Обновление [на 6.10.19]: добавлена информация о ходе расследования в Сбербанке.
Службой безопасности Сбербанка были выполнены розыскные мероприятия после публикаций о проблеме в СМИ от 3 октября 2019, на Хабре об этом было тут: "Персональные данные 60 млн клиентов Сбербанка утекли в сеть".
Информация о крупной утечке персональных данных клиентов банка была размещена через интернет-ресурс, зарегистрированный в доменной зоне .one на специализированном форуме, заблокированном Роскомнадзором. По словам продавца в базе данных содержалась информация о нескольких десятках млн кредитных карт. Потенциальным покупателям продавец предлагал пробный фрагмент выборки из базы в составе двухсот строк. По информации специалистов компании DeviceLock, которые первыми обнаружили такую масштабную утечку, данный фрагмент содержал данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
По информации в соцсети FB технического директора компании DeviceLock Ашота Оганесяна, в таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года.
Таблица с столбцами: ФИО, номер паспорта, номер карты, ОСБ, филиал, лимит кредита, адрес работы, дата опердня, место работы, срок действия карты, номер счета карты, дата рождения держателя, процентная ставка.
Сбербанк начал проводить внутреннее расследование событий. При этом банк заявил, что внешний взлом был невозможен, поскольку база изолирована от внешней сети.
В результате внутреннего расследования служба безопасности банка совместно с правоохранительными органами выявила сотрудника учреждения 1991 года рождения (то есть сейчас ему 27-28 лет), руководителя сектора в одном из бизнес-подразделений банка, который имел служебный доступ к базам данных. Именно этот сотрудник попытался осуществить хищение клиентской информации по кредитным картам клиентов в корыстных целях. Были собраны и задокументированы необходимые улики для доказательства совершенного преступления.
4 октября 2019 года сотрудник дал признательные показания, сейчас с ним работает следствие. Сбербанк утверждает, что угрозы утечки данных нет.
Как проходило расследование в Сбербанке
Глава Сбербанка Герман Греф рассказал в эфире телеканала «Россия», как служба безопасности нашла виновника утечки по кредитным картам 200 клиентов. Служба безопасности банка делится на две части: внутреннюю службу и дочернее предприятие Bi.Zone, которое занимается функцией разведки в Интернете.
После обнаружения объявления о продаже данных сотрудник службы безопасности связался с подозреваемым, причем последний даже не знал, с кем именно он говорит. По данным из их разговора источник утечки определили как внутренний и начали проверять сотрудников банка. Через некоторое время, по ходу проверки, круг подозреваемых сузили сначала с 35 человек до четырех, затем до двух. Виновному в утечке данных клиентов сотруднику Сбербанка грозит уголовная ответственность. Сотрудник объяснил свои действия личными причинами.
Таким образом:
- В интернет действительно попали технические данные по учетным записям кредитных карт. Данные по зарплатным или социальным картам не были затронуты.
- Количество карт отличается в разных источниках от 200 до более. В продаваемой базе есть данные: ФИО, номер паспорта, номер карты, ОСБ, филиал, лимит кредита, дата опердня, место и адрес работы, срок действия карты, номер счета карты, дата рождения держателя и его адрес, процентная ставка.
- На данный момент банком подтверждена утечка записей по кредитным картам 200 клиентов. Пострадавших клиентов уведомили об утечке, их карты были перевыпущены. Банк не зафиксировал ни одной мошеннической операции по этим картам.
- «Мы приносим свои извинения за эту ситуацию и обязательно будем держать вас в курсе нашего расследования», — заявили в банке.
- Информацию об утечке персональных данных 60 млн клиентов банк отрицает, не подтверждает и считает ее «некорректной из-за многочисленных несовпадений». Так как, например, банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.
- Сбербанк работал с правоохранительными органами, Центральным банком и Роскомнадзор???ом для скорейшего раскрытия преступления. Также была проведена проверка всех систем банка без исключения. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.
- В расследовании участвовали специалисты дочернего предприятия BI.Zone, которое занимается функцией разведки в интернете и белым хакингом. Сбербанк основал BI.Zone в 2016 году, он же является и крупнейшим заказчиком компании.
- В качестве основной версии банком рассматривались преступные действия одного из сотрудников, обладавшего доступом к базе данных. В банке заявили, что внешний взлом был невозможен, поскольку база изолирована от внешней сети. Для предотвращения утечек данных Сбербанк использует DLP-систему компании InfoWatch.
- Виновный в утечке был обнаружен, хотя пытался скрыть свои действия в системе. Были собраны и задокументированы необходимые улики для доказательства совершенного преступления. Сотрудник дал признательные показания.
- В банке сделали серьезные выводы и кардинально усиливают контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.
- Сбербанк после утечки готовит комплексное предложение по совершенствованию собственной системы безопасности и профильного регулирования для отрасли в целом.
Вот сколько карт сейчас предлагают для покупки:
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта
Комментарии (232)
Moskus
05.10.2019 20:49+5Шаблонный ответ в духе «приносим извинения, сотрудник, который сделал что-то нехорошее, уже уволен, а вообще, это все почти неправда».
Естественно, ни слова о том, как это вообще стало возможным, почему «сотрудник кредитной организации» имеет доступ к БД, какие технические и административные меры приняты для предотвращения повторения этого.
achekalin
05.10.2019 21:51+1Да-да, за два дня успели пистона вставить, выбрать добровольца, которого записали виноватым, и на которого все списали.
Забыли только рассказать, как сотрудник (даже начальник) сектора кредитной организации имел доступ к миллионам данных о клиентах.
Что он украл всего 200, и не сделал заранее копию всех миллионов — мало верится.
Moskus
05.10.2019 22:04+3Для полной конспирологии весомых оснований также нет, но исключить, что всё в заявлении Сбера — ложь, тоже нельзя.
Eldhenn
06.10.2019 10:02Доступ он мог иметь. Доступы доступами, а вот как он сумел вынести информацию, вот это интереснее.
achekalin
06.10.2019 10:14Тут Греф ничего не сказал. Думаю, ответа особо нет, чего на этом акцентировать ему?
Portnov
06.10.2019 10:39А ниоткуда не известно, что он сумел вынести информацию (кроме тех 200 строк). Вполне возможно, что он подал объявление, когда понял, что у него есть доступ к данным, ещё до того, как начать их куда-то выносить.
bopoh13
07.10.2019 13:44Ещё полгода назад был звонок с номера +74955326182 (думал страховая сливает): у звонящих уже есть не только паспортные данные, но и название конторы и должность (только мамкины инвесторы не знают, кому звонят).
BackLaN
06.10.2019 22:14-1Разве это проблема? Записал на MicroSD, потом проглотил ее и вынес с территории, профит!
LoadRunner
07.10.2019 08:48Выучил наизусть. Долгие месяцы копил он эти 200-500 строк. На миллионы не успел, поймали раньше.
0x0000464d
07.10.2019 13:22Опираясь на стандарты ЦБ и того же PCI DSS должно быть разделение знания ключа к боевой БД. Мне видится, что там присутствует компрометация более серьезная, чем «Парень подумал и предал банк».
Ну и странно, что нет мониторинга как в ГИСах: заранее подготовленные фейковых данные, при выгрузке которых триггирится сием.achekalin
07.10.2019 16:12Греф высоко, его не переспросишь, а остальным, после начальства, как-то некомильфо говорить что-то отличное от его версии. Замкнутый круг!
GokenTanmay
06.10.2019 11:06+1В тяжелых «государственных» структурах еще очень жив атавизм «Security through obscurity». Потому что «так проще» понимать топам и это соответствует их представлению о безопасности. Поэтому вы не дождетесь комментария Сбербанка, о том какие меры были приняты.
oleg7814
07.10.2019 10:47От создателей «Дави его бля*ь» и «Дебилы бля*ь»!!!
«Мы попробовали провести рассследование, и у нас получилось! »,
«Мы нашли ленивую жопу которая скопировала все! данные и не пряталась»,
«Мы прочитали логи доступа и о чудо! оно работает! »…
Mes
05.10.2019 20:59+1Значит, журналист соврал, который писал, что продемонстрировали его данные, или он был в списке тех 200 клиентов, или взлома не было, и этот 28 летний сотрудник попался при получении данных журналиста?
uwayit
05.10.2019 21:19+6Возможно имея доступ к базе на сервере, сотрудник понял, что может её продать, но не выгружал всю себе ввиду объёма, а выгрузил только тестовые 200 строк, собираясь выгрузить всю когда найдёт покупателя. Затем когда его попросили журналисты данные о себе, он вновь обратился к онлайн базе и нашёл там нужное.
Также вполне возможно, что выгрузить всю базу не возможно, но делок имея доступ к базе (в режиме поисках отдельных записей), наковырял 200 записей, а реального покупателя просто собирался нажухать, ведь любые запросы на проверку базы, он может пройти имея доступ к ней в режиме поиска отдельных записей.
Никого не защищаю и не оправдываю. Просто озвучиваю предположения.
crea7or
05.10.2019 21:26+1Вот что пишет нашедший базу.
BasilioCat
05.10.2019 21:37+1Злые языки пишут, что этот нашедший «базу» и есть тот единственный источник новости про 60 млн утекших карт. И что занимается он DLP-системами (это которые про борьбу с утечками), а в Сбере стоит DLP его конкурентов.
crea7or
05.10.2019 21:39+1Фейсбучек его посмотри, а конкуренты уже тролей запрягли, конечно. Ребятки из Коммерсанта всё делали в этом случае.
BasilioCat
05.10.2019 21:45Подтверждения того, что в базе есть 60 млн записей, на его фейсбуке не видать. Кроме строки с номером 312 на скринах. Ну ок, 312 больше двухсот, но до 60млн явно не дотягивает
Jef239
08.10.2019 01:39В телеграмме есть база с 1999 записями клиентов. Там номер карты, номер счета, паспорт, адрес… тоже на 24 августа. Пароль к архиву sber84vret, ссылку могу в личку. Сами и проверите, больше двухсот или нет.
olartamonov
05.10.2019 21:39+1У него вообще могло не быть возможности что-либо выгрузить независимо от размера, а был доступ к данным клиентов в ручном режиме поштучно (мне представляется довольно очевидным, что к какой-то информации о клиентах у сотрудников банка доступ есть в штатном режиме, и столь же очевидным, что в этой информации нет, например, CVV и пин-кодов, потому что сотруднику банка в работе они нужны быть не могут даже теоретически).
И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.
Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
chupasaurus
06.10.2019 05:20в этой информации нет, например, CVV и пин-кодов, потому что сотруднику банка в работе они нужны быть не могут даже теоретически
Потому что PCI DSS не разрешает доступ сотрудникам к чувствительным данным во время аутентификации, а по админским причинам — вполне можно с обязательным журналированием «кто, куда и зачем», чтобы было что аудиторам показывать.tbl
06.10.2019 11:32Cvv*, pin-ы и прочие крипто-величины нигде не хранятся. Хранятся только их верификационные значение (типа pvv в виза или offset в схеме ibm3624)
mig126
06.10.2019 11:34В банках может быть и нет, а вот с магазинами случаи были.
skrimafonolog
06.10.2019 14:12В банках может быть и нет, а вот с магазинами случаи были.
Если какой то магазин сохранил у себя CVV — он нарушил правила PCI DSS.
И может запросто лишиться доступа к платежной системе — жалуйтесь.mig126
06.10.2019 16:13В российских магазинах не помню, но в заграничных были случаи. О некоторых даже писали тут на Хабре.
denisshabr
07.10.2019 11:34Многие отели официально фотографируют карточку с двух сторон.
tbl
08.10.2019 23:18Они могут попросить (хоть и в нарушение PCI DSS), ты имеешь право отказать. История тянется еще с тех пор, когда не было магнитных полос на картах и их прокатывали эмбоссером. Копией карты балуются старые отели и компании по аренде авто. Но многие мастодонты отельного и арендного бизнеса уже перешли на современные интерфейсы, и, когда ты расплачиваешься за услугу кредитной картой (не дебетовой), то не требуют фотокопию карты, т.к. в дальнейшем (в случае прихода штрафов по авто, либо горничные сообщат, что ты воспользовался доп. услугами типа минибара) смогут снять с карты дополнительные средства, т.к. протоколы платежных систем позволяют оплату постфактум.
По этой причине я предпочитаю бронировать отели через соответствующие агрегаторы типа букинга или эйрбнб.
VSDyn
07.10.2019 11:54А если стоит галочка «Запомнить данные карты»? На этот случай распространяется?
skrimafonolog
07.10.2019 14:25А если стоит галочка «Запомнить данные карты»? На этот случай распространяется?
Нет.
Есть рекуррентные платежи.
Но и их проводят без CVV, а CVV используется только первый раз.
Materializator
06.10.2019 21:56А кодовые слова счетов клиентов тоже не хранятся?
А то лет 8 назад случилась довольно необычная ситуация — сотруднику финслужбы крупного клиента московского СБРФ из этого банка была прислана табличка с ФИО и кодовыми словами. Получатель в рамках акции «Вы все молодцы» разослал по адресной книге этого клиента. На тот момент в организации было 3 (прописью — три) службы безопасности.tbl
06.10.2019 22:10+1кодовые слова хранятся
BackLaN
06.10.2019 22:19-1Зачем? Можно же просто хранить хеш код для кодового слова.
tbl
06.10.2019 23:15+1когда по телефону в колцентр диктуешь кодовое слово, хэш не очень подойдёт
Azimuth
06.10.2019 23:29А что мешает все же хранить хэш. Когда клиент называет слово, оператор его вбивает в поле и зажигается красная или зеленая лампочка.
skrimafonolog
07.10.2019 05:56А что мешает все же хранить хэш. Когда клиент называет слово, оператор его вбивает в поле и зажигается красная или зеленая лампочка.
На слух вбить?
Плюс грамотность у всех разная.
Плюс кодовое слово может быть любым, которое и в природе не существует и на которое правила русского языка, даже если их и знает идеально оператор, не подходят.
Или это иностранное слово.
Хэши хороши когда информацию вбивает ручками сам знающий ключевое слово и в дальнейшем передача идет по техническому каналу.
А человеческое ухо — тот еще элемент «испорченного телефона» (в детстве не играли в такую игру? )
BackLaN
06.10.2019 23:31Почему? Проверяющий вводит слово в форму и получает ответ правильно или нет, а видеть правильное слово проверяющему не нужно.
NillR
06.10.2019 23:40+2Ох, уважаемый. Если сотрудник не будет видеть слова, то он придумает 30 вариантов, как написать неправильно слово «холодильник». А когда он видит слово он таки может понять что произнесено именно написанное. По этой причине они его видят.
Tyusha
07.10.2019 00:07+1Оффтоп. Давно как-то делала перевод Юнистрим в Казань. Оператор, по всей видимости, должен выбрать из выпадающего списка регион, город и т.д. Монитор от меня отвёрнут, но по пристальному взгляду оператора в экран и затянувшейся паузе, я начинаю понимать в чём дело и спрашиваю: «Вы, наверное, Казанскую область ищите». Так и оказалось. :)
Поэтому, действительно, слово «холодильник» может вызвать затруднения.NillR
07.10.2019 00:36Это не оффтоп вышел, а наглядная демонстрация уровня тех кто работает в Сбере и хорошее дополнение к моим словам о том, что они смогут не видя слово набрать его в 30 неправильных вариантах. А если при этом еще и кодовое слово «Маханаксар» или «Габилшатур» какой-нибудь, так вообще страшно подумать, что будет. А я знаю людей которые что-то подобное используют(не именно эти, эти я специально взял, как образцы близкие, из тех же языков, но не те, что используют в подобных случаях известные мне люди)
Tyusha
07.10.2019 00:01Не, ну а почему не подойдёт. Клиент диктует, оператор набирает, хэш сверяется.
tbl
07.10.2019 00:07Слово может быть на английском, или клиент при заполнении мог его ввести с ошибкой, либо с ошибкой вводит оператор. Еще много разных вариантов можно придумать, почему хэш не подойдёт.
GokenTanmay
07.10.2019 07:51Т.е. если я придумаю не существующее проверочное слово «Овтомабиль», а злоумышленник попробует через «старшего-специалиста-оператора» проверочное слово «Автомобиль» — то злоумышленник будет идентифицирован как Я?
gecube
07.10.2019 08:56Мне кажется, что
- Проверочное слово эффективно можно заменить цифровой комбинацией. Набирать в ivr колл центра.
- Никакой проблемы хранить хэш и не показывать кодовое слово нет. Тем более, что вроде как его поменять по телефону нельзя. Только через анкету в отделении. Но это не точно. А раз так — им может быть любая комбинация букв и цифр. И, да, желательно, сразу чтобы было нормальные правила. Вроде "только заглавными, только кириллица и цифры". Даже лучше без цифр. Чтобы не было неоднозначностей — "С, C", или "H, Н", или "О, O, 0", или "1, I, l"
GeBoN
07.10.2019 17:04У него вообще могло не быть возможности что-либо выгрузить независимо от размера, а был доступ к данным клиентов в ручном режиме поштучно
Если в сбере админы закончили хотя бы 5 классов «церковно-приходской», а я думаю что там достаточно грамотные люди работают, то никакой ДБА не даст выполнить запрос «выхлопом» которого будут 60 млн записей.
И, вероятно, его и поймали, посмотрев, кто из сотрудников делал запросы по данным клиентам.
Какой там план у чувака в голове был в этом случае, сказать трудно, но, видимо, покупателя «базы» он хотел как-нибудь так тоже на… обмануть, взяв с него бабла авансом.
Anthony_K
06.10.2019 13:23Значит, журналист соврал, который писал
Журналисты не врут, просто у них работа такая )
rinace
05.10.2019 22:56+1"1991 года рождения (то есть сейчас ему 28 лет)" — а была вся жизнь впереди...
GDXRepo
05.10.2019 23:17+2Ну, он сам выбрал свою дорогу, не вижу ничего, о чем стоило бы сожалеть.
edogs
06.10.2019 01:33Точно он ли? Нас вообще всегда напрягала эта система. Дядя из СБ с высочайшим уровнем доступа вдруг говорит «вот этот парень, смотрите, вот я логи на флэшку копирнул, по ним видно что это он»© И все ему сразу верят.
Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.skrimafonolog
06.10.2019 07:49Точно он ли? Нас вообще всегда напрягала эта система. Дядя из СБ с высочайшим уровнем доступа вдруг говорит «вот этот парень, смотрите, вот я логи на флэшку копирнул, по ним видно что это он»© И все ему сразу верят.
Да, можно сказать про то что логи не подделать и все такое, но мы бы сказали что человеку с высоким уровнем доступа переложить ответственность проще, чем человеку с низким уровнем доступа что-то украсть.
Используется система «разделяй и властвуй».
Дядя из СБ вовсе не один.
Если вы полагаетесь на одного сотрудника на 100%, — конечно он может подделать.
А нескольким людям договориться куда как сложнее между собой.
Тем более, что они в разных подразделениях работают — админы и СБ (которые частенько еще и недолюбливают друг друга).
red_andr
05.10.2019 23:35+3И карьера вроде была, судя по «руководитель сектора в одном из бизнес-подразделений банка». Зачем? Риторический вопрос, само собой…
olartamonov
06.10.2019 00:49Не уверен, что в Сбере это высокая должность. Руководитель отдела в каком-нибудь региональном филиале.
IgorPie
06.10.2019 18:08чтобы красиво жить и никогда не работать, или работать по 8 часов, а не по 11, и не за $1000 как платят региональным спецам сбера, которые торчат на работе до 10 вечера
sergey-b
06.10.2019 19:26Вспоминается
классикаBarabek
06.10.2019 00:15+2Странно видеть столько желчи в комментариях. Ну да, это косяк, конечно со стороны банка. Но, утверждать, что данные продаются налево-направо я бы точно не стал. Ни разу сам не встречал в продаже. ИБ все-таки существует. Каждое действие сотрудника и инженера логируется. Просто так копаться в данных клиентов — это русская рулетка. Очень скоро пригласят в спец кабинет и начнут задавать вопросы. И если не было служебной необходимости (тикета клиента или иного легального повода) — пиши заявление. И благодаря этой будничной работе, новости, подобные этой, являются для нас чем-то из ряда вон. Ведь так и должно быть. Разве нет?
rinace
06.10.2019 00:28+2Предупреждение от НЛО, не просто так добавлено.
Это про желчь.
IMHO, рекомендую не ввязываться в дискуссии, ибо чревато.
P.S. Я сам 10 лет в банках, проработал, смысл вашего комментария, лично мне совершенно ясен. Как говориться ППКС
Xambey
06.10.2019 01:05-1На столько «не продают», что когда я в первые оформил карту сбербанка, в течение месяца мне начали звонить все кому ни лень, начиная от банков и заканчивая фитнес центрами, курсами английского и тп. Это все продолжается до сих пор (около 5 лет), до такой степени, что я начал пользоваться утилитами для автоблокировок номеров всех этих колцентров и тп. Думаю я не один такой. Мб я параноик, но складывается ощущение, что не продают у нас личные данные только ленивые совсем и это касается не только банков
androidovshchik
06.10.2019 08:31+1У меня с картой такого не было, но после оформления ИП в течении месяца банки насаждали с открытием расчетного счета)
mig126
06.10.2019 10:15У меня каждый раз при движении по счёту активизировалась реклама кредитов(от всёх кроме моего банка).
После регистрации ИП разве что письма стали слать типа таких
В пдф ссылка для перехода/загрузки.
И другие подобные, то от «налоговой», то от «поставщиков». Но вирус/троян обычно посылают прямо в письме, а не как в последнем случае
General_Failure
07.10.2019 10:45Если не ошибаюсь, список юрлиц в налоговой — открытая информация. Мониторят и ловят новые строчки. Там не хватает только телефона, но обычно это не проблема, особенно для тех банков, у которых новый ИПшник хоть раз побывал.
mig126
07.10.2019 12:03Да, по инн можно найти кучу информации. На чеке к примеру все должны её печатать.
А у ИП она личная.
MacIn
07.10.2019 13:41Список — открытая информация, это факт. Поэтому банк на самом деле может узнать, что Вася Пупкин стал ИП. А вот телефон — НЕТ. Это закрытая инфа, но как показывает практика, утекает на раз. Свежий номер. Тем банкам, про которые даже не слышал.
gecube
06.10.2019 10:10Вы кредитку оформляли или дебетку?
Допускаю, что если кредитку, то инфа уходит в БКИ (она считается как полноценный кредит) и другие банки могут по ней увидеть инфу по вам. Но тут более сведущие товарищи подскажут.
u_235
06.10.2019 11:25+1Все еще проще: в договорах на кредит и на кредитную карту я видел пункт «банк может передать некоторые персональные данные третьим организациям». Такой пункт при получении кредита обычно объясняют тем, что в случае чего можно было привлечь коллекторов.
sumanai
06.10.2019 14:36Допускаю, что если кредитку, то инфа уходит в БКИ
Интересно, а когда мне Сбер сам без спроса оформил кредитку и начал названивать с просьбой её забрать, данные были туда отосланы?skrimafonolog
06.10.2019 14:59Допускаю, что если кредитку, то инфа уходит в БКИ
Интересно, а когда мне Сбер сам без спроса оформил кредитку и начал названивать с просьбой её забрать, данные были туда отосланы?
1) Кредитку могут и без БКИ выдать. Просто лимит будет маленький.
2) А вы уверены, что это не маркетинговое разводилово? Мне тоже постоянно приходит «Вам одобрен кредит» от очень разных банков. Но стоит реально сходить в банк — как там только начинается оформление. Да если только с паспортом оформлять и сумма иная, не та, что обещали. Вернее те 5 миллионов, к примеру, что обещали, тоже готовы выдать. Под нехилый пакет документов. А сами то карты сейчас выдают моментально, они не индивидуально под вас выпущены.
sumanai
06.10.2019 16:00А вы уверены, что это не маркетинговое разводилово?
Сбербанк писал, что карта уже готова, нужно только забрать. Нов веры ему конечно нет. Так как я являюсь клиентом этого Сбербанка, то данные все у них уже есть.M_AJ
06.10.2019 23:01+1Это маркетинговый ход. Без подписания вами договора они карту не выпустят. А "готовы" там моментальные карты без имени, они в общем-то всегда готовы, так как их готовить вообще не нужно.
gecube
06.10.2019 23:14Нет. У меня тоже был случай. Карта была готова, без подписания договора. Т.е. лежала в отделении. Достаточно было подписать акт о выдаче карты и получить ее. И тут у меня возникли вопросы зачем они мне предодобрили кредитную карту, хотя речи об этом не шло. Решилось уничтожением карты в отделении и не подписании акта о получении карты мной. Ну, и извинениями с обеих сторон.
Areso
07.10.2019 08:54Вы забыли, как некий банк раскидывал кредитные карты по почтовым ящикам?)
skrimafonolog
07.10.2019 08:55Вы забыли, как некий банк раскидывал кредитные карты по почтовым ящикам?)
Tinkoff?
А в США так до сих пор делают.
Dolios
07.10.2019 14:34Так никто не может запросить по вам данные из БКИ без вашего письменного согласия.
MacIn
06.10.2019 22:19Мне на следующий день после постановки на учет в ФНС позвонили 20+ раз из разных банков с предложением обслуживания. При том, что телефон не является публичными данными.
(если сейчас кто-то тянется к клавиатуре написать про телефон в ЕГРЮЛ, то я про ЕГРИП — там телефон не является публичным, это личные данные 100%).
Baigildin
в Эстонии, например, через банк можно получить доступ практически к любым госуслугам. Кроме, разве, информации о здоровье и голосования на выборах. Налоговая, авторегистр, данные об образовании — что угодно с аутентификацией через банк. Логично полагать, то если ты им доверяешь свои деньги, то и данные можно.
arandomic
07.10.2019 09:50Ооо, тут срабатывает «клёвый» сервис от сбера.
Как только вам открывают карту — на нёё можно сделать перевод по номеру телефона.
И, по умолчанию, все у кого есть сбербанк онлайн на телефоне видят в телефонной книге напротив вашего номер — зеленый сберовский кружочег.
Я в своё время заметил прямую корреляцию по плотности холодны звонков — как только поставил в сбербанке-онлайн галочку «не показывать никому, что к этому телефону привязана карта» (не помню как называется, но по умолчанию — показывают), так сразу поток звонков исчез. У меня есть подозрение, что у сбера API на это голой ж' торчит где-то.
balamutang
07.10.2019 11:28На самом деле это больше похоже на утечку от опсосов (или от силовиков которые контролируют опсосов), когда от номера 900 начинают сыпаться смс — значит на том конце завелся человек с деньгами.
mSnus
06.10.2019 01:47+1Вопрос только в одном — есть все же утечка ещё 59 999 980 карт или нет? Потому что это была бы дыра совсем иного уровня, данные 200 карт можно и с экрана сфотографировать
Vilgelm
06.10.2019 06:09Зайдите на любой «теневой форум» и посмотрите на количество предложений по продаже различных данных, в том числе и по банкам.
Toxygen
07.10.2019 10:49И, конечно же, за всеми этими предложениями скрываются добросовестные продавцы с качественными услугами.
ps: наличия проблемы не отрицаю. Но судить о масштабах по количеству предложений вряд ли разумно.Vilgelm
07.10.2019 10:57А вы отзывы почитайте. Более того там есть гарант сервис, типа как на ebay или Aliexpress.
Barma2012
06.10.2019 12:30Но, утверждать, что данные продаются налево-направо я бы точно не стал. Ни разу сам не встречал в продаже.
О, крайне веский аргумент, крайне! :)))
Знаете, я вот ни разу в жизни жирафа не встречал. Говорят, что они есть, но наверное врут — я-то сам не видел…
foxyrus
06.10.2019 13:18Тут на хабре только была серия статей про продажу перс данных.
habr.com/ru/post/423947
keydon2
06.10.2019 00:44-1Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).
Эта новость для меня звучит как "в госкомпании без конкурентов опять косяк, крайние найдены, виновные свободны".junari
06.10.2019 09:21-2Государственный банк — это ВТБ, например. Сбербанк же не является госкомпанией.
Whuthering
06.10.2019 09:33+150%+1 Сбера принадлежит государству.
gecube
06.10.2019 10:11Там все сложно. Поэтому зря минусуете коллегу.
Мы уже в одном похожем треде разбирали этот вопрос.
Сбер — вполне себе коммерческий банк.Baigildin
06.10.2019 15:40На госуслугах можно верифицировать свой аккаунт через сбербанк.онлайн. Разве коммерческим организациям разрешено настолько доверять?
skrimafonolog
06.10.2019 16:00На госуслугах можно верифицировать свой аккаунт через сбербанк.онлайн. Разве коммерческим организациям разрешено настолько доверять?
Почему нет?
Посмотрите, где можно сдать биометрические данные, посмотрите, где можно зарегистрироваться на госуслугах.
cbr.ru/fintech/remote_authentication
cbr.ru/fintech/remote_authentication/map
Там и частные банки есть.
vadimr
06.10.2019 20:50Это ж вы в данном случае доверяете Сбербанку, а не государство.
NillR
06.10.2019 20:54Нет, это госуслуги доверяют Сбербанку, если через него можно подтвердить личность. Это означает, что госуслуги считают, что в Сбере информация на 100% верна и подтверждает личность.
vadimr
06.10.2019 20:59Нет. Это всего лишь означает, что вы доверяете Сбербанку аутентифицировать вас в Госуслугах. Можете с тем же успехом своему знакомому доверить, дав ему свой пароль и говоря: “Вася, введи-ка мой пароль на сайте госуслуг!” (механизм другой, но смысл с точки зрения безопасности тот же).
Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.Baigildin
06.10.2019 21:07Госуслуги вообще не отвечают за подтверждение вашей личности и за верность представленной информации. Это ваши риски.
У меня сейчас произошел когнитивный диссонанс. Я думал госуслуги как государственный сервис, предоставляя блага этого самого государства, как раз в первую очередь должен заботится за достоверность предоставленной информации от граждан.vadimr
06.10.2019 21:11На данном этапе развития техники, они физически не имеют возможности проверить достоверность вашей аутентификации. Когда в каждом компьютере обязательной принадлежностью будет аттестованный сканер сетчатки или NFC-имплантанта – тогда может быть.
Vilgelm
07.10.2019 10:58Через Тинькофф тоже можно, но он 100% коммерческий.
balamutang
07.10.2019 11:37Да через все банки можно скоро будет, тут вопрос только как быстро оборудование появится для этого.
А сама идея о биометрии — из ЦБ спущена и приходится делать, хотя она банкам нафиг не нужна.
junari
06.10.2019 10:40+1Центробанку, а не государству.
Правовое положение ЦБ вызывает споры, как и его принадлежность к государству.
В любом случае, Сбербанк — это коммерческое предприятие, первая цель которого — получение прибыли, а не какая-то социальная роль в обществе.gecube
06.10.2019 10:53А целью ВТБ будто не является прибыль?
junari
06.10.2019 11:28+1ВТБ может работать в убыток, может вкладываться в убыточные, но социальнозначимые проекты.
Например, ВТБ выкупил теле2, объединил с Ростелекомом и создал конкурента большой тройке. С выходом т2 цены на тарифы упали в полтора-два раза. Развивается направление lte450 как наиболее перспективное для обеспечения малонаселенных и удаленных объектов.
Что делает Сбербанк? Объединяется с Яндексом, чтоб создать аналог Амазон.
В то же время ВТБ — худший банк, которым приходилось пользоваться, сбер среди других коммерческих банков — середнячок.
vadimr
06.10.2019 11:53+1Целью ВТБ, как любого АО в госсобственности, номинально является прибыль, но фактически — выполнение целевых показателей, установленных госчиновниками из совета директоров.
MiIs
06.10.2019 13:51Все свои тендеры Сбербанк оформляет через сайт Госзакупок. Если уж и это вас не наводит на правильную мысль, то я даже не знаю что вас убедит.
gecube
06.10.2019 13:58Правильную мысль какую? Что Сбер — госпредприятие?
Извините, но это только у Вас в голове (как и у миллиона других граждан).
Государственный банк — это ВТБ, например
Да, кстати, только лишь потому что 60% ВТБ принадлежит госимуществу (хотя ВТБ — ПАО). И получается, что даже в этом смысле ВТБ "более" государственный, чем Сбер.
Но это все софистика...
vadimr
06.10.2019 20:53Например, любой частный мусоросжигательный завод оформляет закупки через сайт госзакупок. Между закупками и принадлежностью к государственным организациям нет прямой причинно-следственной связи, хотя есть определённая корреляция.
NillR
06.10.2019 18:49+3Вот я не поленился даже зарегистрироваться, что бы ответить.
Никаких споров о принадлежности ЦБ не может быть, если человек знаком с Конституцией РФ и законами РФ.
Глупости о ЦБ несет движение сумасшедших под названием НОД, движение создано депутатом Федоровым, которому так же принадлежат фразы про то, что Цою песни писали в ЦРУ и что депутатам ГосДумы как голосовать приказывает ГосДеп(в том числе и ему самому, очевидно).
ЦБ РФ прописан в Конституции и действует на основании Федерального Закона РФ.
Конституция:
Статья 75
1. Денежной единицей в Российской Федерации является рубль. Денежная эмиссия осуществляется исключительно Центральным банком Российской Федерации. Введение и эмиссия других денег в Российской Федерации не допускаются.
2. Защита и обеспечение устойчивости рубля — основная функция Центрального банка Российской Федерации, которую он осуществляет независимо от других органов государственной власти.
Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)»:
Статья 1. Статус, цели деятельности, функции и полномочия Центрального банка Российской Федерации (Банка России) определяются Конституцией Российской Федерации, настоящим Федеральным законом и другими федеральными законами.
Функции и полномочия, предусмотренные Конституцией Российской Федерации и настоящим Федеральным законом, Банк России осуществляет независимо от других федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
Банк России является юридическим лицом. Банк России имеет печать с изображением Государственного герба Российской Федерации и со своим наименованием.
Местонахождение центральных органов Банка России — город Москва.
Статья 2. Уставный капитал и иное имущество Банка России являются федеральной собственностью. В соответствии с целями и в порядке, которые установлены настоящим Федеральным законом, Банк России осуществляет полномочия по владению, пользованию и распоряжению имуществом Банка России, включая золотовалютные резервы Банка России. Изъятие и обременение обязательствами указанного имущества без согласия Банка России не допускаются, если иное не предусмотрено федеральным законом.
Государство не отвечает по обязательствам Банка России, а Банк России — по обязательствам государства, если они не приняли на себя такие обязательства или если иное не предусмотрено федеральными законами.
Банк России осуществляет свои расходы за счет собственных доходов.
Теперь рекомендую перечитать внимательно статью 2 про то, что все имущество ЦБ является федеральной собственностью. Осознать. Понять, что принадлежность ЦБ РФ = принадлежность РФ. Прекратить повторять глупости Федорова в приличном обществе.vadimr
06.10.2019 21:10В данном случае, иметь 50%+1 акционерного капитала в номинальной государственной собственности – не означает государственного управления предприятием. В силу особого правового статуса ЦБ.
NillR
06.10.2019 21:53+11. Мой комментарий был ответом на заявление, что якобы ЦБ не принадлежит государству. Я показал, что ЦБ прописан в Конституции, его статус определяется Федеральным Законом и все что принадлежит ему является федеральной собственностью.
2. Совет директоров ЦБ назначается в соответствии с вышеобозначенным ФЗ. В ФЗ говорится о том, что совет директоров назначается Государственной Думой Федерального Собрания Российской Федерации по представлению Председателя Банка и по согласованию с Президентом РФ.
3. Председатель ЦБ назначается Государственной Думой Федерального Собрания РФ по представлению Президента РФ.
О каком еще можно говорить управлении, если ЦБ описан в Конституции как «независимо от ДРУГИХ органов власти», то есть по факту считается одним из органов власти, если его руководство назначается одной из палат парламента по согласованию с президентом, а его председатель вносится президентом и утверждается парламентом?
Управление ЦБ это управление государством. Контроль ЦБ это контроль государства. Все четко описано в Федеральном Законе от 10.07.2002 N 86-ФЗ (ред. от 02.08.2019) «О Центральном банке Российской Федерации (Банке России)».
Не нужно выдумывать про «а это не государство». ЦБ РФ — орган власти описанный в Конституции РФ и действующий на основании Федерального Закона.vadimr
06.10.2019 21:57Сам ЦБ РФ гораздо осторожнее в своих формулировках:
“Статьей 75 Конституции Российской Федерации установлен особый конституционно-правовой статус Центрального банка Российской Федерации…
Ключевым элементом правового статуса Банка России является принцип независимости, который проявляется прежде всего в том, что Банк России выступает как особый публично-правовой институт, обладающий исключительным правом денежной эмиссии и организации денежного обращения. Он не является органом государственной власти”
junari
07.10.2019 07:55Сами с собой спорите и это как раз то, о чем я и писал, что правовой положение ЦБ вызывает споры, как и принадлежность государству. То есть по закону это одно, то как видят обыватели — второе, то как есть на самом деле — знает лишь малая категория лиц.
А уж на каких правах сбер тут выступает, можно только догадываться.NillR
07.10.2019 08:01+1Я не с собой спорю, а опровергаю ложь и глупость. Правовое ЦБ однозначно, ЦБ — часть государственной власти, все что принадлежит ЦБ является федеральной собственностью, в том числе и акции Сбербанка.
Те кто говорят про неопределенность и тем более, что собственность ЦБ не принадлежит государству либо заблуждаются, либо врут сознательно.
Kanlas
09.10.2019 10:13что правовой положение ЦБ вызывает споры
Только у любителей теории заговора. У большинства вопрос правого положения ЦБ в принципе не стоит. Т.е. в обществе такой дискуссии нет, непонятно откуда вы вывели это.NillR
09.10.2019 16:58Даже не у любителей теории заговора. Есть такое движение НОД, я выше об этом писал, среди телег прогоняемых его создателями то что ЦБ подчиняется США и статус ЦБ не определен, что Путину мешают либералы, а то бы Россия процветала, что депутатам ГД как голосовать диктует ГосДеп(при том, что создатель НОДа сам депутат ГД, то есть ему тоже) и что Цою писали песни в специальном отделе ЦРУ.
НОДовцы бывают двух видов: пропагандисты на зарплате Федорова и буйный сумасшедшие. К какому виду относится человек прогнавший здесь нодовскую телегу про ЦБ я не знаю.
MotoDruG
07.10.2019 05:43Я живу в России и пока своими глазами не увижу доказательств, не буду верить ни суду, ни сберу, ни тем более органам (вне завистимости что произошло).
и надо бы продолжить — и журналистам. Или где-то были доказательства про 60 млн.? я на выходных не следил за новостями, мог пропустить, если было — направьте. Пока было только 200 записей и заявление о возможном сливе.
Не пытаюсь никого защищать, т.к. сам клиент сбера и уже промелькнула мысль «а нельзя ли тут где какой иск от неопределённого круга лиц, за такой слив?».
Sirion
06.10.2019 00:45-3в настоящее время представители правоохранительных органов осуществляют с ним процессуальные действия
Бутылирование?
Ru6aKa
06.10.2019 01:00-1Как обычно
Наказание невиновных – Награждение непричастных
Ru6aKa
06.10.2019 22:44Ну это же смешно, такие утечки не делаются рядовыми сотрудниками. Ну нету у них доступа такого, нету у них списка клиентов хотя бы с пагинацией. А тем более кнопок выгрузить данные пачкой. Да они могут собирать данные тех клиентов которых обрабатывают в текущий момент, тупо скриншотами или сохранять страницу или просто копировать текст, но это надо прям сеть чтобы работала в режиме нон-стоп, чтобы собрать столько данных. Да они могут выборочно запрашивать данные на продажу, типа «пробить» клиента за деньги.
GeBoN
07.10.2019 20:22Ну это же смешно, такие утечки не делаются рядовыми сотрудниками. Ну нету у них доступа такого, нету у них списка клиентов хотя бы с пагинацией. А тем более кнопок выгрузить данные пачкой. Да они могут собирать данные тех клиентов которых обрабатывают в текущий момент, тупо скриншотами или сохранять страницу или просто копировать текст, но это надо прям сеть чтобы работала в режиме нон-стоп, чтобы собрать столько данных. Да они могут выборочно запрашивать данные на продажу, типа «пробить» клиента за деньги.
Ну ваще-то у рядовых «маринок» USB отключены, поэтому вариант один — переписывать с экрана.
Да и АБС построены так что не может быть на одном экране всех сведений о клиенте. «Маринка» в каждый конкретный момент времени работает в определенной ветке ( а может даже в разных АБС — это не редкость) которая посвящена, например, паспортным данным, КИ, банковским продуктам и тд
gennayo
06.10.2019 06:51Да-да, только 200. И, совершенно случайно, вчера позвонили мошенники как раз по карте сбера :))
Haoose
06.10.2019 14:27-1У моей знакомой всех родственников обзвонили на днях мошенники.
Говорили что-то типа вы выиграли бонусы, назовите номер карты, щас вам на телефон придет код, назовите его и т.д.
В итоге, таким образом получили доступ к онлайн-кабинету, смогли перевести оттуда деньги (благо немного, 20-500р), карту заблокировали, надо перевыпускать.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос. По времени это подозрительно совпадает с обсуждаемой утечкой.skrimafonolog
06.10.2019 15:15назовите номер карты, щас вам на телефон придет код, назовите его и т.д.
где они нарыли телефоны владельцев карт — вот в чем вопрос.
Звони любому, с большой вероятность у каждого второго хоть одна карта да есть.
А номер карты, по вашим словам, они сами называли.Haoose
06.10.2019 15:47Но как вы объясните что звонили не одному человеку, а нескольким родственникам? Вот что подозрительно. Полагаю у них какой-то список людей есть с картами, конкретно по фамилиям.
orion76
06.10.2019 17:36К счастью, население Земли обновляется полностью примерно раз в 100 лет.
Т.е. если Ваши перс.данные были слиты 20-10-5-1 лет назад, они в большей своей части много лет будут актуальны.
Поэтому вычислить человека и все его связи при наличии пары-тройки, можно сказать, общедоступных баз данных — как два байта переслать.
Пример из жизни.
У меня зазвонил телефон.
Кто говорит?
Какая-то непонятная личность выяснила, имеется ли какая-то связь между мной и моей дочерью.
Далее оказалось, что эта личность разыскивает двоюродного брата мужа дочери, потому как он задолжал денег. (т.е. личность оказалась коллектором).
Когда я это понял, личность была послана, не дождавшись от меня ни чьих контактов.
После каких-то сумбурных угроз, личность начала также названивать моей жене и отцу.
Потом обзвонила вплоть до высшего начальства персонал предприятий, где они работали (мне повезло, у меня начальства нет-).
Короче, данная личность без каких либо проблем находила контакты связанных между собой индивидуумов(как родственными связями, так и «рабочими»)
PS… На сколько я знаю, история не кончилась ни чем. На стол местной полиции легли как минимум 5 заявлений. Телефон с которого звонила «личность» и его владельца нашли, но доказать причастность к данному беспределу, почему-то не получилось.gennayo
06.10.2019 18:14Личность скорее всего была из «бывших сотрудников». А у таких связи остаются достаточно надолго.
Milliard
06.10.2019 15:20Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.
1. В Сбербанк Онлайн пробуем сделать перевод небольшой суммы по номеру телефона.
2. Сбербанк Онлайн показывает имя и отчество владельца карты.
3. Перевод не подтверждаем.
4. PROFIT.
Таким образом, узнаем привязана ли карта к номеру телефона и если да, то имя-отчество владельца карты.
geher
06.10.2019 21:09Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.
Мне несколько раз "блокировали" сберовскую карту, когда у меня карты сбера никогда не было. Другие предложения по отсутствующей у меня сберовской карте тоже поступали.
MotoDruG
07.10.2019 05:59совпадение конечно любопытное, но если в сливе были указаны остатки по счёту, то обзванивать людей с 20-500 р. это как-то… глупо. Не, конечно учитывая, что там за запись просили по 5 р., то даже с 20 р. покупка отбилась, но это всё равно странное занятие. Последний, кто мне говорил «курочка по зёрнышку», попал в поле зрения ОБЭП (взятки), был директором, сейчас работает таксистом.
balexa
07.10.2019 11:54Только сбер тут не при чем. Развод старый, ему уже много-много лет, со временем становисят все изощренней. Между прочим, Пикабу, в этом плане, весьма полезный сайт.
Каким образом и где они нарыли телефоны владельцев карт — вот в чем вопрос.
Да где угодно. Это не целенаправленная атака на конкретных людей. Мне тоже звонили якобы из сбера, при том что у меня нет там карт и никогда не было.
20-500р
Да, сумма небольшая. И это хорошо. В противном случае, вашим родственникам знакомых позвонили бы через месяц, сказали бы что мошенников поймали, и что надо перевести еще 100 тысяч, чтобы составить заявление, но их потом обязательно вернут вместе с деньгами.
61brg
06.10.2019 07:05Держите меня семеро, но там всё плохо!
По версии банка какой-то манагер построчно (по всей видимости) выдернул из базы сведения о 200 картах дабы доказать, что это выборка из более обширной базы, которая у него на руках. Ключевой момент в его предложении-простота получения сведений. Есть вероятность что у него был штатный функционал (чего ?) для таких действий (массовой выгрузки)
А теперь вопросы:
1. Что это за служебные обязанности для выполнения которых необходимы подробные сведения по клиентам в больших количествах? Ну не аналитику же он в уме считает.
2. Запросы сведений в базе логируются и статистика анализируется для предотвращения. Как бы так быть должно.
3. Это может показаться странным, но у руководителя вообще доступа к сведениям о клиентах быть не должно.
4. Мне одному кажется, что действия преступной группы пытаются выставить как самодеятельность мелкого манагера? А ведь преступная группа, имея административный доступ к БД вполне могла и логи сделать правильные и слить парня.
Но всё это пол беды. Если допустить, что версия банка правдива, то дела всё так же плохи ибо получается, что практически любой сотрудник (сколько таких манагеров по стране) может выгрузить базу и начать ей торговать. А сколько торгуют, но не палятся?
denis-19 Автор
06.10.2019 07:40Пост с новостью обновлен, добавлена информация о ходе расследования. Вот тут можно посмотреть про этот момент более понятно
61brg
06.10.2019 10:46+1Я не понял чего так Греф всполошился. Пробивали клиентов Сбера до и пробивать будут после- прям фотку с экрана рабочего компа присылают. Любой операционист или служба помощи это может. Могли бы ловить, но не ловят. Но 200 личных дел и с историей операций так дёргать это сильно. М.б. торговец решил сжульничать и кинуть покупателей?
MOPOH
06.10.2019 09:20+2Мы приносим свои извинения за эту ситуацию...
Многомиллионный штраф сделал бы эти раскаяния намного более искренними.gecube
06.10.2019 10:14Смешно, но это не поможет. Это очень похоже на перекладывание денег из одного карман в другой. А страдают обычные налогоплательщики.
Надо наказывать конкретных виновных — кто спёр данные, кто построил систему, которая это позволяет, кто недосмотрел и т п.
Просто как пример — мы судились с администрацией (считай — гос.структура власти) по поводу того, что их сотрудники по халатности нанесли ущерб. Угадайте — был ли кто наказан? Нет. Выплатили компенсацию? Да. Но откуда? Точно не с бюджета казённой структуры, которая финовата, а из общей казны. Т.е. по сути — денег налогоплательщиков. Фейспалм. Занавес
vladkorotnev
07.10.2019 04:06По логике вещей штрафы и должны работать как по цепочке: сбер оштрафовали, он проснулся и полез разбираться, нашли условно косяк в ИС в мониторинге — оштрафовали субподрядчика, который писал эту ИС, субподрядчик проснулся — раскидал люлей по отделам и т.д.
Но это, как обычно, работает только в теории.
Ru6aKa
07.10.2019 00:00Ни одна из проблем не является нерешаемой, и у некоторых банках, у некоторых операторов мобильной связи, у некоторых платежных систем эти проблемы так или иначе решены.
И мне кажется хватило бы всего лишь лишить месячной зарплаты главу Сбербанка Германа Грефа. Но похоже, что кому-то выгодно такое положение вещей.
black_semargl
06.10.2019 10:33Как понимаю, «быстро поднятое не считается упавшим»
Т.е. сколько записей он украл — ХЗ, но скомпрометированными признаны те 200, которые он разослал потенциальным покупателям базы.
avost
06.10.2019 12:31Цирк с конями и колхоз во всей красе. А Греф лучше бы вообще рот не раскрывал, после его "разъяснения" стало ясно, что всё ещё хуже, чем казалось:
- Мелкий клерк заштатного филиала имеет несанкционированный доступ к приватным данным неограниченного круга клиентов.
- Этот доступ не вызывает срабатывания триггеров системы безопасности — СБ узнаёт об этом не от своих алармов, а из сми.
- Факт доступа не логгируется — СБ проводит расследование не с помощью анализа логов, в телефонным звонком злоумышленнику!
Меня просто поражают люди, добровольно несущие собственные деньги этим жуликам и криворуким идиотам. И ограбление сберкассой почти всего населения страны не стало уроком и этот колхоз не станет. Мыши плакали, кололись…
olartamonov
06.10.2019 13:25Я всё же люблю Хабр, этот ресурс IT-профессионалов.
1. Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов. Вас же не возмущает ситуация, когда вы приходите за выпиской по счёту, операционистка смотрит ваш паспорт — и через три минуты отдаёт вам распечатку ваших операций по счёту?
2. У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?
3. Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?Ru6aKa
06.10.2019 22:32-1Ваши предложения в корне неверны.
Тысяча сотрудников по тысяче запросов в день, это всего-то миллион записей в базе, два айди (клиента и оператора) и время доступа — по объему это копейки, по нагрузке тоже. Рекламная сеть за час получает миллион событий (показ, просмотр, клик, метрики и т.д.)
Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.
Я не знаю, но не думаю что прям вот так всем менеджерам доступны данные всех клиентом. По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне). Ну это не одна СБ не пропустит и многочисленные сертификации, что данные клиентов из Москвы, доступны например менеджерам из отделения в Самаре (причем что 99% из этих клиентов никогда не бывали и не будут в Самаре).olartamonov
06.10.2019 23:18Почему-это логирование действий должно быть именно на триггерах? На уровне приложения никто не запрещает это делать.
Я откуда знаю, почему предыдущий оратор считает, что там по любому чиху должны триггеры срабатывать?
Что же касается сотрудников — у Сбера 15 тысяч офисов, в них работает больше ста тысяч человек. Удачи вам в поиска в этих логах события «В. Пупкин запрашивал данные клиента, который на самом деле к нему не приходил» (отдельный вопрос — как вы по логам будете определять, приходил ли клиент).
По логике там должна быть доступно по округам (местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)
То есть, по вашей логике, «где карту получали — туда и идите», и в отделении Сбера в Самаре я принципиально не смогу получить выписку по счёту, открытому мной в Сбере в Москве?..Ru6aKa
06.10.2019 23:53habr.com/ru/news/t/470253/#comment_20719785
Я чуть ниже написал как это решается, через введение кода пароля с смс, для доступа оператора к данным клиента. Или если нет телефона, то набора для слепого контроля, по сути это форма не с одним, а с многими вопросами и кнопкой проверить(получить доступ).
Процетирую себя же
(местоположение клиентов определять можно по месту регистрации, по активности карты как в онлайне так и офлайне)
Если ваша карточка по геолокации из браузера или мобильного приложения засветилась в Самаре, или же просто была любая операция на просмотр баланса или снятие денег с любого банкомата или в отделении в г. Самара, то система понимает где карта находиться, и разрешает доступ операторам из данного региона к вашим данным. Или это технически нереализуемо? Очень даже реализуемо, и скорее всего такие вещи уже сделаны так или иначе.
Все остальные действия по запросу личной информации должны не просто логироваться, а логироваться с высшим приоритетом, для просмотра и анализа службой СБ.balamutang
07.10.2019 11:58Т.е. клиенту надо постоянно сберу отчитываться где он чтоб получить обслуживание в банке? что это если не тотальная слежка?
А если смс не пришла: глюк оператора, сел телефон и тд — все, нет обслуживанию в банке?
Не надо множить сущности, в конце концов аутентификация происходит в момент предъявления паспорта, а уж в банке вы его показываете или опсосу — не важно.
С таким же успехом можно паспорт левый сделать и украсть личность, перевыпустив сим и получив доступ к банковскому счету.
Не бывает абсолютной безопасности, всегда есть баланс между стоимостью мошенничества и его прибыльностью и в безопасности вы будете только тогда когда стоимость поддельного паспорта (и расходов на адвоката/судью) будет выше чем та сумма что у вас на карте лежит.
Кстати непонятно почему вы так сильно на СБ рассчитываете, это просто еще один человек на окладе, который может быть точно так же слаб как и тот менеджер, который слил карты.balexa
07.10.2019 12:05-1Самое забавное, что как только человеку заблокируют доступ к счету, потому что он не разрешил банковскому приложению/сайту доступ к геолокации (и не разблокируют по паспорту, потому что система не дает)- комментатор выше напишет кучу комментов про ужасный банк
NillR
07.10.2019 12:09> Т.е. клиенту надо постоянно сберу отчитываться где он чтоб получить обслуживание в банке?
Ну вообще во многих банках за этим следят на автомате. У меня было как-то, что я заплатил с карты одного крупного российского банка в мелком городе у подножия Уральских гор, при том, что до этого всегда платил в Москве и Питере, так мне через минуту поступил звонок от СБ банка со словами «С вашей карты оплатили покупку в магазине «ДНС» в таком-то городе. Это были вы?», на мой ответ «Да, это я, все нормально» сказали «Хорошо, тогда помечаем, что оплата вами в этом городе нормальна, а не вашу карту увели».
То есть банки и так следят за тем где ты.
Это не улучшает идеи человека которому вы отвечали, она бредовая. Во всех банках я могу прийти в любое отделение и получить обслуживание в любой момент, без каких-то привязок, что «где карту получали, там и обслуживайтесь».gecube
07.10.2019 12:17В Сбере это так не работает. Я уж не знаю, что у них в головах, но буквально недавно:
- Карту мы не перешлём в отделение в другом городе. Хотя любой нормальный коммерческий банк это умеет.
- Звонили, предлагали кредит в отделении ХХХ. Прихожу. Мне говорят: "А Вы обслуживаетесь в УУУ — туда и идите". Между прочим, все происходило в рамках одного города (СПб), т.е. это был один макрорегиональный филиал или как там оно называется.
Сплошь и рядом такое. А комиссии при переводе на карту Сбера, но в другом регионе? Но через банкомат или кассу ее (карту другого региона) можно пополнить без Комиссии — т.е. не-клиенты банка в более выгодном положении, чем клиенты. Впрочем, как и граждане РФ по отношению к не-гражданам РФ
И это только вершина айсберга
NillR
07.10.2019 12:24Все что вы описываете происходит в шарашке под названием «Сбербанк». Это шарашка советского образца, а не банк, там и не такое может быть.
В нормальных банках я прихожу в любое отделение в стране и меня обслуживают, а при перевыпуске карты еще и привозят ее домой бесплатно.
tvr
07.10.2019 12:35В Сбере это так не работает. Я уж не знаю, что у них в головах,
У них в головах до сих пор куча филиалов/отделений, которые на самом деле считаются отдельными банками. Отсюда и лезут все эти комиссии странные и «где /подставить нужное/ — туда и идите.»
avost
07.10.2019 13:18Я всё же люблю Хабр, этот ресурс IT-профессионалов.
Родной, это такие азы, которые известны любому, кто хоть немного касался информационных систем с разграничением доступа. А уж если имел какое-то отношение к разработке банковских систем, то там этим всю плешь проедают до самого мозжечка.
- Любой менеджер Сбера имеет доступ к приватным данным неограниченного круга клиентов.
Я понимаю, что в колхозной сберкассе это сделано именно так — даже Греф это подтвердил, но в настоящих банках это сделано не через жопу, а как положено. И всякий сотрудник, даже отдалённо не касающийся работы с реальными данными клиента раз в несколько месяцев проходит обязательный тренинг в котором всё это разъясняется и описывается. Повторю, в номальных банках. Европейских и штатовских точно. Если на пальцах — не всякому менеджеру положен неограниченный доступ к неограниченному кругу клиентов и к неограниченному объёму данных даже тех клиентов которым ему позволено доступиться. Это самые основы. Азбука, тскзть. Если ещё более на пальцах, то даже(!) у опсосов (тоже, очевидно, не у всех, но, хотя бы, у некоторых) это сделано более грамотно, чем в сберкассе. Когда-нибудь пробовали получить дубль симки, скажем ребёнка, выданной на паспорт одного из родителей (и вы не помните какого)? Вы диктуете номер телефона и номер своего паспорта оператору, а он вам говорит, — нет, эта симка выдана не на этот паспорт, а на какой я не могу сказать — система проверяет введённые данные, но не показывает сами данные оператору, предотвращая утечку. В данном же случае, массив данных содержит персональные данные клиентов, к которым юный менеджеришка из филиальчика не должен был иметь доступа. А если получил его, то получил несанкционированно и на это должны были сработать системы безопасности. В нормальном банке.
- У любого менеджера любого подразделения в день — десятки клиентов, по которым он смотрит их персональные данные. Триггеры должны срабатывать непрерывно?
Да, если этот менеджер залез в персональные данные, которые его не касаются. Но, во-первых, его не должны туда пустить, во-вторых, если ему это край как нужно, он должен составить заявку в СБ на временный доступ, в которой должен обосновать причину необходимости такого доступа и срок на который ему этот доступ требуется, в третьих, если он таки залез туда без санкции, да, должны сработать триггеры. Повторю ещё раз — так обстоят дела в нормальных банках. И даже здесь на хабре была статья в которой было описано как "ловили" пентестера, который пытался такое проделать в тестируемой системе. И это была даже не западная компания, а вполне российская, только нормальная, а не сберкасса.
- Вы себе представляете объём логов по всем сотрудникам всех отделений Сбера по стране? Ну хотя бы сколько это тысяч человек?
С точки зрения ардуинщика, это, конечно, нереальный объём, ни в одну ардуинку не влезет, но, вообще-то, это объём ниочём. И, скажу вам по секрету, для быстрого доступа к данным давным-давно изобрели БД и индексы. А если данных и правда много, то есть такая BigData, умением работать с которой тот же Греф очень хвалился.
olartamonov
07.10.2019 15:23Господи, как много слов.
А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.GeBoN
07.10.2019 19:36А между тем к утекшим данным в том объёме, в котором они утекли, штатно имеет доступ практически любая девочка-в-окошечке любого отделения Сбера.
Глупости изволитегородсообщать, поработайте банке, тогда может у Вас появится некоторое представление о том какие доступы имеют сотрудники в банках. И заодно о том как все это логируется.
PS Посмотрите на скриншот отчета. Такой отчет без палева может получить для себя только админ БД, но я думаю что ему это как раз нафиг не надо.
Второй, реальный вариант, это отчет (выгрузка) для бизнес-департамента банка.
Но опять-таки заказать на исполнение такой полный отчет (на 60 млн клиентов или карт) — это сразу спалиться напрочь. Я думаю что это кусочек небольшого отчета типа по просроченной кредитной задолженности клиентов в филиале, потому как выведены полные паспортные данные и адреса. Для расчета всяких экономических показателей этого ну никак не требуется.olartamonov
07.10.2019 22:32Но опять-таки заказать на исполнение такой полный отчет (на 60 млн клиентов или карт)
(пожав плечами) Поэтому никакой утечки в 60 миллионов карт и не существует.
losse_narmo
07.10.2019 17:10Месяц назад менял владельца сим-карты у Билайна.
Сотрудник спросил номер телефона, взял паспорт старого владельца, посмотрел на него и на экран и вернул паспорт. Дальше взял паспорт нового владельца и начал печатать.
То есть обычный мальчик на месте видит паспортные данные по номеру телефонаavost
08.10.2019 14:57Месяц назад менял владельца сим-карты у Билайна.… обычный мальчик на месте видит паспортные данные по номеру телефона
Всё правильно. Рядом с новостью о слитой базе сберкассы маячит новость о базе билайна на 8 млн записей. Причём база ещё 16-го года, но, судя по вашим словам, у билайна с безопасностью всё по-прежнему никак. Совпадение? Не думаю!
Я писал об опыте с нормальными опсосами и нормальными банками. Пара европейских операторов (GDPR отрезвля-я-яет!). И у теле2, по-моему, так же устроено, но давно проверял, сейчас не уверен.
NillR
08.10.2019 23:18Это еще ничего. Моя бывшая половинакак-то потеряла телефон вместе с симкой, симка оформлена на меня, соответственно для восстановления нужен был я. Мы в то время уже почти разошлись и жили в разных городах, в 500 км друг от друга. Так как номер — вещь критичная я уже собирался брать билет на поезд и ехать к ней, что бы восстановить номер, но не пришлось. Ей восстановили симку без моего паспорта, без меня, просто так. Она пришла в салон Билайн и попросила восстановить, на вопрос про то где же хозяин номера и его паспорт сказала, что я далеко и приехать не могу. Тогда ей восстановили просто так…
То есть по большому счету Билайн просто перевыпустил симку постороннему человеку который знал кому принадлежит номер. Это у Билайна в порядке вещей.
Am0ralist
06.10.2019 13:32+1Факт доступа не логгируется — СБ проводит расследование не с помощью анализа логов, в телефонным звонком злоумышленнику!
а что это даст в пользу доказательства злонамеренности действий? Ну вот по логам Вася обратился к данным десяти клиентов за день. За месяц — к 200. Ну и? Работа у него такая в банке. Максимум превышение, если посмотрел чужие без клиента.
А вот если он обратился к данным, которые запросили сб, представившись покупателем данных — то это вполне себе доказательство злонамеренности совершения уже таки преступления.Ru6aKa
06.10.2019 22:38+1Эта проблема с доступом к данным решена в некоторых банках очень просто, когда оператор запрашивает доступ к данным то клиенту уходит пароль на телефон, для подтверждения доступа, оператор вводит этот пароль у себя и получает доступ. Все менеджер просто так не может получить доступ к каким угодно данным. Для случаев если телефон потерян, есть слепые проверки для получения доступа (это не только контрольный вопрос, но и могут быть любые данные связанные со счетом или транзакциями или же скрытые персональные данные). И работает это просто, заполняется пяток полей и кнопка, при неправильном вводе ходя бы одного поля не показывает что за поле, а просто показывает ошибка. У операторов связи такое тоже есть, один из 5-т последних звонков назвать и примерный баланс на счету(плюс/минус какое-то число).
balexa
07.10.2019 12:00данные связанные со счетом или транзакциями
Потрясающе. Ситуация — у вас украли телефон с кошельком, вы пошли в банк перевыпустить карту, с паспортом. Вы же первый тут начнете писать комментарий в стиле «сбер отказался выдавать мои деньги, восстанавливать мои карты и что-либо делать, пока я не вспомню с точностью до копеек, сколько денег я потратил 27 февраля 2016 года по карте и какой был номер транзакции на чеке при предпоследнем снятии денег с карты».Ru6aKa
07.10.2019 13:20Получаеться, что Вы просто не не учитываете приоритеты. Да наверное мой косяк что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов. Опять повторюсь, эти все проблемы решены в других финансовых структурах. Сбер это может решить, но не хочет.
balexa
07.10.2019 14:33к что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов.
Ну да, в сбере и во всех банках именно так. Если вы придете с паспортом — этого достаточно. В чем проблема?
А без паспорта никто проверки «кода по смс» устраивать не будет.
Исходя из этого комментария и комментария выше, логически вытекает, что по вашей логике доступ ко счету сейчас доступен любому желающему без дополнительных проверок? Заканчивайте ахинею то нести
Опять повторюсь, эти все проблемы решены в других финансовых структурах.
Давайте предметно.
1. Названия финансовых структур.
2. Что будет, если я туда приду с паспортом без телефона и попрошу список своих транзакций у оператора.
3. Что будет если я приду без паспорта и с телефоном попрошу список своих транзакций у оператора.
Пока что вы несете какие-то несвязанные посты. Повторю еще раз — отличить «клиент с паспортом запросил свои данные» от «оператор лезет смотреть данные клиентов» — технически весьма тяжело, если не вводить биометрию.
PS: tsya.ru, глаз спотыкается.gecube
07.10.2019 14:42Ну да, в сбере и во всех банках именно так. Если вы придете с паспортом — этого достаточно. В чем проблема?
Ну, как минимум в Альфе — при получении кредита — просили посмотреть в веб-камеру. Т.е. у них еще и фото моего лица сохранилось. Вероятно, для уменьшения вероятно мошенничества. Молодцы.
Am0ralist
07.10.2019 17:58ВТБ — фотку делают при серьезных операция, паспорт светят и потом сканят в систему, для доказательства, что клиент был, как понимаю.
СМС, кстати, вроде бы тоже были какие-то, но это я уже не помню точно.gecube
07.10.2019 18:03В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личности
Am0ralist
07.10.2019 18:05Слушайте, мне вот альфа только с утра спам прислала, хотя я уже более трёх лет как разорвал договор с ними. Вот думаю, надо бы на них жалобу накатать, что ли. За нарушением моих ПД.
GeBoN
07.10.2019 21:08В альфе — при получении новой карты — надо назвать смс-ку с телефона, или прокатить любую другую карту того же банка для подтверждения личности
СМС нужна чтобы привязать ДБО.
Никакого отношения эта СМС к подтверждению личности это не имеет, личность только по паспорту (или квалифицированной ЭЦП).
Ru6aKa
07.10.2019 18:27Это Вы мне приписывайте какой-то бред, и с ним сами спорите.
Пришли Вы с паспортом в отделение. Оператор посмотрел лицо клиента, фотку в паспорте, все гуд лезет в данные. Это необходимо, но недостаточно для защиты данных от утечки через оператора. Поэтому идет подтверждение через смс код, чтобы оператор получил доступ к запрошенным данным. Так же вместо паспорта достаточно только карточки, при получении карточки некоторые банки делают фотку. Тут тоже оператору надо просто сравнить лицо клиента и фотку в системе. Если, например телефон утерян или еще какая-то беда приключилась, то никто не мешает оператору в присутствии клиента получить доступ к данным и нужным функциям через форму Вопрос-Ответ, но не только ключевая фраза, а по расширенному списку, например:
У вас недавно была операция снятия налички, сколько сумма была и где находиться банкомат?
Вы расплачивались картой в магазине, название магазина и сумма оплаты?
У вас было пополнение наличкой через терминал, сколько и где было совершено пополнение?
Вот эти вопросы — это вопросы из анкеты по транзакциям. Система вполне может сама список вопросов генерировать, не показывая всю историю.
Давайте
Давайте предметно.
1. Названия финансовых структур.
2. Что будет, если я туда приду с паспортом без телефона и попрошу список своих транзакций у оператора.
3. Что будет если я приду без паспорта и с телефоном попрошу список своих транзакций у оператора.
1. Украина «ПриватБанк», «УкрСибБанк». Можно предьявить паспорт или карту, фотка в системе есть, без смс кода оператор не получает доступа к данным.
2. При наличии паспорта, вы можете запросить выписку со счета с движением средств, как и задолженность/остаток на счету. Это вообще в любом банке стандартная процедура.
3. Если у вас есть телефон, на нем скорее всего есть приложение для онлайн банкинга, в котором Вы можете посмотреть свои транзакции. Зачем тут оператор?
Расширю дальше список, того что есть в ПриватБанке. Можно снять, пополнить карту через терминал не имея карты — подтверждая доступ или кодом с смс или qr кодом с мобильного приложения. Так же при изменении данных в системе оператором, делается фотка (получение новой карты, замена старой, смена телефона, при закрытии карты фотка не делается).
Повторю еще раз — отличить «клиент с паспортом запросил свои данные» от «оператор лезет смотреть данные клиентов» — технически весьма тяжело, если не вводить биометрию.
Еще раз повторяю, и выше ответил на Ваши вопросы, это задаче технически решаемая, и решенная в других банках.balexa
08.10.2019 17:121. Украина «ПриватБанк», «УкрСибБанк». Можно предьявить паспорт или карту, фотка в системе есть, без смс кода оператор не получает доступа к данным.
2. При наличии паспорта, вы можете запросить выписку со счета с движением средств, как и задолженность/остаток на счету.
Противоречие какое-то. Так нужен только паспорт чтобы запросить выписку, задолженность или обязательно телефон тоже?
Если у вас есть телефон, на нем скорее всего есть приложение для онлайн банкинга, в котором Вы можете посмотреть свои транзакции. Зачем тут оператор?
А может и нет приложения. Может я с нокией 3310 хожу. Какая к чертям разница? Я задал конкретный вопрос.
Расширю дальше список, того что есть в ПриватБанке.
Да это в любом банке есть, не только на украине.
И да, приводить в пример «приват-банк» как эталон безопасности — это смешно.Ru6aKa
08.10.2019 18:44Противоречие какое-то. Так нужен только паспорт чтобы запросить выписку, задолженность или обязательно телефон тоже?
С телефоном подтверждение будет быстрее, иначе контрольный вопрос и прочие проверки. Да без телефона получите доступ к своим данным или оператор, если потребуется. Я нигде не писал, что без телефона Вас развернут из отделения и не дадут никакой информации.
Да это в любом банке есть, не только на украине.
И да, приводить в пример «приват-банк» как эталон безопасности — это смешно.
Выше Вы как раз утверждаете обратное, да и не только Вы, но и другие, что ни в каком банке такого нету в россии. Теперь уже оказывается это все уже есть, но только мимо Сбера проходит. Да «приват-банк» не эталон, но что-то не слышно про утечки данных постоянно.
Паспорт это необходимое и достаточное условие для обслуживания в отделении банка, но для защиты персональных данных паспорт всего лишь необходимое, но недостаточное условие. Чтобы защитить данные от несанкционированного доступа сотрудниками и вводят пароли подтверждения из смс. Если нет телефона, тогда опросник для для получения доступа оператором к данным. В любом случае если вы будете в отделении, то при Вас доступ к Вашим данным оператор сможет получить, в обход смс и опросов, но это будет проверять СБ в первую очередь.balexa
09.10.2019 15:59Да, я понял.
Обслужить вас могут в любом отделении. Достаточно только паспорта, больше ничего не требуется. Но СМС-код и знание вопросов обязательны, без них ничего не получится. Но если вы не помните ничего, то паспорта вполне достаточно. Но СМС-пароль — обязательно.
Хотя если его нет — ничего страшного, и так пойдет.
Ясно, спасибо. Засим кланяюсь.
Am0ralist
07.10.2019 17:56Да наверное мой косяк что я вот так по пунктам не написал, что если предоставляется паспорт, то доступ получаеться даже без телефона и без проверки контрольных вопросов.
То есть если к оператору поступает запрос на пробить человека по паспорту, то вся ваша система летит к чертям?
Не говоря уже о том, что он может списать данные после того, как клиент ушёл…Ru6aKa
07.10.2019 18:46Только тут вопрос в том, что
1. Если доступ был получен без смс и вопросов, то это пишется в логи с высшим приоритетом и проверяется СБ. Мало ли, у клиента телефон украли, и что делать? Восстанавливать номер? А если другой город? Да этот способ должен быть, и причем в приоритете как для доступа клиента к своему счету, так и для СБ при проверке. В идеале еще и фотку должны делать, чтобы точно было видно клиента.
2. Списать данные можно, вопрос как их выносят потом — это уже вопрос к СБ. Даже если и можно вынести данные, то это сеть сотрудников должна работать, чтобы приличный объем собрать. И данные по остаткам будут неактуальные в большинстве таких случаев.Am0ralist
07.10.2019 18:591) Клиент может быть просто без того телефона, на который зарегано. У меня вот 2 симки сейчас. Забыть второй телефон от нечего делать могу.
2) Именно поэтому ходят разговоры о запрете смартфонов на местах, ибо просто фоткают незаметно и всё.
geher
06.10.2019 21:24И ограбление сберкассой почти всего населения страны не стало уроком и этот колхоз не станет.
Я полагаю, вы про историю с "протуханием" вкладов в результате гиперинфляции?
Если так, то, справедливости ради, Сбер не грабил "почти все население страны".
Все вклады были сохранены в исходном объеме. И их даже вполне можно было получить в том же объеме (с учетом деноминации).
Компенсировать инфляцию никто, (кроме государства, да и то в весьма ограниченном объеме), вкладчикам не обещал.alexs0ff
07.10.2019 08:02«протуханием» вкладов
По рассказам «очевидцев», проблема была не в гиперинфляции, а в том, что обналичить эти вклады не удавалось за приемлемое время. А когда подходила очередь, «уже можно было и не спешить».adictive_max
07.10.2019 09:30-2Покажите мне хоть один банк на планете, из которого можно в течение 1-2 недель вынуть наличкой все вклады всех вкладчиков, тогда можно будет спорить, кто и кого «грабил».
alexs0ff
07.10.2019 09:56Проблема в том, что «тогда» был только один способ «сохранить деньги» — взять налом и потратить их хоть на что-то. Если бы тогда разрешали держать в валюте, золоте и т.д. просто диверсифицировать свои сбережения в разных банках — тогда можно было бы говорить, что государство никого не кинуло, а население — ССЗБ.
Сейчас такая же политика проводится — выдавливание валютных вкладов, закручивание гаек по обналичке (особенно валюты) и т.д. Ну и смотрю, некоторые действительно переходят в «рублевую зону»geher
07.10.2019 10:13-1Если бы тогда разрешали держать в валюте, золоте и т.д. просто диверсифицировать свои сбережения в разных банках — тогда можно было бы говорить, что государство никого не кинуло, а население — ССЗБ
В золоте можно было держать. Ювелирка продавалась, ломбарды работали. Некоторые как раз тогда в ювелирку и вложились.
Другой вопрос, что метод, мягко говоря, не очень. Но потери в любом случае меньше были бы.
Опять же, никто не мешал деньги хранить в обычной стеклянной банке.
Так что по вашему и получается, что можно говорить, что население — ССЗБ (на самом деле нет).
что государство никого не кинуло
А каким боком тут сам сбер? Он, как и вкладчики, под государством был.
Areso
07.10.2019 10:22+1Даже фильм «Иван Васильевич меняет профессию» рекламировал сберегательные кассы :)
Учитывая деревянные двери, одинаковые замки («С легким паром») и отсутствие квартирной сигнализации как факта в Советском Союзе — то хранить дома налик в стеклянной банке была так себе идея.
А Сберу запретили выдавать вклады. См. Павловскую реформу.geher
07.10.2019 11:14Учитывая деревянные двери, одинаковые замки («С легким паром»)
В СССР, внезапно, ставили и железные двери (если ориентироваться на фильмы той эпохи, то, однако, "Бриллиантовая рука"). Ставили, конечно, сами жильцы, а не государство.
А уж замки были самые разные: сувальдные, реечные, классические цилиндровые (в том числе с извращениями вроде крестообразного ключа), дисковые.
И квартирная охранная сигнализация была (правда ее могли подключить только при наличии телефона без блокиратора). Другой вопрос, что "наши люди в булочную на такси не ездят", но все же.
И часто новый жилец при вселении первым делом врезал свой новый замок или хотя бы менял личинку старого.
А Сберу запретили выдавать вклады.
Отож, сами же написали — Сберу запретили, а не Сбер ограбил.
roscomtheend
07.10.2019 12:08Учитывая деревянные двери, одинаковые замки («С легким паром»)
Это и сейчас есть — купите ультрабюджетную квартриру в новом доме без отделки. Только дверь будет "картонной", а не деревянной. Хотя, у нас в СССР тоже была деревянная дверь и один замок (двойную деревянную поставили когда старая стала чуть не выпадать и замок заедать, а новый туда не врезать). При демонтаже выяснился забытый факт — замок "от строителей" был заменён и от него остались дырки, закрытые обивкой двери. Был более-менн спокойный район (и сейчас такой же), в 90е чуть пошумели, квартиры пообносили (кто-то на хабре называл это "время возможностей") на предмет телевизора и хрусталя, потом снова всё тихо.
Я чуть ниже написал как это решается, через введение кода пароля с смс, для доступа оператора к данным клиента.
У клиента нет с собой телефона (украли и он снимает нал, чтобы купить новый, находясь в командировке) или сел. Вы теряете клиентов банка сильнее, чем от таких утечек.
Если ваша карточка по геолокации из браузера или мобильного приложения
Телефон уехал в братскую республику (да ещё и в выключенном состоянии), какая и чего геолокация? Не говоря о том, что часть клиентов Сбера даже сотовый недавно стала использовать, а уж смарты… (ГПС в бабушкофонах нет, а читать смс транслитом для многих не представляется возможным).
понимает где карта находиться
Нье-ньет, карта не есть находиться в тот город, это есть плохой вариант.
Или это технически нереализуемо?
Это технически нереализуемо. Кстати, у меня нет приложения Сбера (у меня есть приложение Сбера, но ему запрещён доступ к ГПС). Как решите эту проблему? (На самом деле у меня нет и карточки Сбера, а есть счёт с доступом по паспорту и сберкнижка, ваша идея провалилась третий раз).
Am0ralist
07.10.2019 18:00Только дверь будет «картонной», а не деревянной.
Почему, может быть даже металлической. Настолько металлической, что консервным ножом вскрыть можно будет или даже руками этот метал сорвать.
Ru6aKa
07.10.2019 18:53У клиента нет с собой телефона (украли и он снимает нал, чтобы купить новый, находясь в командировке) или сел. Вы теряете клиентов банка сильнее, чем от таких утечек.
Доступ без пароля, с алертом в СБ, в идеале с фоткой клиента.
(у меня есть приложение Сбера, но ему запрещён доступ к ГПС).
И небось еще ВПН включен? По айпи геолокация приблизительно определяется.
Это технически нереализуемо. Кстати, у меня нет приложения Сбера (у меня есть приложение Сбера, но ему запрещён доступ к ГПС). Как решите эту проблему? (На самом деле у меня нет и карточки Сбера, а есть счёт с доступом по паспорту и сберкнижка, ваша идея провалилась третий раз).
У оператора в отделении тоже геолокация пропала? Вы так описываете, как будто система вообще не знает что где и кто делает?
Да давай на единичных случаях показывать что ничего не работает и спасет только биометрия с чипами :)
wadeg
08.10.2019 02:02в 90е чуть пошумели, квартиры пообносили (кто-то на хабре называл это «время возможностей») на предмет телевизора и хрусталя, потом снова всё тихо
Да-да, пообносили, потом перестали. Вас просто не было в 90-х, ну разве что в раннем детском возрасте, вот вы эти глупости с десятых источников и повторяете, все логично. Квартиры тогда еще не обносили в столь промышленном масштабе, как сейчас, хотя тогда были у многих деревяшки. Масштаб несравним, конечно: меня за последние 10 лет пытались обнести дважды, первый раз успешно — всю лестничную клетку тогда же вскрывали, тоже с переменным успехом. Ну и опыт родственников и знакомых (масштабы вместо фантазий) о чем-то говорит. Москва, почти окраина, да.MacIn
09.10.2019 17:03Когда стали массово ставить железные двери?
Вот и ключ к вашему спору.NillR
09.10.2019 17:05Железные двери начали массово ставить, когда появилась такая возможность, например у нас в городе это было в начале 80ых.
wadeg
09.10.2019 17:06Начали-то еще в середине 80х — начале 90х. Массово — сильно позже. Где ключ?
NillR
09.10.2019 17:12Начали как только смогли. В фильме 1969 года «Бриллиантовая рука» показывается железная дверь у персонажа, который старается казаться обычным гражданином. В начале 80ых это стало массовым. Отгораживали тамбура, что бы было две двери, ставили железную внутрь, что бы ее было не видно и все такое.
avost
09.10.2019 15:20+1Я полагаю, вы про историю с "протуханием" вкладов в результате гиперинфляции?
Да, эти деньги были украдены сберкассой у всего населения страны.
Все вклады были сохранены в исходном объеме. И их даже вполне можно было получить в том же объеме
Воровство как раз и заключалось в том, что их нельзя было получить ни в каком объёме. Но, "когда-нибудь потом", о, да, можно. После того, как деньги обесценились на три порядка. Вы не считаете это воровством? Ну, а я считаю.
Компенсировать инфляцию никто, (кроме государства, да и то в весьма ограниченном объеме), вкладчикам не обещал.
А вот доступность вкладов была обещана.
Если так, то, справедливости ради, Сбер не грабил "почти все население страны".
Угу. Всё божья роса...
Aklkleks
06.10.2019 12:48У меня вопрос, насколько юридически правильно оформлен факт обнаружения этой проблемы? Опубликовано-то на Заблокированном форуме, т.е. теоретически российские структуры не имеют права на этот форум заглядывать, даже если блокировка дырявая. (попадалась байка, как хитрый амерский адвокат отмазывает бухих шоферов: факт пьянки не оспаривается и не упоминается, НО, полицейский был слегка не по форме одет, немного не так представился, права невнятно зачитал… успешно:) )
skrimafonolog
06.10.2019 15:22Опубликовано-то на Заблокированном форуме, т.е. теоретически российские структуры не имеют права на этот форум заглядывать, даже если блокировка дырявая.
Чё это?
У нас нет запрета читать запрещенную информацию. Этот «оруэлл» вы путаете с западным подходом, там тебя могут арестовать за отказ расшифровать мусор на твоем компьютере: «В Англии ты можешь попасть за решётку за хранение шума».
У нас запрет только распространять запрещенную информацию.
balamutang
07.10.2019 12:04Дык у нас точно так же отмазывали: малейшая ошибка в протоколе, вплоть до отсутствия точки в конце — и объявляли его недействительным. Так судья может и не заметит, но бывшие гайцы, которые составляли костяк таких контор по отмазу — все это указывали и на основании этого сливали протокол.
Pilat
06.10.2019 13:25Ну хорошо, виновный найден. Логичным было бы теперь для журналистов повторить квест с тестированием базы, если был один источник из админов то квест не пройдёт (ну или не пройдёт если Сбербанк купил-таки базу). Они повторили? Не слышал. Странно это.
FilippSt
06.10.2019 16:11Сбербанк такой сбербанк… Как можно давать доступ к такому объему данных? Такие запросы к БД как минимум должны выполнятся вдвоем… Один делает запрос, другой подтверждает… Желательно из службы безопасности…
IgorPie
06.10.2019 18:11Такой серьезный пост, и личность установлена и дата рождения, а посчитать сколько ему лет, 27, или все же, 28 — не смогли.
Maccimo
06.10.2019 18:55+1Минутка заботы от НЛО
Гм, а в этой статье это зачем?
Статья ведь не про политику, а про дырявый банк.
Не пора ли дорогой редакции полным составом к мозгоправу, параною лечить?
Заодно, возможно, придёт и понимание, что глупые подписи в подвале ресурс от уничтожения не спасут.
crea7or
06.10.2019 22:45+1Ещё 500 выложили или до 500 уже добрались — не понятно.
tbl
06.10.2019 23:55-1либо у них там ОПГ работает вместо одного сотрудника, либо кто-то извне (может, субподрядчик или взломщик) получил доступ к базе и слил ее.
trawl
07.10.2019 06:03Я от СБ уже ничего не ожидаю. Меня зовут Иван и мне на почту начали приходить промо-письма, в которых меня приветствовали, как "Дамиржан Байжанович". На просьбу объяснить, как такое вообще могло случиться, поддержка ответила, мол, другой клиент на эту почту подключил рассылку. Т.е. при подключении рассылки они даже не подтвердили адрес.
При всём при этом, отказались вмешаться в процесс вручную, и исключили мой адрес из рассылки (внимание!) в автоматическом режиме через 14 дней.
Т.е. добавили без моего ведома — моментально, а отписать — 14 дней. И эти 14 дней я читал "Здравствуйте Дамиржан Байжанович, а купите-ка наш продукт!". (т.е. не исправили даже обращение).
Свиньи, да и только.
Хотя, я предполагаю, что никакой другой клиент ничего на мой адрес не подключал. Очередной
чёрныйкоричневый маркетинговый ход. Что не отменяет, а только подтверждает свинство организации.motomac
07.10.2019 10:23+1Стандартная беда обладателей простых почт. Даже Нетфликс этим грешит. Хороший показатель того, кто в компании главнее — инженеры и безопасники или маркетинговый отдел.
tvr
07.10.2019 10:35А может быть ещё проще, по крайней мере в Альфе так мне левую почту в договор обслуживания попытались вкорячить, когда я им свою не дал, сказав, что бесовскими изобретениями не пользуюсь (ну нафиг мне ещё и от них спам не нужен). В ответ на вопрос — «Что за н@х?» мне на голубом глазу заявили — «А иначе программа дальше не пускает, если это поле пустое.»
trawl
07.10.2019 10:50Тогда они могли пойти мне на встречу и отписать моментально, как я и просил. Но мне ответили, что такой возможности нет,
хавайтечитайте ещё 2 недели
Areso
07.10.2019 10:52О, да на эту тему статья была.
Что было значение почты по-умолчанию, если оно не заполнено, и оно принадлежало совсем левому третьему лицу на сервисе публичной почты, куда отсылались письма для тысяч разных людей.
Что-то типа ivan.ivanov@mail.ru
Skerrigan
07.10.2019 11:18Простую почту не использую, однако гугл когда-то придерживался позиции «модняво-молодежного»: почты с точками и без считал различными.
А потом таки провел ревизию и эти адреса схлопнул.
С тех пор «живу» вместе с Сарой из Британии на одном почтовом адресе.
Но т.к. моя почта была зарегана первой, я же и признан владельцем (хоть тут пронесло).
А Сарина почта теперь вся видна мне. И даже её попытки как-то в этом разобраться (переписка с саппортами)… весело.NillR
07.10.2019 12:25+1> однако гугл когда-то придерживался позиции «модняво-молодежного»: почты с точками и без считал различными.
Так никогда не было. С 2004 года пользуюсь GMail, то есть с ранней беты, всегда адреса с точкой и адреса без точки были одним адресом, точка незначащий разделитель для GMail.
MotoDruG
07.10.2019 10:55самый лучший вариант, что мне попался недавно, это регистрация в спортмастере. Девочка-начальница (судя по бейджу), взяла мой телефон, установила программу и спрашивая у меня ФИО, дату рождения регистрировала профиль. После проверил, что же она там нарегистрировала: почту — видимо свою, дату рождения — видимо тоже свою (хотя я бы ей столько не дал, но с почтой совпадает), адрес — ну и тут видимо тоже свой)) Вот это я понимаю забота о ПДн клиентов. Мыло я сменил.
Bieksa
07.10.2019 13:16200 клиентов этого банка, у которых были слиты данные банковского счета могут спокойно подать в суд на банк, за то что нарушили пункт о конфиденциальности и информации о персональных данных
teecat
07.10.2019 17:28Только ко что капнуло в Телеграмм от ДевайсЛока
На текущий момент мы обнаружили в совершенно свободном доступе (даже без пароля) 2499 строк из утекшей базы
balamutang
07.10.2019 18:10Дык этим целые PR конторы занимаются, общественным мнением.
Анализируют и купируют слухи.
Как только появилась информация об утечке — сразу начали форсить эту утечку в 200 карт. Если бы сберовцы отрицали — было бы хуже. А так все пожали плечами — мол ничего страшного, подумаешь карты пострадавшим перевыпустят.
А теперь хоть 1млн человек карты перевыпусти — никто и не поймет масштаба, будут думать что они просто попали в эти 200 человек из выборки.teecat
07.10.2019 18:22Да, этим мне реакция Сбера понравилась. Грамотно и четко отработали. Сразу сказали — пострадало двести и точка. И видимо отработали по всем СМИ — везде, где с утра не написали про миллионы — только в их редакции
А вот Роскомнадзор в традиционной позиции незамечания отечественных утечек. И это грустно
nivorbud
07.10.2019 14:02А мне какое то время назад стали приходить на емэйл письма из какого то шведского банка (на двух языках). Обращение шло по моим фамилии-имени-отчеству. Сообщали мне о движении средств по якобы моим счетам и картам… Я так и не понял, что это было…
balamutang
07.10.2019 18:12Нигерийцы домен в Швеции купили?
nivorbud
07.10.2019 18:46Да нет, больше похоже было на обычные бытовые банковские транзакции: отчеты об оплате неких коммунальных услуг и прочее, связанное с недвижимостью. Такое ощущение, что некто под моим именем там счет открыл и недвижки прикупил. Может быть полный тезка?
alexkmbkdr1
08.10.2019 08:17Подскажите пожалуйста, касается ли сие только Российского банка, или также утечка коснулась клиентов филиалов в других странах, например в Казахстане?
NillR
08.10.2019 08:52У Сбербанка нет филиалов в других странах, а есть банки с таким же названием частично принадлежащие Сберу в других странах. Так что общих баз у них быть не может, не стоит беспокоится.
Vlad800
08.10.2019 08:17Пока фраза «дает признательные показания» имеет какой-то вес в обществе, можно считать, что судебной системы нет как таковой.
slonopotamus
Какое отношение имеют 40 млн кредитных карт к персональным данным 60 млн клиентов?
w0den
На самом деле в Коммерсанте написали об утечке 60 млн кредитных карт, но некоторые
журналистырешили, что «60 млн карт == 60 млн клиентов».gecube
Вообще как-то очень сихронно обе новости появились, не находите? Из заголовка я думал, что речь именно про 60 млн записей. А по факту… Туфта. Такое сплошь и рядом — сотрудники опсосов торгуют данными даже почаще. Сколько уже кейсов было, причем описанных на Хабре.
saege5b
Опсосы вообще официально торгуют «обезличенными» данными.
А вот то, что сотрудники перевыпускают симки не сильно напрягаясь, заставляет напрягаться граждан, у которых один из идентификаторов личности — телефоный номер.