считает ее «несколько некорректной из-за многочисленных несовпадений». Банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.

4. «Сбербанк работает с правоохранительными органами, Центральным банком и Роскомнадзор​​​ом для скорейшего раскрытия преступления». Также была проведена проверка всех систем банка без исключения. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.

5. В утечке подозревают одного из сотрудников, обладавшего правами администратора.

Реакция на проблему с утечкой от РКН


Роскомнадзор потребовал от Сбербанка предоставить информацию, касающуюся возможной утечки персональных данных 60 млн клиентов кредитного учреждения.

Как говорится в сообщении пресс-службы Роскомнадзора, поступившей в "Интерфакс" 3 октября 2019 года, федеральная служба направила Сбербанку письмо с требованием предоставить информацию о причинах этого инцидента, о виновных в этом ЧП, а также о том, что какие меры принимаются для ликвидации последствий утечки.

Информация о крупной утечке персональных данных клиентов банка была размещена через интернет-ресурс, зарегистрированный в доменной зоне .one.

Между тем, по данным Роскомнадзора, в свободном доступе данной базы нет. Расследование инцидента продолжается. Доступ к указанному ресурсу (на котором опубликовали персональные данные) ограничивается на территории России с апреля 2019 года по основаниям, не связанным с нарушениями в сфере персональных данных.

Комментарий для Хабра представителя компании OpenWay, которая занимается разработкой программного обеспечения WAY4 для Сбербанка


Основную версию инцидента – хищение данных сотрудником банка – мы комментировать не можем. По нашей информации, данные могли быть скопированы из внешнего корпоративного хранилища данных, за периметром WAY4.

Что касается самой системы WAY4, она имеет сертификат PA DSS – он означает, что система поддерживает шифрование наиболее критичных для потенциальных мошенников данных, таких как номера карт, ПИН-коды и других данных. Мы всегда тесно взаимодействуем с клиентами, но по данному вопросу Банк к нам не обращался.

Согласно сообщению самого Сбербанка на его официальной странице в FB, утечка данных затронула не более 200 клиентов банка. «Средства на кредитных картах всех наших клиентов, включая тех, чьи данные попали в сеть, в безопасности. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.»

Сбербанк нашел виновного в утечке данных клиентов


Банк утверждает, что виновный — сотрудник кредитной организации, который руководил «сектором в одном из бизнес-подразделений банка». Сбербанк совместно с правоохранительными органами установил виновного в утечке персональных данных клиентов. Об этом говорится в поступившем в издание «РБК» сообщении от банка.

По информации кредитной организации, им стал сотрудник банка 1991 года рождения, «руководитель сектора в одном из бизнес-подразделений банка». Банк утверждает, что у работника был доступ к базам данных клиентов в связи со своими обязанностями, и что он пытался украсть информацию о клиентах «в корыстных целях».

По данным из банка сотрудник дал признательные показания, правоохранительные органы ведут с ним процессуальные действия. В банке заверили, что дальнейшей угрозы утечки, кроме уже ушедших в Сеть данных о картах 200 клиентов, нет.

«Мы сделали серьезные выводы и кардинально усиливаем контроль доступа к работе наших систем сотрудников банка, чтобы минимизировать влияние человеческого фактора», — приводятся в сообщении слова президента кредитной организации Германа Грефа. Он заявил, что преступление было раскрыто «в течение считанных часов».

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт

Кодекс авторов Хабра и хабраэтикет
Полная версия правил сайта

+55
75,9k 26
Поддержать автора
Комментарии 522