Впервые об утечке стало известно в пятницу, тогда компания DeviceLock обнаружила сразу две утечки данных о клиентах «Альфа-банка». В одной из баз содержится информация о 55 тысячах клиентов. В базе не только имена, но и телефоны, включая мобильный, домашний и рабочий, адреса проживания, места работы. Во второй базе всего 504 записи, но она гораздо более новая — ее датируют прошлым и этим годом.
Кроме указанных выше данных, в ней содержатся год рождения, паспортные данные клиентов банка, обслуживающее отделение и даже остаток на счете (130-160 тыс. рублей).
Журналистам «Коммерсанта» удалось найти первую базу и оценить ее содержимое. Как оказалось, в открытом доступе она находится с конца мая. Большинство адресов клиентов находятся в Северно-Западном федеральном округе. Большинство телефонных номеров — действующие, они действительно принадлежат пострадавшим. Стоит отметить, что из указанной базы 500 человек являются сотрудниками МВД, около 40 работают в ФСБ.
База была архивирована и выложена вместе с двумя другими. В них хранятся данные о клиентах «ХКФ-банка» и «ОТП-банка». В первой — 24,4 тысячи клиентов, включая ФИО, паспортные данные, телефоны (мобильный и домашний), адрес и столбец «лимит», скорее всего, кредитный. Большинство клиентов банка, имена которых показаны в базе, живут в Волгограде и области. Актуальность данных неизвестно, но некоторые из номеров телефонов действительно принадлежат пострадавшим.
В «Альфа-банке» уже начали проверку достоверности и актуальности сведений, которые попали в базу. В других банках сообщили, что происхождение данных из базы неизвестно, но сейчас принимаются меры для его установления.
Что касается попадания баз в открытый доступ, по мнению представителей DeviceLock, они могли быть выложены сотрудниками, уволенными в 2014 году. Тогда в банке происходило массовое увольнение регионального ИТ-отдела. Информация могла утечь тогда, позже она распространялась на черном рынке. Ну а сейчас она попала в открытый доступ даже без пароля. Более новая база могла быть выложена клиентским менеджером.
Скорее всего тот, кто собирал эти базы, был инсайдером, или же человеком, который общался с инсайдером. «Судя по тому, что базы являются устаревшими, скорее всего, они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности,— предполагает он.— Теперь же люди, фигурирующие в этих базах, могут стать жертвами широкого круга банковских мошенников», — заявил гендиректор Zecurion Алексей Раевский.
В последнем случае речь идет о мошенниках, использующих методы социальной инженерии. Они могут притворяться сотрудниками службы безопасности банка, узнавая разного рода персональные данные.
Сейчас эти базы также представляют угрозу, поскольку ими могут воспользоваться мошенники, которые специализируются на обмане клиентов банков с целью похищения личных средств.
Комментарии (52)
DMGarikk
10.06.2019 11:47Забавно, ну и чо всякие аудиторы из PwC и прочих KPMG и подобных именитых контор не делают заявлений на тему «ну так у банка с сотрудниками договор запрещающий такие утечки, проблем нет мы подадим на них в суд»
Черт, я на КАЖДОМ аудите задавал этот вопрос, каждый раз один и тотже ответ (выше)
И на закономерный вопрос «так если УЖЕ база утекла, какой смысл в таком суде??»… непонимающий взор и хлопание глазами… и потом опять «ну мы на них в СУД подадим!!! у них в договоре прописан запрет!»
p.s. рукалицо
Akela_wolf
10.06.2019 12:35А что, можно точно установить кто из сотрудников спер базу? И доказать? Тогда там даже не суд, там, вполне может быть, уголовное дело намечается.
Только мне так кажется с доказательствами на этот счет негусто.DMGarikk
10.06.2019 12:50Тогда там даже не суд, там, вполне может быть, уголовное дело намечается.
И 900тысяч потенциально пострадавших смогут вдохнуть спокойно, какогото несчастного оператора коллцентра-техподдержки (у меня до сих пор волосы шевелятся когда я вспоминаю уровень доступа этих специалистов) посадят на 10 лет.
Я к тому что у нас ИБ почемуто построено именно на этом принципе, там где этим вообще ктото заморачиваетсяAkela_wolf
10.06.2019 12:54Оператор коллцентра имеет доступ ко всей БД? Really? Тогда я удивляюсь что БД не воруют каждый месяц.
A114n
10.06.2019 13:24-1Вот не стал бы так уверенно это утверждать. Не удивлюсь, если где-то в даркнете давно продаётся какая-нибудь ежемесячно обновляемая подписка на банковские и налоговые базы.
DMGarikk
10.06.2019 13:36Оператор коллцентра имеет доступ ко всей БД? Really?
Оператор коллцентра с зарплатой в 28-30тыр, имеет очень обширный доступ, гораздо больше чем вам хотелось бы
За последние лет 5 с ужесточением правил pcidss сейчас вроде стали дополнительно логировать доступ к данным...(я хоть уже давно не работаю в этой сфере, но лучше не буду углублятся во подробности, но уверяю вас они не радужные)
Тогда я удивляюсь что БД не воруют каждый месяц.
Я вот тоже очень удивляюсь
Programmierus
10.06.2019 14:20PCI-DSS то тут причем?
DMGarikk
10.06.2019 14:22Напрямую он к банкам не относится, но до того как он стал обязательным в карточных средах, которые почти во всех банках есть, ситуация с ИБ была кардинально хуже
Programmierus
10.06.2019 14:25От относится к любым организациям, работающими с данными КК. Регламентирует хранение и обработку конкретно этих данных в cold/hard storage и транзите, параметры аудита используемых систем и т.п.
К работе колл-центров банковских эта организация и сертификация не имеет никакого отношения.DMGarikk
10.06.2019 14:36Сотрудники техподдержки у крупных банков обычно имеют доступ к операциям по картам, по этому имеет отношение вполне прямое
(справедливости ради, ну да, у мелких банков работа с кредитными картами может быть на оутсорсе)
rstepanov
10.06.2019 18:12Оператор колл-центра имеет возможность выборочно посмотреть данные любого клиента, но пакетная выгрузка данных невозможна, это явно оговаривается правилами PCI-DSS.
DMGarikk
10.06.2019 18:23ну никто особо не мешает вручную поселектить пару сотен клиентов в неделю и вынести даже на бумажке
А если инсайдеров-операторов несколько то oh shi--
==
на самом деле тут сильно поможет чтото чтото типа анализатора аномальной активности с сопоставлением звонков и селектов к базе
prudnitskiy
10.06.2019 18:08Вопрос в том, что если несчастного оператора коллцентра, который ваши личные данные продаст по цене гамбургера — не посадить — такие утечки будут вечно. У оператора КЦ нет никаких рисков (максимум — уволят), почему бы и не заработать копеечку?
morozko
10.06.2019 12:52Не понял, кто на кого должен в суд подать? Аудиторы на клиента? Сотрудники банка на работодателя?
legolegs
10.06.2019 11:56+2Хочу поискать в базе себя. Где можно скачать?
ferosod
10.06.2019 12:24+2Присоединяюсь к вопросу. Я тоже хочу поискать в базе legolegs
Peter03
10.06.2019 19:13Есть сервис постоянного мониторинга вашей информации в утёкших базах.
т.е. они собирают все слитые базы на которые натыкаются (в том числе покупают в даркнете) и при совпадении ваших данных с найденными информируют вас, по крайней мере так декларируется. Мой банк такой сервис предоставляет.
mammuthus
10.06.2019 20:23Ваш банк скупает базы в даркнете и предоставляет по ним поиск?
Или вы все-таки про haveibeenpwned.comPeter03
10.06.2019 21:47Банк предоставляет сервис (т.е. при поступлении новых данных автоматически делают проверку по своим клиентам, не нужно самому мониторить, робот всегда на страже) — откуда он берёт, я не знаю, у них в описании было что они получают их из множества источников, в том числе даркнета. Скорее всего аутсоурсит кому-то кто этим занимается.
smilyfox
10.06.2019 14:24На фрикер.про сторожа и охранники тешат свое самолюбие, обмениваясь старыми БД. Попросите у них — не откажут.
vebeer
10.06.2019 13:03+1Вот много где есть эта новость, а возможности проверить, есть ли мои данные в утечке — нигде нет. Как быть, если я хочу точно знать, утекли мои данные или нет?
Dal
10.06.2019 13:13+1Отправить запрос в банк. Посмотреть на ответ. Но выглядит как троллинг.
vebeer
10.06.2019 17:18Написал. В альфе ответили примерно так:
Мы не оставили эту информацию без внимания, поэтому сейчас проводим внутреннее расследование совместно со службой безопасности. Проверяем насколько правдивы и актуальны эти сведения
На вопрос, можно ли проверить, утекли ли мои данные, ответ такой:
сейчас пока уточнить информацию нет возможности. ведутся расследования.
NAI
10.06.2019 17:54… и можно ли привлечь за распространение ПД?
Zibx
10.06.2019 19:21С альфой не выйдет — они подстраховались. Мне выпустили, но не отдали кредитку когда я стал вычёркивать из договора «передачу персональных данных третьим лицам».
Nimtar
10.06.2019 23:30А про неограниченный круг лиц там тоже было?
На самом деле, проворонили ПД, нельзя ли по суду взыскать?
DMGarikk
11.06.2019 11:00они подстраховались. Мне выпустили, но не отдали кредитку когда я стал вычёркивать из договора «передачу персональных данных третьим лицам».
подстраховались… Альфа не может обслуживать вашу кредитку без передачи данных третьим лицам в принципе, из-за особенностей их процессинга
Int_13h
10.06.2019 13:34+1Покарал таки боженька Альфа-банку! Да отольются им слезы сиротские! А то задолбали по 3 раза в неделю названивать с предложениями, от которых невозможно отказаться. Хотя никогда их клиентом не являлся, а откуда у них мой номер — не говорят, подлюги :)
CoolCmd
10.06.2019 14:24когда звонят из альфы, я обычно рассказываю про интимные связи с родственниками звонящего или сразу посылаю на йух. звонить перестают. правда есть минус: иногда банкомат падла отказывается давать денежки и требует сначала подтвердить номер мобильного.
NAI
10.06.2019 17:50Помогает сказать, что вам нет 18. Обычно отстают. Если даже так не поймут то можно письменное заявление на удаление ПД принести в отделение — и вот если тогда звонки не прекратятся, то уже можно и $ с них срубить, через суд.
Andrey_Epifantsev
11.06.2019 01:32Еще можно сказать что безработный — тоже отстанут. Кредиты дают только тем, у кого есть постоянная работа.
DMGarikk
11.06.2019 11:01Кредиты дают только тем, у кого есть постоянная работа.
теоретически, ага.
а практически имеем кучу всяких колдырей которые вообще непонятно как кредит взяли
Vilgelm
11.06.2019 13:22Еще можно сказать что человек которого они ищут умер, номер на какое-то время исчезнет из базы.
Alexufo
10.06.2019 22:51Александр, добрый день. У нас есть хорошие условия по кредиту. Не интересуетесь.?
- да нет. Спасибо. Не интересует.
- Можно вопрос. Если бы у вас были 100 000р на ремонт или отдых. Чтобы вы выбрали?
- ммм. Ремонт.
- хорошо. Подождите секундочку
- вы мне кредит что-ли оформляете?
- да.
- зачем?
- так ремонт же!
Anthony_K
11.06.2019 11:34Покарал таки боженька Альфа-банку!
Да Альфе как раз от этого ни жарко, ни холодно. Если бы ЦБ хотя бы на такие вещи реагировал…
Neuromantix
10.06.2019 14:54Нужно собирать больше ПД и биометрии — пока можно безнаказанно ее сливать/сарказм/. Заодно это компрометирует саму идею сбора биометрии/не сарказм/
aldonin
10.06.2019 15:14+1Вовремя они проснулись, база в открытом доступе с 2017 года лежит. Их и обнаруживать не надо гуглишь и все.
ashotog
10.06.2019 16:00Все верно. Относительно новая там вторая база, на 504 записи. Об я этом я изначально и написал (в пятницу). Первая на 55 тыс. это утечка лета-осени 2014 г. Коммерсантъ за это зацепился и полезли гуглить сами, ну и нагуглили базы 2012-2015 г.г. В том числе и не Альфы.
ormoulu
Никогда такого не было, и вот опять.