В Сбербанке снова утечка данных — новая информация о клиентах банка выставлена на продажу

Информационная безопасностьЗаконодательство в ITIT-компании


Согласно информации издания «Известия», с 12 февраля 2020 года в даркнете появились новые объявления о продаже базы данных, в каждой строке содержащих такую информацию о клиентах Сбербанка: название банковского подразделения, полное ФИО, номер счета, паспортные данные, дата рождения и номер телефона.

Один из продавцов рассказал журналистам «Известий», что у него есть информация о двадцати тысячах клиентах Сбербанка, он оценивает каждую строку из этой базы по тридцать пять рублей. Согласно дополнительной информации от продавца, у него есть возможность выгружать еще по десять тысяч новых строк о клиентах банка еженедельно.

Как выяснили журналисты, большая часть продаваемых данных относится к клиентам финансового учреждения, проживающих в регионах с часовым поясом +5 UTC — в субъектах Уральского и Приволжского федеральных округов РФ. А в полученном ими на проверку тестовом фрагменте данных были клиенты банка, которые имеют счета или карты в Республике Башкортостан.

Чтобы убедиться в подлинности данных журналисты проверяли мобильные телефоны через приложение «Сбербанк Онлайн», где при введении номера можно увидеть имя, отчество и первую букву фамилии пользователя. Шесть из десяти записей совпали, еще три оказались не привязаны к приложению, и в одном случае телефон продемонстрировал другое имя. По указанным номерам телефонов удалось дозвониться до четырех человек: все они подтвердили свое имя и дату рождения.

«С высокой долей вероятности, это действительно клиенты Сбербанка», — подтвердил «Известиям» Ашот Оганесян, технический директор компании DeviceLock. Также Оганесян уточнил, что «новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают».


Информация по этой утечке из Telegram-канала "Утечки информации". Скриншот фрагмента новой базы данных предоставлен для Хабра Ашотом Оганесяном.

Судя по незакрытой информации из таблицы выше (по годам рождения и типу карт VISA Electron), большинство пострадавших от этой утечки являются пенсионерами. В Сбербанке факт новой утечки не подтвердили и не прокомментировали никакую информацию об этом инциденте.

Вдобавок специалисты по информационной безопасности предположили, что у злоумышленников есть ограниченный доступ (через сотрудников) к информационной системе учреждения, который, возможно, ограничен лимитом скачивания в системе ИБ. Например, им нельзя сохранить на внешний ресурс более двух тысяч записей в сутки.

14 февраля 2020 года Сбербанк начал проверять информацию от СМИ о новой утечке данных клиентов. «Ежедневно в сети появляются десятки сообщений с предложением продать базы данных клиентов различных банков и компаний. Мы проверяем любую подобную информацию, в том числе и ту, о которой идет речь в публикации. Там есть данные, ранее уже предлагавшиеся к продаже на теневом рынке и относящиеся к 2015-2016 годам. Сбербанк не являлся источником утечки этих данных», — говорится в сообщении пресс-службы Сбербанка.

Скриншот с разными объявлениями за начало февраля 2020 года от одного продавца в даркнете, предоставлен для Хабра Ашотом Оганесяном.

Ранее в октябре 2019 года были официально подтверждены два факта утечки персональных данных клиентов в Сбербанке. Первая утечка произошла из-за целенаправленных умышленных действий сотрудника самой кредитной организации, а вторая утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал Сбербанк, где также сотрудник агентства смог скопировать данные клиентов из общей базы.


Пример отрывка из утекшей в 2019 году базы данных. Скриншот предоставлен для Хабра Ашотом Оганесяном.

В начале ноября 2019 года сообщалось о появлении в продаже в интернете данных примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Представители Альфа-банка подтвердили утечку данных только пятнадцати своих клиентов.

7 ноября 2019 года стало известно, что Роскомнадзор планирует ввести административную ответственность за незаконное распространение персональных данных и за их покупку и хранение. К весне 2020 года регулятор подготовит и вынесет на общественное обсуждение поправки об ответственности за покупку баз данных утечек украденных личных данных.

В начале декабря 2019 года Герман Греф рассказал, что к 2023 году Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано».
Теги:Сбербанкпроблемаутечкаданныебаза данных
Хабы: Информационная безопасность Законодательство в IT IT-компании
+41
33,5k 7
Комментарии 69

Похожие публикации

IT-рекрутер
от 45 000 до 70 000 ₽ITSummaМожно удаленно
IT recruiter middle
до 1 300 $Mad DevsМожно удаленно
Ведущий IT рекрутер
от 130 000 до 160 000 ₽Манго ТелекомМосква
HR-менеджер / IT-рекрутер
от 100 000 ₽Российский квантовый центрМожно удаленно
IT рекрутер
от 50 000 до 250 000 ₽C-Executives LLCМоскваМожно удаленно

Лучшие публикации за сутки