29.10.2018 08:12
alizar 55 14700 Источник
Неизвестный выложил в открытый доступ на форуме phreaker.pro базу данных сотрудников Сбербанка. Поля в БД:

  • ФИО
  • Логин во внутренней системе (совпадают с адресами электронной почты)

Утечка представляет собой текстовый файл размером около 47 мегабайт, в котором содержится свыше 421 тыс. записей, пишут журналисты «Коммерсанта», скачавшие базу. Они обращают внимание, что количество записей в БД превышает количество официальных сотрудников Сбербанка по данным МФСО на конец первого полугодия 2018 года. Тогда она не превышала 300 тыс. человек.

«Коммерсантъ» предполагает, что в базе могут содержаться данные о некоторых (не всех) уволенных сотрудниках, а также сотрудниках дочерних организаций. По базе можно пробить подразделение, в котором числится каждый из них.

Поверхностная проверка подлинности подтвердила аутентичность базы. В частности, там указаны три правильных адреса электронной почты президента банка Германа Грефа. Подлинность базы подтвердил один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка.

В пресс-службе Сбербанка также сообщили, что там известно о публикации части адресной книги сотрудников. Опубликованная информация «не представляет никакой угрозы автоматизированным системам и клиентам», заверили в банке. Она доступна всем сотрудникам Сбербанка и «не несёт угрозы раскрытия их персональных данных», подчеркнули в пресс-службе банка.

О проблеме уже доложили Герману Грефу, который выразил своё недовольство, сказал источник «Ъ» в банке.

Справедливости ради нужно согласиться, что на phreaker.pro публикуют очень много более чувствительной персональной информации от других компаний и госструктур. Конфиденциальная информация зачастую лежит в бесплатном доступе, как и адресная книга Сбербанка.

Комментарии (55)


  1. Zolg
    29.10.2018 11:19
    #19296331

    421 тысяча сотрудников…
    4 сбербанка равны вооруженным силам.


    1. Aquahawk
      29.10.2018 11:23
      #19296351
      +2

      Один сбербанк больше чем apple и microsoft вместе взятые.


      1. Zolg
        29.10.2018 11:46
        #19296483
        +3

        Сравнение только отчасти корректное.
        Подозреваю, что наибольшая часть сотрудников сбера приходится на 'розницу' (персонал местных отделений).
        Про розницу MS мне неизвестно, но если взять Apple (123 тысячи сотрудников, 500 магазинов) и Сбер (421 тысяча сотрудников, 17493 (!) отделений) то Сбер еще и эффективной компанией может представится.
        Но масштаб, конечно, поражает: 0,5% трудоспособного населения страны.


      1. g0rd1as
        29.10.2018 20:40
        #19298747

        Вот только толку от него меньше как будто. Или я сравниваю теплое с мягким?


    1. aknew
      29.10.2018 12:05
      #19296583

      Не факт что столько именно сотрудников — учитывая вводные (только ФИО + Логин / почта) это не реальные люди, а именно записи в домене, а у одного человека их может быть несколько, например, за счет переброски сбертех-сбер. Плюс достаточно часто сотрудники подрядчика тоже получают внутренние аккаунты (а иногда из-за бюрократки с отдельными договорами и несколько), плюс у Сбера несколько отдельных сетей с независимыми аккаунтами (возможно, те самые три почты Грефа)


      1. Envek
        29.10.2018 22:24
        #19298991

        Да, у многих сотрудников Сбера (не операционистов) стоит на столе по два компьютера, подключенных к физически разделённым разным сетям. Из одной, «внешней» сети, есть доступ в Интернет, из другой, внутренней — нет. Один из способов обмена данными между сетями — пересылка электронной почты между двумя адресами почты одного человека из разных сетей. (Бррр)
        Так что да — у каждого минимум по два e-mail'а. Сотрудникам подрядчиков выдаются почты либо в одной, либо в другой сети со всякими странными суффиксами.


  1. isxaker
    29.10.2018 11:25
    #19296359

    ссылку не могу найти.
    здесь есть ссылка
    но на уже невалидна

    есть линк у кого?


    1. navion
      29.10.2018 12:50
      #19296817

      Тоже хочу глянуть на структуру LDAP.


      1. Daar
        29.10.2018 18:21
        #19298351
        -1

        +1
        Тоже это интересно. Можно в личку ссылочку, а то не хочется по торрентам ходить :)


    1. Hansol
      31.10.2018 09:53
      #19305319

      Есть в телеграмме t.me/netstalkers ( не реклама. можете не подписываться ) скачать и выйти.


  1. zxweed
    29.10.2018 11:28
    #19296375
    +1

    опубликованная база персональных данных не несёт угрозы раскрытия персональных данных — отлично, чо


    1. rub_ak
      29.10.2018 11:43
      #19296473

      Кликбейт и не к таким несуразицам приводит.


    1. vesper-bot
      29.10.2018 11:44
      #19296479
      -1

      «Голые» ФИО сейчас по законодательству не считаются ПД, так как неоднозначно указывают на человека. А в дампах кроме ФИО и логина (который на таких масштабах скорее всего создается вчистую из ФИО, а-ля name.in.surname@sbrf.ru) больше ничего нет.


      1. prolis
        29.10.2018 13:40
        #19297067

        Это не просто ФИО, а ФИО+место работы, что согласно 152-ФЗ попадает под

        персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу


        1. vesper-bot
          29.10.2018 17:57
          #19298273

          Спасибо за информацию. Значит, был неправ.


          1. appletesta
            29.10.2018 20:46
            #19298769

            ФИО + Место работы + почта = уже что-то


  1. Woit
    29.10.2018 12:04
    #19296581
    +1

    А в следующий раз утечет база клиентов со всей биометрией


  1. khanid
    29.10.2018 12:21
    #19296687
    +1

    Угрозы не несёт. Вот теперь только это отличная база для злоумышленников в части фишинга, например.


    1. vilgeforce
      29.10.2018 13:37
      #19297051
      +1

      Через пару недель шум уляжется и тогда… Как раз конец какого-нибудь отчетного периода будет :-)


  1. Viacheslav01
    29.10.2018 13:41
    #19297071

    Ну что вы, скрипты из внешних источников в личном кабинете полностью безопасны, говорили они.


  1. avost
    29.10.2018 14:06
    #19297193
    -1

    Что ж, теперь мы все можем легко узнать всех этих прекрасных людей, которые "вот где вам карту выдавали, туда и идите". Отличная база для люстрации.


    1. Maccimo
      30.10.2018 03:10
      #19299653

      "вот где вам карту выдавали, туда и идите"

      Эта искромётная шутка протухла как минимум лет пять тому назад. Бросьте бяку!


      1. losse_narmo
        30.10.2018 09:35
        #19300097
        +1

        Не протухла. Не далее как месяц назад жену так отправили за новой карточкой


        1. Arty_Fact
          30.10.2018 09:49
          #19300143

          По звонку отделение, к которому прикреплен клиент, меняется.


          1. losse_narmo
            30.10.2018 09:57
            #19300175
            +1

            Судя по новостям не совсем так. Надо прийти в другое отделение, там написать заявление на перевыпуск карты в этом отделении, подождать пока карту еще раз выпустят и сходить ее забрать


            1. Arty_Fact
              30.10.2018 10:08
              #19300225

              Это если карту уже выпустили. Позаботьтесь заранее о смене филиала и карта придет в нужный.


              1. avost
                30.10.2018 15:47
                #19302231

                То есть отмазка, — "вот где вам карту выдавали, туда и идите", — теперь звучит как, — "вот где вам карту выдавали, туда и идите ЗАРАНЕЕ"? — Это, конечно, сильно меняет дело!


                1. Arty_Fact
                  30.10.2018 15:52
                  #19302271

                  Нет. Отмазка теперь звучит как: «когда видите, что срок карты истекает, позвоните и сообщите куда вам доставить новую».


                  1. losse_narmo
                    30.10.2018 17:50
                    #19303065

                    При этом другой банк (не буду называть) когда срок карты подходил к концу прислал мне смс-ку «У вас скоро кончится срок действия карты и мы будем делать новую. Сообщите нам устраивает ли вас, что она отправится по адресу (...), где вы получали предыдущую.». И реально звонком адрес можно было поменять.
                    Сбер же почти за 2 месяца до окончания карты просто написал «Ваша карта выпущена. Забирайте»


                    1. Arty_Fact
                      30.10.2018 17:56
                      #19303107

                      Да у нормальных банков вся Россия — одна область, а не куча маленьких, между которыми переводы с комиссией. А-то я хотел в другом регионе прийти подтвердить свои данные, чтобы иметь возможность открыть металлический счет. Но нет, это невозможно у Сбербанка в 2018 году.


                      1. Zolg
                        30.10.2018 18:52
                        #19303415

                        между которыми переводы с комиссией
                        вы говорите, как о чем-то плохом (с точки зрения банка)


                        1. Arty_Fact
                          30.10.2018 19:17
                          #19303507

                          Для банка это плохо, например, тем, что я не пользуюсь его услугами, а пользуюсь услугами другого банка.


      1. F0iL
        30.10.2018 10:16
        #19300265

        Нет, не протухла, все еще актуальна. Как минимум если карта выдана в другом регионе. А если карта еще и валютная, то вообще тушите свет.


        1. peacekeeper
          31.10.2018 11:05
          #19305687

          Работал в федеральной компании, выдали карту московского сбера(получал сотрудник организации по доверенности и отправляли с курьером)… решил сохранить после увольнения… это была песня… то что три разных операциониста выдали мне разную информацию с разными сроками — это для сбера нормально… но, как итог, выяснилось, что если хочешь получить карту в другом регионе надо приходить и писать заявление не раньше, чем за 30 дней до окончания срока карты(или перевыпустят с тем же сроком действия)…
          А главное, первый раз это был для меня шок, когда после принятия заявления действующую карту взяли у меня из рук и разрезали… К этому я был совсем не готов…
          До сих пор не понимаю, для чего.
          Сервис а-ля сбербанк…
          Это была рублевая карта). Боюсь представить, что может быть с валютной… но проверять не хочу )).


    1. nfw
      30.10.2018 08:43
      #19299923
      +1

      Отличная база для люстрации.

      Если сольют базу сотрудников какого-нибудь фейсбука, вы их тоже пойдете люстрировать, ведь они слили все ваши данные АНБ и ФСБ, или это ДРУГОЕ?


      1. avost
        31.10.2018 16:09
        #19307599

        Если сольют базу сотрудников какого-нибудь фейсбука, вы их тоже пойдете люстрировать

        Ну… Фейсбуковцы не крали моих денег и денег близких мне людей путём "заморозки" вкладов накануне принудительной инфляции. Они не говорят, — "мужчина, не видете, у нас ОБЕД", — и, — "вот где вам карту выдавали, туда и идите" и не выедают мозг, — "у вас нет нашей карты? как так? А давайте заведём! (а иначе не примем ваш платёж)" — при каждой оплате какой-нибудь коммуналки или налогов. И тд и тп. Зачем их люстрировать? Люстрировать надо профессиональных хамов и непрофессиональных работников. Для меня фейсбуковцы в подобном качестве пока не засветились.


        ведь они слили все ваши данные АНБ и ФСБ

        Ээээ? Возможно, фейсбуковцы и слили фотки моих котиков в АНБ и ФСБ, но я ведь котиков туда именно для этого и пощщу. Чтобы их любой желающий мог "слить". А вот деньги в сберкассу я клал вовсе не для того, чтобы непонятно кто мог их "слить".


        или это ДРУГОЕ?

        Ну, сами смотрите, другое или не другое. Если сотрудники фейсбука слили ваши данные АНБ, ФСБ, МИ-5, Моссаду и тд, а вы этого не хотели, то, разумеется, имеете полное право их ненавидеть. Но при чём здесь я?


  1. GamaleyVV
    29.10.2018 14:56
    #19297473
    -2

    Что-то мне подсказывает, что без Яндекса тут не обошлось… Сбербанк и власти своими разговорами о покупках крупных пакетов акций «опустили» Яндекс больше чем на ярд баксов… Такое прощать нельзя… В Яндексе грамотных «программистов» не мало. Пишу, а по радио сообщение, что бумаги Яндекса поднялись на 7%. (29 октября 2018г).


    1. achekalin
      30.10.2018 01:02
      #19299465

      Люблю теории заговора. Особенно со словами "такое прощать нельзя"!


      Смайлик


  1. kapuletti
    29.10.2018 15:30
    #19297611

    Не удивился даже. Эти данные и так сторонним разработчикам шарятся, так что утечка хрен знает откуда могла пойти.


  1. buzzroll
    29.10.2018 18:28
    #19298371
    +2

    А где рабочая ссылка-то?


    1. runalsh
      30.10.2018 10:37
      #19300367

      Все боятся НЛО.
      Хотя если «не представляет никакой угрозы автоматизированным системам и клиентам», то и не страшно.


  1. semen-pro
    29.10.2018 19:47
    #19298633
    +3

    Вспомнилось высказывание Грефа, что в стране слишком много программистов и математиков…
    Как тебе такое, Герман Греф?


    1. appletesta
      29.10.2018 20:47
      #19298773

      Вполне возможно, что это и есть дело рук какого-то недобитого зловредного программиста и математика


    1. bopoh13
      29.10.2018 23:28
      #19299233

      Какая специальность у него в дипломе: как у премьер-министра, юрист?


    1. tvr
      30.10.2018 11:09
      #19300561

      Вспомнилось высказывание Грефа, что в стране слишком много программистов и математиков…


      Ну всё верно же — «у семи нянек — четырнадцать сисек дитя без глазу!»


  1. ximaera
    29.10.2018 20:10
    #19298687

    Сначала понавнедряют в интранете мессенджеров и корпоративных социальных сетей, а потом глазищами хлопают.


    1. scruff
      30.10.2018 12:40
      #19301087

      Куда там мессенджеры и интрынеты — всё проще в разы!!! Слушайте сюда — Давече подходит ко мне один эффективный и говорит, «а что это я в аутлуке не вижу HQ и другие континенты? Это же так не удобно». На что я ему ответил — «мне еще только этой ответственности не хватает, любая офисная курица при наличии навыков сливает весь контент адресной как два пальца обосс байта отослать, потом этот контент гуляет по всему миру и делает нехорошие вещи, а добавить фраера с того берега моря можно и ручками в персональный лист». Призадумался эффективный, но таки согласился.


  1. wertex15
    29.10.2018 21:17
    #19298851
    +1

    Самая технологичная контора в стране потеряла базу сотрудников…


    1. scruff
      30.10.2018 12:48
      #19301119

      Пользуясь их банкоматами, у меня язык не поворачивается назвать контору технологичной. О других сервисах один негатив, начиная от списания левых сумм и некомпетентных невежественных курицах в рко.


      1. wertex15
        30.10.2018 22:52
        #19304253

        Полностью согласен.
        Писал как то им пару лет назад обращение… мол снял в их банкомате сумму, а в СбербанкОнлайн ерунду пишет. Они ответили что они не могут корректно отображать информацию о снятии с чужих банкоматов)))). Почему даже банки городского значения могут — а федеральный, даже международный банк — нет…


    1. whiplash
      30.10.2018 14:29
      #19301743
      +1

      В каком, простите, месте Сбер* — самая технологичная контора???


      1. wertex15
        30.10.2018 22:50
        #19304247

        Грефа послушайте, он вам расскажет)


  1. 5erg
    29.10.2018 23:10
    #19299169
    +1

    Очень жаль, что она никому не нужна. Этим мусором весь даркнет завален


  1. scruff
    30.10.2018 08:44
    #19299929

    Если БД работников утекает в свободный доступ, то что говорить об утечках клиентских данных? Такое ощущение, что ИБ в банках реально не работает, а только создает ИБД и потребляет бюждет в огромных количествах, а также портит жизнь обычным операционщикам. Вообще эти ИБ-шники очень зависимы от настроения — могут и на потенциальную утечку смотреть сквозь пальцы, а могут и за левую флэшку поднять бурление до CEO.


  1. alexhott
    30.10.2018 13:52
    #19301495

    Был недавно в офисе Сбербанка в Екатеринбурге, у рецепшена стоит терминал, а в нем справочник сотрудников с телефонами (емаилы не помню) с поиском.
    Там фио. должность, отдел и т.п.
    Мне показалось, что там не только Екатеринбург был, возможна эта база и утекла.