Обновление [на 5.10.19]: добавлены в конце публикации комментарии Роскомнадзора и компании OpenWay, которая занимается разработкой программного обеспечения WAY4 для Сбербанка, Сбербанк нашел виновного в утечке данных клиентов.
Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца в объявлении, в базе данных содержится информация о более 60 млн кредитных карт. Потенциальным покупателям продавец предлагал пробный фрагмент выборки из базы в составе двухсот строк. По информации специалистов компании DeviceLock, которые первыми обнаружили такую масштабную утечку, данный фрагмент содержал данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.
База разбита на 11 частей (именно столько у Сбербанка сейчас территориальных банков). Каждая отдельная строка продается за пять рублей.
Для проверки гипотезы корреспонденты издания “Коммерсантъ” попросили продавца найти в базе свои данные. Вскоре им была предоставлена информация о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Специалисты из центробанка также изучили «пробник» и выразили уверенность в том, что эта таблица является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. Таким образом, по словам специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти только из самого банка.
«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка, набор полей действительно поражает», — заявили в компании DeviceLock.
Последствия такой большой утечки данных будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию.
Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объём активных кредитных карт в несколько раз меньше (у банка сейчас около 18 млн активных карт)».
Пресс-релиза Сбербанка по утечке данных
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.
В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.
По заявлению Сбербанка, похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Фрагмент таблицы с некоторыми строками из этой базы содержит такие данные:
Заявление Сбербанка в FB (Мы приносим свои извинения за эту ситуацию и обязательно будем держать вас в курсе нашего расследования):
По данным нового пресс-релиза для СМИ и слов первого заместителя председателя правления Сбербанка Александра Ведяхина:
1. В интернет действительно попали технические данные по учетным записям кредитных карт. Данные по зарплатным или социальным картам не были затронуты.
2. На данный момент подтверждена утечка записей по кредитным картам 200 клиентов. Пострадавших клиентов уведомили об утечке, их карты были перевыпущены. Банк не зафиксировал ни одной мошеннической операции по этим картам.
3. Информацию об утечке персональных данных 60 млн клиентов банк не подтверждает и считает ее «несколько некорректной из-за многочисленных несовпадений». Банк всего выпустил 40 млн кредитных карт, только 18 млн из которых сейчас активны.
4. «Сбербанк работает с правоохранительными органами, Центральным банком и Роскомнадзор???ом для скорейшего раскрытия преступления». Также была проведена проверка всех систем банка без исключения. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.
5. В утечке подозревают одного из сотрудников, обладавшего правами администратора.
Реакция на проблему с утечкой от РКН
Роскомнадзор потребовал от Сбербанка предоставить информацию, касающуюся возможной утечки персональных данных 60 млн клиентов кредитного учреждения.
Как говорится в сообщении пресс-службы Роскомнадзора, поступившей в "Интерфакс" 3 октября 2019 года, федеральная служба направила Сбербанку письмо с требованием предоставить информацию о причинах этого инцидента, о виновных в этом ЧП, а также о том, что какие меры принимаются для ликвидации последствий утечки.
Информация о крупной утечке персональных данных клиентов банка была размещена через интернет-ресурс, зарегистрированный в доменной зоне .one.
Между тем, по данным Роскомнадзора, в свободном доступе данной базы нет. Расследование инцидента продолжается. Доступ к указанному ресурсу (на котором опубликовали персональные данные) ограничивается на территории России с апреля 2019 года по основаниям, не связанным с нарушениями в сфере персональных данных.
Комментарий для Хабра представителя компании OpenWay, которая занимается разработкой программного обеспечения WAY4 для Сбербанка
Основную версию инцидента – хищение данных сотрудником банка – мы комментировать не можем. По нашей информации, данные могли быть скопированы из внешнего корпоративного хранилища данных, за периметром WAY4.
Что касается самой системы WAY4, она имеет сертификат PA DSS – он означает, что система поддерживает шифрование наиболее критичных для потенциальных мошенников данных, таких как номера карт, ПИН-коды и других данных. Мы всегда тесно взаимодействуем с клиентами, но по данному вопросу Банк к нам не обращался.
Согласно сообщению самого Сбербанка на его официальной странице в FB, утечка данных затронула не более 200 клиентов банка. «Средства на кредитных картах всех наших клиентов, включая тех, чьи данные попали в сеть, в безопасности. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме.»
Сбербанк нашел виновного в утечке данных клиентов
Банк утверждает, что виновный — сотрудник кредитной организации, который руководил «сектором в одном из бизнес-подразделении? банка». Сбербанк совместно с правоохранительными органами установил виновного в утечке персональных данных клиентов. Об этом говорится в поступившем в издание «РБК» сообщении от банка.
По информации кредитной организации, им стал сотрудник банка 1991 года рождения, «руководитель сектора в одном из бизнес-подразделении? банка». Банк утверждает, что у работника был доступ к базам данных клиентов в связи со своими обязанностями, и что он пытался украсть информацию о клиентах «в корыстных целях».
По данным из банка сотрудник дал признательные показания, правоохранительные органы ведут с ним процессуальные действия. В банке заверили, что дальнейшей угрозы утечки, кроме уже ушедших в Сеть данных о картах 200 клиентов, нет.
«Мы сделали серьезные выводы и кардинально усиливаем контроль доступа к работе наших систем сотрудников банка, чтобы минимизировать влияние человеческого фактора», — приводятся в сообщении слова президента кредитной организации Германа Грефа. Он заявил, что преступление было раскрыто «в течение считанных часов».
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта
Комментарии (495)
yamilov
03.10.2019 08:28+2Ну сами облажались, пусть теперь сами и перевыпускают мою кредитную карту и мой новый паспорт за свой счет!
vladkorotnev
03.10.2019 10:40+4С учётом наличия там данных о прописке, должны ещё и квартиру новую за свой счёт купить, или как минимум охрану старой оплатить?..
whitemonkey
03.10.2019 08:29Судя по количеству карт (относительно населения), вероятно её имеет даже мой кот. Предупрежу о возможных угрозах.
freeExec
03.10.2019 08:58Смело дели на 10, т.к.сказано же, все выпущенные карты, а не действующие на текущий момент
HNKHENM
03.10.2019 11:57-1база данных с подробной информацией о владельцах 60 млн кредитных карт, как действующих, так и закрытых Сбербанка оказалась на черном рынке
Всмысле?freeExec
03.10.2019 12:13+2Всмысле, что данные не на 60кк человек, а карточек. А с учётом «бывших» на одного приходится по несколько штук.
Lennonenko
04.10.2019 01:44сбер говорит, что они 40млн кредиток вообще выпускали, активных на данный момент — 18
aragon_sp
04.10.2019 09:38Есть подозрение, что они даже это нормально посчитать не способны. Т.к. в этой выгрузке будут и виртуальные карты и моментумы.
Irgen
04.10.2019 15:20Даже вместе с ними — все равно как-то мало получается, 40 млн за все время (ок, возьмем даже последние 10 лет активного развития и использования безнала в России) — никак не возможно. Все бюджетники и пенсы, все менты и вояки, миллионы работников всяких ФГУП, ГБУ и прочих НЕХ, обычные юзеры (у которых может быть несколько карт), плюс срок действия карты обычно 3 года, потом перевыпуск. У какого-нибудь Урюпинсксельхозбанка еще может быть 40 млн, у сбера скорее 400 млн.
Areso
03.10.2019 12:14+1Что у одного человека за несколько лет могло быть несколько карт.
60 млн действующих и закрытых карт <> 60 млн клиентов.wlr398
03.10.2019 12:31Свыше 150 млн клиентов пользуются услугами Сбербанка во всем мире. При этом число активных розничных клиентов в России составляет около 92 млн человек, а корпоративных — свыше 2,4 млн.
Сайт СбербанкаDrPass
03.10.2019 15:42+1При этом число активных розничных клиентов в России составляет около 92 млн человек
… при населении 144 млн, ага. Почти всё трудоспособное население плюс почти все пенсионеры. Ну вы же понимаете, что Сбербанк под «активный розничный клиент» подразумевает «любая незаблокированная и непросроченная карточка». Как, впрочем, и многие другие банки.
sumanai
03.10.2019 18:34плюс почти все пенсионеры
Оно так и есть. Сюда же бюджетники, и вполне может выйти круглая цифра.
wlr398
03.10.2019 09:06Ещё можно посмотреть на количество установок Сбербанк Онлайн в Google Play.
Оно более 50 миллионов.
doctorw
03.10.2019 10:00+3Подозреваю, что находятся такие, кто устанавливает приложение не на одно свое устройство.
pwm73
03.10.2019 10:26+12Но есть и такие кто не вообще не устанавливает приложения банков, операторов и прочую хрень. Кого из них больше можно только гадать.
doctorw
03.10.2019 17:05+1Я потому и написал, что эти более 50 млн. установок != реальное количество пользователей. Даже если брать это число как приблизительную оценку — расхождение с реальным числом может быть существенным.
rusbaron
03.10.2019 10:27а есть и те, кто снёс его со своего андройд устройства, т.к. этот «антивирус» в составе вешает устройство полностью.
jericho_code
03.10.2019 12:26Сбер покупает у вендров установку своих приложений, так что циферка тех кто скачал его по своей воле, а не увидел на своем huawei (и тп) после покупки так же может отличаться
Dolios
03.10.2019 18:38+1У меня 2 действующие карты сбера и еще 2 не действующие, не вижу никакого противоречия.
Neuromantix
03.10.2019 08:36+3И разумеется они опять отделаются «приносим извинения».
zif
04.10.2019 18:12We're sorry
beduin01
03.10.2019 08:41+2Учитывая цифру я думаю что утекла ВСЯ база сбера.
P.S. И эти люди еще силой внедряют свой идиотский Мир
shpaker
03.10.2019 10:21+7А почему "Мир" идиотский? Не флейма ради вопрос, а любопытства.
dsrk_dev
03.10.2019 10:40+1Кому он нужен без поддержки apple/google pay?
Dima_dd
03.10.2019 11:00+8Мне
ne_kotin
03.10.2019 11:19+4А зачем, если не секрет?
Visa/MC:
— принимается глобально
— привязывается к Google Pay/Apple Pay
Мир:
— Принимается преимущественно в России
— Невозможно использовать с Apple Pay
— Для оплаты с андроида нужно отдельное приложениеDima_dd
03.10.2019 11:51-6не секрет
Google Pay/Apple Pay и прочие pay не использую вообще.
За границей не был года 2.
За границей наличка.
kahi4
03.10.2019 12:39+5За границей тоже разные регионы бывают. И, например, во всей Скандинавии регулярно не принимают наличные и карту Мир, само собой, так что путешествие может пойти сильно не по плану
beduin01
03.10.2019 13:04+9Интересный факт, за все время когда мне минусовали карму минусы я получал в технических спорах лишь несколько раз. Все остальные минусы ставили исключительно разные фанаты путина\рогозина\русского мира когда я негативно отзывался о всем происходящем.
Мне блин медицина и образование нужны, а не пустые амбиции и карточки которые нигде кроме России не принимают и надеюсь не будут принимать.radonit
03.10.2019 13:30+1ali принимает
Да и не всё ли равно это просто ещё одна процессинговая система, как visa/master/america express/какие-то местячковые европейские.
Сбер к ней имеет практически никакое отношение, эти карты у тинькова, альфы, втб, да по-моему у всех крупных банков есть.
Andrewus
03.10.2019 15:29А что лично вы выигрываете материально/психологически, если карту «Мир» нигде кроме России принимать не будут? Почему на это надеетесь?
infrastructure-engineer
03.10.2019 20:42-6Хабр из технического ресурса превратился в… на которой хохлы поясняют за "миротворец" и то как они "змушені боротися з російською військовою агресією".
https://m.habr.com/ru/post/468491/comments/#comment_20667483
geher
03.10.2019 16:14В отличие от медицины и образования процессинговая система приносит деньги в бюджет (из налогов), которые потом могут быть потрачены на медицину и образование.
Это коммерческая лавочка (пусть и продвигаемая госудаоством), а не бюджетные расходы.
dimm_ddr
03.10.2019 15:39+1Честно говоря в Скандинавии «Cards only» не видел ни разу. Может быть где-то оно и есть, но так чтобы вообще нельзя было оплатить кэшем — не встречал. А вот только наличка — да, сколько угодно. Всякие продукты от фремеров, продавцы на выездных ярмарках, просто мелкий бизнес в глуши.
P.S. Справедливости ради видел фото кафе из Берлина с объявлением «Cards only», но это единственный известный мне случай.
Whuthering
03.10.2019 16:17+1Я в Амстердаме на такое натыкался, причем как раз в туристических местах. Логика, кстати, у них интересная: «No cash — no robberies» (плюс, видимо, еще продавец к себе в карман деньги не положит, тоже плюс)
Dimtry44
03.10.2019 17:59+2Амазон заставили принимать кэш в своих магазинах самообслуживания, иначе бедные люди у которых нету банковских аккаунтов не смогут получить услуги.
radonit
03.10.2019 14:07+1Ну если вы не бюджетник, никто её получать и не заставляет.
Если бюджетник, тогда да, причём никто не запрещает иметь карты даже того же банка но другой платёжной системы.
Ну и я если честно не так уж много людей видел пользующихся Google Pay/Apple Pay
Вот если б всех принудительно заставили пользоваться этой картой и других не иметь, то да, проблемы, а то как оно сделано сейчас большинству ни горячо ни холодно.
У меня например МИР, никаких особых проблем нет, тем более при поездке заграницу заранее карту валютную выпускаю, после закрывая, так выходит дешевле и безопаснее. Покупки в интернете по виртуальным, их любой системы выпустить можно (хотя тот же ali уже принимает мир). Таким образом в целом всё равно какая карта и какой системы.
Потенциальное неудобство только с Google Pay/Apple Pay и то может рано или поздно допилят интеграцию, особенно если эта тема популярной будет.ne_kotin
03.10.2019 14:23Ну и я если честно не так уж много людей видел пользующихся Google Pay/Apple Pay
Вы либо живете в небольшом городе, либо работаете в коллективе, где средний возраст за полтос.
Так-то вон даже проезд на ОТ можно телефоном оплатить при помощи означенных pay-ев. То есть оплату ОТ и общепита, когда вместо карточки или нала прикладывают телефон, я вижу регулярно.
при поездке заграницу заранее карту валютную выпускаю, после закрывая
Сложно. Рублевой оплачиваю. Опять же с телефона.
Потенциальное неудобство только с Google Pay/Apple Pay и то может рано или поздно допилят интеграцию
Google сказал «мы подумаем, но нам пока лениво».
Apple сразу послал, аргументировав тем, что не для тех роза цвела. На фоне экспансии Apple Card звучит логично, да.radonit
03.10.2019 18:34+1Да нет в Москве, да и молодых хватает.
Вижу то регулярно, но это не массово, даже не четверть.
Ну незнаю насколько сложно, мне так удобнее, да ещё и с прыгающим курсом предсказуемее
Может если система будет более популярно её включат в Google, так что чем более популярна тем это событие вероятнееne_kotin
03.10.2019 19:18Да нет в Москве, да и молодых хватает.
Вижу то регулярно, но это не массово, даже не четверть.
В Питере — в какой кабак не зайди — чаще всего айфончиком расплачиваются.
Ну незнаю насколько сложно, мне так удобнее, да ещё и с прыгающим курсом предсказуемее
Фломастеры, да. Но лично мне, когда нужно делать дополнительные телодвижения — уже попадает в категорию «неудобно». Я приверженец минимализма вплоть до большой кнопки «СДЕЛАТЬ [ХОРОШО]».
Может если система будет более популярно её включат в Google
Возможно. Но «популярно» для Гугла наверняка отличается от «популярно» для оператора системы. Опять же некоторая натянутость в российско-штатовских отношениях, наличие санкций — всё это делает рискованным такое расширение бизнеса.
infrastructure-engineer
03.10.2019 20:50-7Вы либо живете в небольшом городе, либо работаете в коллективе, где средний возраст за полтос.
Так-то вон даже проезд на ОТ можно телефоном оплатить при помощи означенных pay-ев.
Живу в Москве, возраст под сорокет.
Есть китайфон с NFC, изредка пользуюсь Google Pay в магазинах.
В метро турникет выдаёт ошибку,
а карта МНСПК МИР срабатывает в 90% случаев, проезд до НГ стоит 27 рублей.
Шах и мат, не верующие в деда Пыню, фставаниескален и импортозащемление!
lubezniy
03.10.2019 17:22Возможно, скоро придётся. По крайней мере, тем, кто хочет официально получать выплаты по больничным. Если не ошибаюсь, со следующего или с 2021 года ФСС переводит все регионы на прямые выплаты вместо возмещения расходов работодателю; до этого ряд регионов долго был в пилотном проекте по этой схеме. А перевод идёт… на карту Мир, да.
sumanai
03.10.2019 18:44+1А перевод идёт… на карту Мир, да.
С зарплатой была возможность переводить на счёт, вполне рабочая, хотя в госдуре естественно были очень недовольны моим желанием получать куда-то не туда.lubezniy
03.10.2019 18:50По зарплате этого и сейчас не отменяют. А оплата больничных финансируется государственным фондом; теперь ещё и оплачивать будут напрямую из фонда, работодатель только информацию даёт.
sumanai
03.10.2019 18:59Впрочем как я в последний раз болел, так и понял, что больничный больше никогда не возьму.
Dolios
03.10.2019 19:07Людям с зарплатой выше ~60к (точную сумму не помню, она постоянно меняется) на больничный ходить невыгодно, т.к. это максимальная сумма, которую возместит любимое социально-ориентированное государство.
Areso
04.10.2019 11:24Там много параметров. Типа время работы в этой компании, общий трудовой стаж (или непрерывный), еще какие-то параметры.
Короче, у нас пару дней можно взять «так», если больше, но работать можешь — забираешь домой ноут и всего делов.
Ну или идти на больничный и плакать в момент подсчета месячного дохода.Dolios
04.10.2019 11:52Я не про компании, которые дают доп плюшки, а про государство пишу. Даже если вам положена 100% компенсация больничного, от государства вы получите не более ~2к в день. И вот это больше всего напрягает. Те, кто больше всего платит в соцстах, не может этим соцстрахом нормально пользоваться.
Еще раз, я не про варианты, которые позволяют это обойти, а про принцип.
Мне, например, решительно не понятно, почему ограничивается суточная компенсация, а не годовая и какого лешего вообще эти лимиты существуют.
Areso
04.10.2019 11:56Я тоже не про компании, я про это:
Страховой стаж Размер больничного
менее 5 лет 60% среднего заработка
от 5 до 8 лет 80% среднего заработка
8 лет и более 100% среднего заработка
и
4. Для расчета среднего заработка работника нужно взять все выплаты, на которые начислялись страховые взносы в двух предшествующих календарных годах.
…
6. Средний дневной заработок для исчисления пособия по временной нетрудоспособности определяется путем деления суммы начисленного заработка в расчетном периоде на 730.
То есть, если вы год назад работали в Беларуси/Польше/еще где-то, а потом устроились на работу в текущую фирму — у вас проблемы.
Если вы молоды, и у вас меньше 8 лет российского стажа — у вас проблемы.Dolios
04.10.2019 11:58Вы читать умеете? Я априори полагаю, что вам положено 100% компенсации и ваш стаж больше 8 лет.
И вот в этом случае больше 2к в сутки вы не получите от государства, даже если ваша средняя зп 10к в сутки. Вот такие вот 100%. Читайте закон дальше, там ограничение сверху есть.
Areso
04.10.2019 12:05И до этого ограничения еще добраться надо, я пытался обратить ваше внимание именно на этот факт.
И нет, 8 лет общего российского стажа и 2 года непрерывного российского стажа я бы не считал за данные по умолчанию в сфере айти.
Впрочем, я надеюсь, что из нашего небольшого обсуждения, людям будет гораздо проще осознать, что если у них в трудовых контрактах и офферах не прописаны какие-то дополнительные гарантии, то у них очень грустные перспективы в случае больничного: начиная от пунктов, которые упомянул я, и заканчивая пунктом, про который написали вы.
Sartorio
04.10.2019 14:056. Средний дневной заработок для исчисления пособия по временной нетрудоспособности определяется путем деления суммы начисленного заработка в расчетном периоде на 730.
730 — это что-же получается?!.. Работаю я пять дней в неделю, как и большинство, а это около 260 дней в году умножаем на два года и получаем 520 дней. И предположим, что зарабатывая в среднем 2к рублей в день (~40тыс. з.п. в месяц) за два года набежит 1 040 000 рублей, но делим мы это почему-то на 730 и получаем уже 1 424 рублей в день, за день нахождения на больничном! Вообщем не мытьем так катаньем мы вас…
Если вы молоды, и у вас меньше 8 лет российского стажа — у вас проблемы.
Похоже у всех проблемы, в не зависимости не от чего!..Areso
04.10.2019 14:15В общем случае, оклад вам платится за месяц (если у вас не было больничных, переработок и прочего).
Давайте рассмотрим простой пример.
Инженер 3 категории имеет оклад 20 тысяч рублей в месяц. Он работает два года на этом предприятии без изменения зарплаты (для простоты уберем обязательную ежегодную индексацию, и оставим за кадром НДФЛ). Имеет 8 лет стажа.
Считаем начисленный доход:
24*20=480 тысяч рублей.
Предположим, он серьезно заболел и взял больничный на 30 дней.
480/730=657 рублей в день. За 30 дней больничного, компенсация составит 19 740 рублей.Sartorio
04.10.2019 20:42В общем случае, оклад вам платится за месяц
УПС, а из какого такого расчета вы взяли, что оклад за месяц? Например у меня оплата из расчета смены!
Предположим, он серьезно заболел и взял больничный на 30 дней.
Предположим я не серьёзно заболел, а пошел удалять зуб и пробыл с флюсом три дня, тогда как мы посчитаем? 3 х 657 = 1951,00 или 3 х 1000 = 3000 (для простоты будем считать 20 смен в месяц)
480/730=657 рублей в день. За 30 дней больничного, компенсация составит 19 740 рублей.
И однако, для простоты, 19 740 это всё одно меньше 20 000, пусть на 260 рублей…
VGusev2007
03.10.2019 19:15МИР заставляют получать ВСЕХ! Сейчас многие пособия (напр. декретные), только на карту мир делают.
radonit
03.10.2019 19:50Хорошо, скажем так, если вы хотите получить что нибудь от государства, нужна мир, если нет — пользуйтесь чем хотите, никто не неволит
Areskoi
03.10.2019 21:02+2Последнее время в Госдуме говорят о необходимости прекратить «зарплатное рабство», когда работодатель принуждает сотрудника получать зарплату исключительно на карту одного навязанного им банка. А когда работодатель — государство, зарплатное рабство с одной платежной системой — это ОК? Лицемерно выходит.
radonit
03.10.2019 21:12+1Почему лицемерие? Зарплатой рабство это привязка к банку, который может быть насквозь аффелирован работодателя, не иметь банкомат и пр. Ничего про пс там нет да и не должно быть. При этом зарплатой рабство распространяется на всех работодателя.
По платёжной же системе, если государство вам как-то платит то и хочет это делать через контролируемую пс, банк же вы вправе выбрать сами.
Тут же вроде писали про правила ведения бизнеса в России, одно из которых гласила не работать с государством. Если его выполнять то и вопроса не возникает никакого, выбирайте.
Кстати то что до мира основных систем то было всего две никого не смущало.ne_kotin
03.10.2019 21:15+1По платёжной же системе, если государство вам как-то платит то и хочет это делать через контролируемую пс
А если контролируемая ПС не устраивает своими потребительскими характеристиками? Не, не рабство?radonit
03.10.2019 21:28Нет. Точнее не совсем. В первом случае у вас выбора нет вообще никакого чётко выбранный банк и выбранная им же платёжная система, неважно есть ли банкоматы у банка, какие комиссии и пр.
Тут же, выбираете любой банк какой вам нравится, а если не нравится, можете в том же банке выбрать любую другую ПС, внутри банка переводы по счетам без комиссии.ne_kotin
03.10.2019 23:52Я не хочу выбирать банк, я хочу чтоб был нормальный выбор — Visa, MC, Мир, UCP, черт лысый…
radonit
04.10.2019 00:18Не работаете на государство-пожалуйста.
ne_kotin
04.10.2019 09:15Ну так о том и речь, что государство себя ведет этом плане абсолютно отвратительно.
radonit
04.10.2019 12:08Почему? Не очень понял? Государство свои деньги хочет пускать через национальную систему. При этом пользоваться ей не заставляет по сути.
ne_kotin
04.10.2019 12:34Ну так уже сказано ж выше, что если ты бюджетник — выбора нет.
Моя мама работает в бюджетной организации, и после получения ЗП она снимает наличку с МИРа и несет в кэшин Альфы.
Потому что МИР непредсказуемо факапился на оплате в магазинах, а вот Visa — нет.radonit
04.10.2019 12:41Вот именно, работаешь на государство, поэтому которое, что вполне логично, хочет пускать деньги через национальную платёжную систему.
она снимает наличку с МИРа и несет в кэшин Альфы.
А зачем так сложно? У альфабанка есть карты и мира и других платёжных систем, при поступлении денег, при необходимости через интернет банк нужные деньги перекидываешь между картами.
Потому что МИР непредсказуемо факапился на оплате в магазинах, а вот Visa — нет.
А вот это странно, у меня мир основная карта уже как года два, ни разу с ней проблем нигде не было.ne_kotin
04.10.2019 12:54Ну, пару раз негативного опыта человеку хватило, чтобы забить. Очень неприятно, когда потратил полчаса в магазине, и на кассе надо все скидывать, потому что «с вашей карточкой что-то не так. Не проходит.»
Сейчас вроде card2card преводы освоила.
работаешь на государство, поэтому которое, что вполне логично, хочет пускать деньги через национальную платёжную систему.
Работнику какой интерес?
sumanai
04.10.2019 17:48Ну так уже сказано ж выше, что если ты бюджетник — выбора нет.
Вообще-то я выше сказал, что вполне можно заставить переводить на банковский счёт. Да, в бухгалтерии шипят, а начальство убеждает не ходить, но вполне по силам.RomanZon
07.10.2019 15:04Бросилась в глаза формулировочка :-)
" вполне можно заставить "
Про начальство и бухгалтерию согласен
Lennonenko
04.10.2019 01:51+1это неправда
покажете какой-нибудь закон или подзаконный акт, где такое говорится?
хоть наличными получайте
Lennonenko
04.10.2019 01:50+1даже если вы бюджетник, вы вправе получать свою зарплату на любую карту, или вовсе наличными в кассе, расписываясь в ведомости, просто люди прав своих не знают и не хотят их отстаивать
sumanai
04.10.2019 17:51даже если вы бюджетник, вы вправе получать свою зарплату на любую карту
В системе МИР. Последние законы, да. Или на банковский счёт. Некоторые говорят, что у них прокатывало указывать счёт каточки и получать напрямую, но лично я не стал так делать в своё время.
Dolios
05.10.2019 14:55при поездке заграницу заранее карту валютную выпускаю
Зачем? Любой нормальный банк позволяет к карте привязать несколько счетов, в том числе валютных.
pewpew
03.10.2019 11:14+2Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир. Поддержка оплаты этими картами хуже, чем у Visa / MC. Ожидаемо, что единственная валюта расчётов — Российский рубль.
Я себе завёл карту «Мир» только для получения всех плюшек от субсидий (музеи, различные муниципальные сервисы). Но они когда-нибудь закончатся.
А если серьёзно, то было не очень важно, какую сбера карту завести, но из-за политики сбера по внутренним переводам с комиссией (если регионы на совпадают) надо было любую. Почему бы и не «Мир»? В остальном пока не замечал каких-то минусов. Но и картой почти не пользуюсь.Gurturok
03.10.2019 11:20+3Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир. Поддержка оплаты этими картами хуже, чем у Visa / MC. Ожидаемо, что единственная валюта расчётов — Российский рубль.
ПС молодая, может в будущем добавят.
С точки зрения государства гонять деньги граждан через американские компании — не комильфо, их понять можно. Но пользователям как-бы пофиг и они продолжают пользоваться тем чем пользовались.
Source
03.10.2019 12:08+2ПС молодая
Вы же понимаете, что дело не в этом и вообще не в технических вопросах?
zagayevskiy
03.10.2019 15:50-7А вы понимаете, что Виза/МС могут отключить Россию без проблем? И что тогда нужно будет делать?
alexs0ff
03.10.2019 16:13+2Виза/МС могут отключить Россию без проблем?
ИМХО Если такой момент настанет, вопрос «как снять деньги с карточки» будет далеко не первым в длинном списке остальных проблем.
Вспомните гиперинфляцию начала 90хх, там никакой Визы и МС не было, а вот проблема с обналичной вкладов — даже очень.
RomanZon
03.10.2019 16:16+6Я встряну Ваш коммент в Свежем всплыл
тут надо не ТОГДА делать а ДУМАТЬ ГОЛОВОЙ ПЕРЕД
быть частью мирового сообщества — тогда никто ничего и не отключит.Dolios
03.10.2019 18:44У физического лица есть только один способ стать частью мирового сообщества — переместиться в это сообщество физически. Но в сообществе карту МИР все равно не принимают.
DMGarikk
03.10.2019 16:25+2Сейчас это возможно даже без ПС Мир, на секундочку, процессинг visa/mc переключили на НСПК до того как Мир заработал
Whuthering
03.10.2019 16:25+3А вы понимаете, что Виза/МС могут отключить Россию без проблем?
Не могут. И у VISA и у Mastercard транзакции в РФ по картам, выпущенным российскими банками, уже идут через процессинговые центры НСПК внутри страны, и «отключить» их не получится — самое худшее, что может случиться, это карты Visa/MC российских банков перестанут работать за рубежом (а Мир и так там не работает).spc
03.10.2019 17:13+1Так, да не всегда так. У наших банков весьма совеобразный подход к ведению бизнеса.
МОСКВА, 14 марта. /ТАСС/. Приостановка транзакций по картам Mastercard и Visa, выпущенных в попавшем под санкции США «Еврофинанс Моснарбанке», связана с прекращением процессинга карт на уровне компании-подрядчика, сообщили ТАСС в среду в пресс-службе Национальной системы платежных карт (НСПК).
Mikihiso
03.10.2019 13:01Чтобы зарубежные банки начали напрямую работать с ПС их надо в этом как-то заинтересовать. Есть конечно вариант что могут договориться с MC/Visa/другими ПС(маловероятно), чтобы кто-то из них форвардил операции в нашу ПС, но это как по мне будет идти ненмого в разрез с теми целями, которых пытаются достигнуть ее созданием.
shpaker
03.10.2019 13:09А каких целей пытаются достигнуть её созданием?
radonit
03.10.2019 13:36+1Убрать информацию о потоках денег внутри России иностранными компаниями ну и избежать коллапса системы в случае введения санкций (Особо если помнить на фоне чего эта система создавалась, по типу запрета SWIFT, запрета работы той же visa в россии и пр.)
Areskoi
03.10.2019 20:02А как это убирает информацию о денежных потоках внутри страны от глаз платежных систем? Они же продолжают тут работать и обрабатывать эти транзакции через НСПК. Неужели международным MC/VISA эти данные недоступны? Они же как-то анализируют свою работу на рынке РФ, значит обрабатывают и анализируют эти данные.
geher
03.10.2019 17:33Начнём с того, что его не поддерживает Google pay, равно как и весь остальной мир.
Начнем с того, что "весь остальной мир" — это слишком сильно.
Кое-где уже принимают. Вот про али пишут. В некоторых популярных у российских туристов местах тоже.
Поддержка оплаты этими картами хуже, чем у Visa / MC.
Что имеется ввиду кроме поддержки всякими "*пэями" и пр
риема в зарубежье? Оплата телефоном возможна в некоторых банковских приложениях.
Ожидаемо, что единственная валюта расчётов — Российский рубль.
По крайней мере у одного банка еще доллар и евро
pyrk2142
03.10.2019 11:32+2В одной далекой-далекой стране из моего сна банковская система World умудрилась нанять криворуких кодеров, которые написали сервис, через который утекает информация о части покупок с любой карты этой системы по ее номеру. Снилось, что на письма ребята из Ворлда тоже не отвечают.
A114n
03.10.2019 18:04+1По той же причине, по какой идиотским можно назвать любое импортозамещение в нынешних экономических условиях.
dimm_ddr
04.10.2019 09:52Ну не любое. Нормально организованное импортозамещение — с реальным развитием производства, определением что именно нужно замещать не распыляясь на все подряд, с правильно организованными экономическими стимулами — вполне себе оправдано. Особенно когда правительство совсем не против сделать что-то за что на него половина мира ополчится. Реальность, конечно, ближе к тому что пишете вы.
Ra-Jah
04.10.2019 11:13Нормально организованное импортозамещение лучше нормально организованного рыночного регулирования?
dimm_ddr
04.10.2019 14:04Вполне может быть. При правильном импортозамещении должны быть экономические льготы для нового бизнеса в нужной отрасли. Чем же рыночное регулирование лучше если над государством повисли санкции и делать нужно что-то прямо сейчас?
Dima_dd
03.10.2019 08:47У меня неделю назад 700р списали с карты, хорошо что заметил смс о списании. Позвонил в банк карту заблокировали. Написал заявление, но в банке намекнули, мол сам карту засветил где то, так что вероятность возврата 0%. А тут вот оно как.
Buggy777
03.10.2019 09:07«Ну у вас же страховка не оформлена. Вот была бы страховка, банк вам все вернул бы.» — практически цитата сотрудницы банка. Я после ее уговоров даже вышел из отделения. Постоял, подумал и решил, что бумага все стерпит и пусть откажут письменно. Вернулся и написал заявление. Через 3 дня деньги вернули на карту.
Dima_dd
03.10.2019 09:14Мне тоже страховку впаривали, но конечно отказался, а рассматривать жалобу будут полтора месяца.
teecat
03.10.2019 12:48закон о национальной платежной системе требует от банка возмещения утекших у клиента средств. плюс цб требует наличия в договорах с клиентами требований по иб
Dima_dd
03.10.2019 13:58+1пришла смс, сказали деньги вернут, вместо полтора месяца за 2 дня рассмотрели.
shurkandak
03.10.2019 08:48Учитывая что карты есть не только у физиков, но и у юрлиц, проблема то размером с Восточно Европейскую Равнину, как в прямом так и в переносном смысле
paul_155
03.10.2019 08:52Только собственный программист мог это сделать. К сожалению от разработчиков базу очень сложно закрыть — нечего будет разрабатывать. А сделать дамп базы и скинуть на флешку дело пары минут. Скорее всего кого-то обидели деньгами или морально. Ещё иногда думаю, что советская шпионская параноя была не такая уж и параноя.
zim32
03.10.2019 09:14+1Как разработчик платежной системы с PCI DSS скажу что ничего прямо мега сложного в этом нет. Тем более для компании масштаба Сбербанка.
CycaHuH
03.10.2019 09:29-1Зачем разработчику доступ на продакшен базу и кто ему этот доступ даст?
Areso
03.10.2019 09:48Такое может произойти, когда происходят затыки/аварии с большим влиянием. Тогда разработчики получают ограниченный доступ к боевым приложениям (и, соответственно, базам).
paul_155
03.10.2019 10:07-4Значит мне повезло больше(меньше). В своё время мог выгрузить население некоторых европейских стран.И деньги-то платили небольшие, но вот нет желания продавать. Даже не из-за страха. Самому уже за последний месяц раз пять позвонили разводилы от имени сбера. А есть жены, матери и прочие наивные.
EvilArcher
03.10.2019 12:57Цитата моей бывшей коллеги, которая устроилась в сбер программистом:
«В Сбере то меня в первый день на рабочую базу под общим логином пустили говорят: ну ты уж не удаляй ничего».
Fuzzyjammer
03.10.2019 13:36+6Очень сомнительно. Ну т.е. это могла быть какая-то рабочая база какого-то сервиса, коих туча, но не карточная. У них там в PCI-DSS зону пропуск месяцами согласовывают, да и не работают в ней программисты, им макетов с тестовыми данными за глаза.
Areso
03.10.2019 09:36Тут момент какой. Разработчики работают на маленьких базах, из которых выкинули, скажем, 99% клиентов, а оставшийся 1% прошел процесс маскинга, где меняются реальные данные на выдуманные.
Ommonick
03.10.2019 09:47+1Ну почему же?
То что вы описали — тестовый контур.
Плюс еще много проблем возникает у реальных пользователей, и тут как раз нужно ручное вмешательство. Поэтому есть целые отделы pl\sql девелоперов например.Areso
03.10.2019 09:49У нас (не Сбер) можно заказать обрезку таким образом, чтобы проблемный клиент попал в тестовый контур.
Их, кстати говоря, может быть более одного — для функционального тестирования, для нагрузочного тестирования, для разработчиков, и т.д.
kgbplus
03.10.2019 12:53+1С реальными пользователями имеют дело не разработчики, а саппорт. А у них если сделал больше N запросов в день, то это повод для разговора с СБ
paul_155
03.10.2019 10:35+2Кто-то же выкидывает эти 99%. Просто разный уровень доступа.
Areso
03.10.2019 11:03+1Да, это делают DBA или Oracle Developer.
namikiri
03.10.2019 12:27Значит не разработчик, а DBA слил.
JerleShannara
03.10.2019 14:44У этих DBA зарплаты такие, что частенько возникает вопрос «А когда свою тачку сливать, когда у неё 10 или 20к пробега?»
Dimtry44
03.10.2019 18:13+2DBA зарплаты такие
В цифрах можете озвучить? Что-то сомнения гложат, не видел чтобы деньгами пытались такие проблемы залить. Большие деньги мотивируют ещё больше денег хотеть. Обычно организационными методами работают, а не на надежде что денег дал и человек постесняется гадить.JerleShannara
03.10.2019 19:13>240 устроит? Подробнее говорить даже не буду.
Dimtry44
03.10.2019 20:40+4$4k в месяц? Ну для DBA может это и ЦИФРА, а так на сколько я понял из статей про зарплаты, это в принципе норма для сениоров-разработчиков.
ne_kotin
03.10.2019 21:12Так $4k+ это норма для любого сеньора.
Что не отменяет того факта, что в масштабах России — это ЦИФРА.
Lexicon
03.10.2019 21:36Причем DBA не такая уж ценная роль.
Реальные данные в случае, если не все вокруг халатные раздолбаи, а система это набор кластеров, DNS с доступом по локальной сети через удаленные машины, то невероятно сложно заполучить базу незаметно. И совершенно непонятно, что с ней делать, утечку обнаружить слишком легко, база выдает дату взлома.
Гипотетически, продать/использовать информацию в головах синьоров, архитекторов и менеджеров, работающих с самим продуктом сильно проще.
dimm_ddr
04.10.2019 09:55Гипотетически, продать/использовать информацию в головах синьоров, архитекторов и менеджеров, работающих с самим продуктом сильно проще.
Такую утечку и заметить сложнее. Более того, вполне возможна трактовка текущей ситуации как: «Исключение подтверждает правило», в том смысле что сливать базу — заметно и виновника скорее всего быстро найдут. А те кто работает более осмысленно и аккуратно — те продолжат жить как жили.
JackRowsen
03.10.2019 21:39+1Смотрю я вот на поля — это витринка в dwh для аналитики какой-то.
Собсно к ней доступ и был.
Source
03.10.2019 13:46+1Естественно, у кого-то есть полный уровень доступа, просто таких людей достаточно человек 10 даже в масштабах Сбербанка. Остальным сотням программистов такой доступ нафиг не нужен для выполнения своей работы. Ну а сливать базу, когда ты 1 из 10 потенциальных подозреваемых — это как-то слишком дико.
Sad_M0nkey
03.10.2019 14:35Проблемма судя по всему в том как сбер относиться к безопасности. Читал недавно отзыв о работе в сбере: из-за того что у них все процессы идут месяцами, проблемы зачастую решаються не совсем правильно. Скажем вместо того чтобы дать доступ только к одному серверу, по необходимому порту, и только запросившему пользователю, пробрасывают всю сетку, потому что «слишком много тикетов с подобной проблемой»(и это сейчас была не гипотетическая ситуация, а часть того отзыва), даже интересно куда их всевидящее сб смотрит. С подобным подходом, не удивлюсь, если доступ к базе получил кто-то прям совсем левый. Хотя сам в сбере не работал, так что подвердить или опровергнуть подобное не могу, но судя по быстрому гуглению отзывов с подобной картиной огромное количество.
Вот собственно даже на хабре отписались о качестве сберовской внутренней кухни habr.com/ru/post/438514
un1t
03.10.2019 11:08Не знаю как в сбербанке, но я с одной крупной компанией работал и доступа к продакшену у разрабов нет. Есть только у админов ответственных за данный продакшен. Если продакшен сломался, то отладка идет таким образом, просто пишешь админу, «посмотри этот лог», «посмотри версию этого пакета», и так далее.
paul_155
05.10.2019 20:29"В результате внутреннего расследования служба безопасности банка при взаимодействии с правоохранительными органами 4.10.2019 выявила сотрудника банка 1991 года рождения, руководителя сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных в силу выполнения служебных обязанностей и который попытался осуществить хищение клиентской информации в корыстных целях", и за что заминусовали?
ZlobniyShurik
03.10.2019 08:55Представим, злоумышленника установят. Интересно, что ему грозит помимо увольнения? Штраф тысяч 30?
vesper-bot
03.10.2019 09:45Если он из рядовых, то впаяют 274 по максимуму, а если из кого надо — вплоть до "уволили и забыли".
Celsius
03.10.2019 08:55Я немного не понимаю, если доступа к базе из сети нет, то как с ней работают сотрудники? Заказным письмом?
Desavian
03.10.2019 09:06Вам во фразе «так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.» какое слово непонятно? Изолированная сеть — это сеть не имеющая выхода во внешнюю сеть, от слова вообще, когда ни один из узлов сети не имеет доступа к интернет. Идите воруйте поезд не стоящий на рельсах (с) самизнаете кто
un1t
03.10.2019 11:16+1Если бы сеть была изолирована, то была бы такая изолированная сеть в каждом отделении своя и утекли бы данные максимум одного отделения. А если утекло 60 млн, то значит данные между отделениями как-то передаются. Не через интернет? Может быть они там записывают данные из отделений на dvd/hdd и курьерами отсылают в центральное хранилище? Хочется понять как это организовано.
Areso
03.10.2019 11:18+1В большинстве крупных компаний используются свои L2 или L3 сети между отделениями. Фактически, не через интернет. VPN, IPSec и тому подобные решения.
ne_kotin
03.10.2019 11:22А через что? Через выделенные волокна/линии? В основном дораха, поэтому какой-нибудь випнет на периметре и погнали. То есть по факту таки через интернет.
Areso
03.10.2019 11:29У нас даже свои линии есть, не знаю как там у Сбера…
Но мне казалось, что Интернет — это то, что не изолировано программными и аппаратными решениями.
То есть я бы разделил уровень физической передачи данных и более высокие уровни.
excentro
03.10.2019 09:07Доступ есть только с рабочих мест видимо.
Naves
03.10.2019 09:49+3А как тогда работает Сбербанк онлайн через интернет?
Будет смешно, если сейчас банк родит историю, что это база не из банка утекла, а это трояны насобирали информацию с телефонов и компов.
И кстати, о троянах. Теперь с базой сопоставлений телефон/карта открывается простор для создания троянов для перехвата/отправки смс от банка, и внедрения этих троянов в легитимные приложения, с последующей таргетированной атакой.Daemon_Hell
03.10.2019 10:15+1А как тогда работает Сбербанк онлайн через интернет?
Через кучу прослоек.un1t
03.10.2019 11:03+1Так если есть какие-то прослойки (сервисы?), то о какой изоляции можно вообще говорить? Или что вы имеете ввиду под прослойками?
darkdaskin
03.10.2019 15:15+2В Сбербанк онлайн номера карт не отображаются (только последние 4 цифры), а в дампе они есть. Так что отмазка не прокатит.
k0ldbl00d
03.10.2019 09:03+6Надеюсь, они хранились на надежных серверах на территории России, как того требует закон
razielvamp
03.10.2019 10:44+3Ну тут и продавец слитой бд должен быть зарегестрирован в ркн как оператор, осуществляющий обработку персональных данных.
Иначе как можно верить, что данные достоверны?
red_andr
03.10.2019 20:54+1Кстати, проверяет же РКН, что эти персональные данные действительно хранятся там, где надо. Как они это, интересно, делают? То есть, у них в принципе должен быть доступ ко всем персональным данным всех людей во всех компаниях вообще. И что мешает проверяющему рядовому сотруднику слить всё это? /Параноя моде офф/
JackRowsen
03.10.2019 21:10+1Как как — как обычно.
Приходят и смотрят.
Ну и видят то, что им показывают.
Находят пару подготовленных косяков, предписание и штраф, и уходят довольные рапортовать, что все ок.red_andr
03.10.2019 21:37Ну понятно, что на практике скорее всего такой формализм и показуха, но ведь если всё по закону делать, то в распоряжении РКН должен быть доступ ко всем персональным данным. Иначе как проверять то?
dimm_ddr
04.10.2019 09:57Все по закону делать с современными закнами вообще не всегда в принципе возможно.
ZaEzzz
03.10.2019 09:17Или утечка была раньше 24 августа, или это далеко не первая учетка.
17 июля этого года мошенники позвонили моей жене и у них были вообще все данные, включая номера карт и счетов сбера.Wiiseacre
03.10.2019 09:47+1Это именно что утечка, а данные одного абонента можно получить мошеннически (например, с фишинговых сайтов) или «пробивом» — покупкой данных конкретного абонента у операторов базы.
ZaEzzz
03.10.2019 12:14Фишинговые сайты сразу отлетают — для всего в сети мы уже очень давно используем мои виртуальные карты. Ну и жена у меня информационно обазована.
«Пробив» — да, может быть. Но вроде бы как операторы не могут увидеть полный номер карты.
Skaramush
03.10.2019 09:18Интересно, а компроментация кредитной карты и с последующим перевыпуском помогут беде?
1c80
03.10.2019 09:28Опять сотра кинули с баблом или не дали обещанного повышения по службе, когда уже поймут жопошники, что обманывать не хорошо, себе дороже потом выходит.
li4inka
03.10.2019 13:33-6А чего заминусовали? Не так что ли? Это первое, что мне пришло в голову, когда я узнал данную новость. Жид платит дважды.
1c80
04.10.2019 10:34Думаю минусуют те, кто сам не чист на руку, их не так много к счастью.
На хабре стабильно, за пост, что жопошников надо наказывать, получаешь в районе 10 минусов, я проверял специально)
Но такой минус за 2 плюса пойдет и вообще нужно писать то, что думаешь.
Больше минусов, меньше зря потраченного времени в обсуждениях.)
ЖИД это весьма оскорбительно среди евреев много нормальных ребят, не все они воры и хапуги, есть же хорошее русское слово жопошник.
Там такие зп, что сливать базу — надо быть идиотом.
Это когда то было знакомый говорил. И потом не обязательно дело в деньгах, набор гадостей которые люди друг делают ничем не ограничен. Если бы это был мошенник, он бы просто по базе работал в тихую, а не в паблике бы ее палил.
UksusoFF
03.10.2019 09:31Про форум заблокированный РКН смешно и грустно. Мы заблокировали, мы молодцы, выглядит как будто мешок не прозрачный на голову надели и рады.
Утечки предотвращать? Да не, мы просто не будем на них смотреть.
Gurturok
03.10.2019 09:38Сначала слив базы налоговой, теперь сбер банк и все за неделю, что дальше? госуслуги?
Meklon
03.10.2019 09:46+1Перевыпустить карту точно стоит. Паспорт тоже уже пора бы, фотка старая.
iSergios
03.10.2019 11:16+1Они ж за перевыпуск деньги захотят… В договоре нет условия о том, что перевыпуск карты, связанный с уточкой ее данных из банка производится за счет банка. Т.е. банк сейчас еще и заработает.
rusbaron
03.10.2019 10:47+3дальше скажут, что это были атаки на Российский сектор и надо изолировать наш интернет.
iSergios
03.10.2019 11:17не подсказывайте, плз((
Doctor5772
05.10.2019 10:51не подсказывайте, плз((
К сожалению, это придумали ещё до нас. Просто вводится всё это постепенно. Вспомните как вводили реестры запрещённых сайтов с блокировками. Подавали под соусом защиты детей. Можно покопаться в старых новостях и при достаточной паранойе найти «корреляцию между определёнными негативными событиями и принятыми на фоне этого законами». В наших реалиях трудно понять, с согласия руководства, или без него, был этот слив. Так или иначе, это событие «привлекло необходимое внимание, вопрос о безопасности данных был поднят в СМИ».
Wolches
03.10.2019 09:40+1СберВойны, эпизод I: Скрытая угроза
(Греф борется с программистами)
СберВойны, эпизод II: Война офисов
(https://m.habr.com/ru/post/438514/)
СберВойны, эпизод III: Месть кодеров
(Вы находитесь здесь)
Kanlas
03.10.2019 09:41+6а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Вранье. Покупал билеты на самолет и поезд без смс подтверждения. Но это не только на картах Сбера наблюдается.
excentro
03.10.2019 09:54-1Это потому, что на некоторые виды операций подтверждение смс специально отключают.
Kanlas
03.10.2019 11:57Оно понятно, но непонятно зачем. У знакомых так же оплачивали отель без подтверждения. В то же время за перевод небольшой суммы незнакомому человеку тебе через раз блокируют операцию и требуют подтверждать ее по телефону))
pyrk2142
03.10.2019 12:10Как мне кажется, основная идея в том, что подтвержденные операции по переводу физическим лицам обычно не отменяются/не оспариваются, пока нет решения полиции/суда. Отель же никуда не денется (обычно), поэтому операцию можно подтвердить, а потом отменить/оспорить без особых усилий.
Kanlas
03.10.2019 12:19Но это правило распространяется на очень ограниченное количество юр. лиц, да еще и тех, где ты потратишь кругленькую сумму. Мне не нравится такая избирательность.
excentro
03.10.2019 16:36+1Зачем как раз понятно. Это делается по просьбе принимающей платежи стороны, которая по каким-то причинам не может/не хочет использовать подтверждение платежей смс. Такси хороший пример. При оплате из приложения придется открывать страницу банка с формой подтверждения кода из смс, что часто не возможно.
Kanlas
04.10.2019 09:59При оплате из приложения придется открывать страницу банка с формой подтверждения кода из смс, что часто не возможно.
Приложения от всяких доставок с этим справляются, а приложение от такси не справится? С чего бы? Тем более сомнительно, что это применимо к сайтам авиакомпаний/РЖД, у которых таких проблем в принципе быть не должно, и через которые проходят суммы значительно крупнее, чем через такси (где упрощение может быть обоснованным хотя бы удобством)
androidovshchik
03.10.2019 09:56+2Тоже хотел написать. Много где не требуется смс пароль, перевод идет посредством CVV кода. Спрашивается, зачем это здесь написали
Daemon_Hell
03.10.2019 10:17Обычно такие транзакции оспариваются проще всего. 3D secure не было — проблема мерчанта.
Kanlas
03.10.2019 11:54Был опыт? Есть сомнения, что какие-нибудь 15к за билет так легко вернут, ведь покупать можно не только на себя, и потом иди докажи, что не по собственной воле это сделал
Areso
03.10.2019 12:16Зависит от жесткости регулятора и человечности конкретного банка в той или иной стране.
По правилам — должны вернуть.
Mikihiso
03.10.2019 13:16+1Насколько мне известно, при проведении операций без 3DS / CVV2, все риски переходят на сторону банка-экваера, и в этом случае при возникновении фрода эмитенты охотнее идут на встречу своим клиентам.
darthmaul
03.10.2019 13:29+2Можно в теории, даже есть такая «теневая» услуга как рефанд сервис. Но это всё же мошенниество, будете турьма сидеть потом.
struvv
03.10.2019 09:46+2British Airways оштрафовали на 230 млн долларов за подобное обращение с данными
Areso
03.10.2019 09:53+3Кто оштрафует Сбер?
Даже если это произойдет, это как переложить деньги из одного кармана в другой.
Хотя, возможно, что это даст положительный толчок их безопасникам и админам, в т.ч. их DBA…
defaultvoice
03.10.2019 12:15+1Ну вообще там данные европейских граждан, так что данные о сливе будут переданы в Еврокомиссию. А в самой Европе работает Sberbank Europe AG, который является дочкой Сбера. Так что вполне могут и оштрафовать.
dimm_ddr
03.10.2019 15:50Судя по количеству карт — это не полная база. 60 миллионов карт при более чем сотне миллионов пользователей (если верить сбербанку конечно), да еще и включая предыдущие карты, это точно не полная база. И сбер вполне может морозиться что клиенты из Европы не пострадали пока их носом не ткнут. Найдется ли европеец который найдет себя в этой слитой базе и подаст на них в суд?
defaultvoice
03.10.2019 16:30Они сами обязаны сообщить, если пострадали европейские граждане. Несообщение об инциденте само по себе нарушение, за которое полагается штраф
Whuthering
03.10.2019 16:33-1А если у человека два гражданства, карточка сбера оформлена на российский паспорт, а про наличие второго банк вообще не в курсе?
dimm_ddr
04.10.2019 09:58Конечно, но при двух условиях — нарушение действительно заметят и смогут доказать что сбербанк о нем знал. Это риск конечно, но он вполне может стоить тех денег которые они точно потеряют если сообщат сами.
D03ER
03.10.2019 09:54+8а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
А если к этому прибавить недавнюю статью об отсутствии 3dsecure на многих крупных сайтах, то 60 млн карт превращаются… в элегантные шорты с AliExpress.
Gurturok
03.10.2019 10:12-1а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Не каждая. Если ОЧЕНЬ задолбать сотрудника при получении карты, то номер телефона привязывать не заставят, а если нет номера то и код высылать некуда.
lz961
03.10.2019 16:37нет. Покупал билет у Аэрофлота. Скушал CVV и подтверждения не запросил.
Whuthering
03.10.2019 16:44Ну в данном случае это логично — воспользоваться купленным билетом, не предъявляя паспорт в реальности не получится, поэтому мошенникам палева больше чем выгоды.
Hroft2
03.10.2019 18:42Можно потом продавать на каком-нибудь сайте как горящий билет с переписью на другого за 50 баксов изменения.
knstqq
03.10.2019 22:38+1была у меня такая карта сбербанка, без привязанного телефона. Платежи в интернете вообще не проходили. Нет телефона — нет кода — …
nev3rfail
03.10.2019 10:20+2Для проверки гипотезы корреспонденты издания “Коммерсантъ” попросили продавца найти в базе свои данные. Вскоре им была предоставлена информация о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Хех. Можно составить реальную статистику по средней/медианной зп. Да и вообще что угодно посчитать можно.
Andrey_Dolg
03.10.2019 10:37Ну да, для аналитики база представляется весьма интересной и без персонализации данных. =)
Kanlas
03.10.2019 12:07+1Да тут и для бандитизма разгул.
Найти кто проводит с определенной периодичностью крупную сумму через свой счет. Потом узнать прописку, проанализировать траты и вот у нас готовый «клиент». Можно начинать его «разрабатывать», зная где он обедает, где закупается, где живет, ведь далеко не все пользуются разными банками для разных операций (комиссии мешают).
Учитывая размер базы, найти подходящую жертву, которую будет легко запугать, вполне можно даже не выходя из дома, так сказать.
61brg
03.10.2019 10:33+1Ха-ха-ха!.. Если утечка реальна, то это просматриватся 3 варианта
1. Группой лиц по предварительному сговору
2. Злоупотребление доверием с наплевательским отношением к своим должностным обязанностям некоторой категорией работников
3. Таки выхолостили требования к информационной безопасности (я в это не верю)
Но удивляться не стоит. Ситуация из серии пропажи средств со вкладов некоторых банков у которых отозваны лицензии. Без участия ИТ такой трюк не провернуть.Dimtry44
03.10.2019 18:204. Продали (отдали в другой отдел у себя) б/у сервер, а там на диске база была. Упс.
Meklon
03.10.2019 18:22В открытом виде?
Dimtry44
03.10.2019 18:28В открытом виде?
Шифрование на уровне диска достаточно ресурсоёмкая операция, могут экономить. Плюс бэкапы, снапшоты, транзакционные логи и т.п., точек где могло протечь много.sumanai
03.10.2019 19:00Шифрование на уровне диска достаточно ресурсоёмкая операция, могут экономить
Чего?Dimtry44
03.10.2019 19:13Если правильно делать, то IV дожен быть в каждом блоке, для поддержки случайного доступа, т.е. меньше полезной нагрузки, плюс затраты на расшифровку, пусть будет +10% от операции чтения, при большой нагрузке, этим могут пожертвовать.
sumanai
04.10.2019 17:59Просто сейчас у многих дисков есть встроенное аппаратное шифрование, а AES на процах фактически бесплатен.
JerleShannara
03.10.2019 19:15Продали/Отдали дуру весом в тонну? Интересная версия, особенно что сервер сервером, а хранилище оно отдельно идёт.
Dimtry44
03.10.2019 20:31Продали/Отдали дуру весом в тонну?
Конечно разговор не про сервер-всея-сбербанк, а про какой-нибудь богом забытый OLAP серверок с снапшотом на PCIe SSD, чтобы через iSCSI не гонять трафик.61brg
03.10.2019 21:04Исключено. Инструкция предполагала комиссионное уничтожение информации на носителях в таких случаях. Вышедший из строя диск полагалось физически изничтожить, и то же комиссионно. Поэтому всё-таки п.2
Dimtry44
03.10.2019 21:47Так они диски и уничтожили, но недотюхали что PCIe тоже может быть диском.
JerleShannara
04.10.2019 23:46Зная людей, которые занимаются «утилизацией» железа из банков и всяких весёлых организаций (на таком железе частенько бывает голографический орёл с щитом и 3 или 5 буквами) — дисков и ssd оттуда им не достаётся. Вот берёшь сервак за копейки, просишь к нему корзин отсыпать(т.к. пусто), а в ответ «корзины были уничтожены с дисками, мы только это смогли на утилизацию забрать».
JackRowsen
03.10.2019 21:175. через глубокий инсайд.
Не первый и не последний раз такое.
И более масштабные утечки были.
Warrangie
03.10.2019 10:55+1Никогда такого не было и вот опять. Как-то уж очень часто это происходит в последнее время.
samodum
03.10.2019 11:09+3Ждём, когда утекут данные от сотовых операторов и интернет-провайдеров, которые обязаны хранить данные по закону Яровой.
Это дело времени.
Fenzales
03.10.2019 11:11+2каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Это кстати неправда, у меня с кредитки деньги тратятся без 3D Secure и каких-либо СМСок.
pyrk2142
03.10.2019 11:46+3Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети
Оо выше гор. Некоторое время назад писал в Сбербанк, что они допускают доступ к балансам карт и истории операций клиентов (как минимум, «Сбербанк-Премьера»), достаточно знать номер телефона и 4 цифры номера карты, проблема была в системе IVR. Мне сказали, что проверку Caller ID (подделывается легко и кем угодно) и последних цифр они считают достаточной. Я поржал, пошёл дальше. Через пару месяцев они додумались облегчить жизнь клиентам: если ты не помнишь последние цифры, то автоинформатор подсказывал список карт и предлагал выбрать, данные по какой нужно получить. Я поржал ещё больше, но второй раз писать не стал, смысла уже нет. Отдельный прикол в том, что я видел кучу объявлений о «пробиве» данных таким способом. Сейчас они перевели автоинформатор на номер 900, подделывать звонки сложнее, но кто знает.dimm_ddr
03.10.2019 15:53Возможно что имелось ввиду что утечка настолько полных данных невозможна. Если верить исследованию, то простой пробив не дает такого количества полей с данными. Тогда либо база собрана через разные системы и скомпилированна в одну, либо это реально утечка какой-то центральной базы, доступа к которой извне может реально и не быть.
xztau
03.10.2019 12:15А что предпринять в этом случае клиентам можно?
Вернее, что дальше делать-то?Areso
03.10.2019 12:22+4Отличный вариант — не пользоваться Сбером :)
Наилучший вариант — закрыть и открыть карту заново. Все данные будут новыми.
Средний вариант — перевыпустить карту. У всех банков по-разному, но в прошлый раз Сбер даже код CVV не поменял при этом. Дата действия обновилась и то хорошо.
Худший вариант — ничего не делать, жить как жили.
Дополнительно: поменять кодовое слово, деньги на карте не держать (держать их или на депозите или на сберегательном счете).em92
03.10.2019 13:49Средний вариант — перевыпустить карту. У всех банков по-разному, но в прошлый раз Сбер даже код CVV не поменял при этом. Дата действия обновилась и то хорошо.
Добавлю, что если нельзя поменять каким-либо образом дату действия перевыпущенной карты, то мошеннику для определения даты действия достаточно знать, что держатель этой карты перевыпустил вскоре после прочтения данной новости. Аналогично про наилучший вариант.
asmolenskiy
03.10.2019 12:43+2Просто не держите деньги на карте.
Откройте депозит и переводите все туда.
Пополняйте карту со счета только на необходимую или какую-то небольшую сумму типа 10к.
Это справедливо вообще в принципе безотносительно конкретного банка.
Я например упарываюсь круче — у меня есть кредитка Тинькова — ее можно обложить лимитами и запретить покупки в интернете. Когда мне нужно расплатиться в интернете — я снимаю запрет, расплачиваюсь и снова запрещаю. Когда мне нужно оплатить что-то дорогое — просто увеличиваю лимит.
Оторвите от карты и выкиньте бумажку с CVV кодом.r_j
04.10.2019 10:15Когда мне нужно расплатиться в интернете — я снимаю запрет, расплачиваюсь и снова запрещаю.
Для этого уже давно придумали виртуальные доп. карты. А палить свою реальную карту в инете, даже с лимитами — так себе совет.
ck80
05.10.2019 11:31Я на своей карте стёр часть цифры CVV кода так, что теперь это выглядит другой цифрой. Чтобы из-за плеча было сложно разглядеть/сфотографировать и запомнить.
foxcode85
03.10.2019 12:21+1Кстати, не рекламы ради, а какой банк лучше в плане техническом, чем Сбер? Это ведь не первая история об утечке. Тинькофф? Райфайзен? Не хранить же ? в заначке?
Areso
03.10.2019 12:24+2Любой банк со сберегательным счетом / депозитом + генератором OTP будет подходящим.
foxcode85
03.10.2019 12:31Например?
Areso
03.10.2019 12:43www.banki.ru/forum/?PAGE_NAME=read&FID=13&TID=308953
Сам, правда, не пользуюсь, но я и ? в сколько-нибудь значительных цифрах не обладаю.
ne_kotin
03.10.2019 12:49+1Я на Альфе 13 лет — нареканий нет.
Последние 3 года за счет оборотов — обслуживание на «комфорте» бесплатное.tvr
03.10.2019 12:53Удваиваю, только у меня опыт поменьше — 4 года и за комфорт плачу, но, кмк, оно того стоит.
asmolenskiy
03.10.2019 15:58Да вот Вам Альфа
www.newsru.com/finance/10jun2019/three_bases.htmlne_kotin
03.10.2019 16:24+255K за период в год vs 60M, и это мы еще не начали обсуждать насколько сбер всрат в своем отношении к клиентам
asmolenskiy
03.10.2019 16:41То есть Вы уже торгуетесь? =)
Я не защищаю Сбер, моя мысль что в утекает отовсюду. Нет идеального банка
55К — это тоже вполне достаточно чтобы быть в этой базюле.ne_kotin
03.10.2019 16:56А шо такое? ) Шо, уже нельзя поторговаться?
Утекает, да, не спорю. Но суть в размерах.asmolenskiy
03.10.2019 17:01Ну это как посмотреть ).
С другой стороны то что конкретно Вы попадете в поле зрения злоумышленника среди 60М менее вероятно чем среди 55К.doctorw
03.10.2019 17:58+1Я думаю, что злоумышленник будет искать по такой базе запросом с фильтрацией по уровню дохода или другой информации, которая об уровне дохода говорит. При таком сценарии всё зависит не от размера базы.
asmolenskiy
03.10.2019 23:46Не будет — это малоинформативно. Ну то есть я конечно в башку ко всем злоумышленникам не залезу — но ИМХО это напрасная трата времени.
Смотрите — владельцы заводов, газет и пароходов не получают зарплату на карточку Сбербанка.
Это в основном про обычных людей. Далее — вот есть какой-то сеньор с доходом 200+. Вроде бы много. Правда у него жена в декрете, ипотека и автокредит — взять с него все равно нечего. Сколько таких в Москве?
Если хочешь облутать квартиру — проще сходить в дорогой район, дать денег консьержу и получить актуальную сводку ваще по всем жильцам включая график отпусков и присутствия дома.
Угнать машину — сходить в автосалон, дать денег продавцу и заодно узнать с какой противоугонкой куплено авто.
Грепать карточную базу как-то…
Все эти карточные базы — для парней которые сидят по зонам (да, да — весь прикол в том что они уже сидят обычно :) ) и по телефону людей разводят на пин-коды. Они будут звонить по списку и рассказывать людям про то какие транзакции и куда проходили, а потом просить сказать код из СМС.
Я к тому что такие утечки это конечно ппц как показательно, особенно для верующих в безопасный банкинг. Но глобально вот в Вашей жизни ничего они не поменяют. Разве что может паранои добавят — и это хорошо.
Ra-Jah
03.10.2019 16:56Не уверен, что показательно для юриков, но мне мою карту со всеми данными в открытом виде достали из ящика одного из столов офиса, предварительно покопавшись в нескольких. То есть еще на этапе хранения информация была скомпрометирована. В техподдержке заявили, что все хорошо, это нормально. Выводы об отношении к персональным данным в Альфе я сделал.
Mogwaika
03.10.2019 18:13Банк Москвы мне выдавал карты в незапечатанных конвертах, я им писал и жаловался, мне пытались доказать, что это нормально…
DMGarikk
03.10.2019 18:37+1у меня были карточки от сбер, втб, росбанк, транскредитбанк — все они выдавались без конверта
более того, я даже бывал в эмбоссерной и карты там хранятся просто стопками и глаз которые могут всякое увидеть довольно много мимо них проходит
Вас же не смущает, что когда (до пришествия массовых paywave/paypass и поветрием с вынесением терминала на откуп покупателю) вы даете карту кассиру, он обязан посмотреть на неё с обоих сторон и удостоверится что она не поддельная… а там же и номер и cvv…Mogwaika
04.10.2019 00:15Вообще всегда смущало и старался просить у кассира терминал, чтоб самому оплатить…
Тиньков даёт в конверте. Да и раньше их выдавали приклеенными, чтоб cvv код не было видно.
pyrk2142
03.10.2019 18:39Про Альфа-Банк: приходил как-то за выпиской в отделение, мне предлагают ее сделать прямо у входа, авторизовавшишь на непонятном компьютере. Сказали «Вы что, это рабочий компьютер, тут кто попало не ходит». Когда я отказался придумывать пароль для входа и вводить там, у меня спросили «Может, вы ещё верите в то, что ФСБ прослушивает телефоны?», а после положительного ответа покрутили у виска и сказали, что я могу получить справку у операциониста, но там очередь. Прошёл, посмотрел на 10 свободных специалистов, получил сразу.
asmolenskiy
03.10.2019 12:50+2Кстати, не рекламы ради, а какой банк лучше в плане техническом, чем Сбер?
Никакой. Причем я бы сказал даже в мировом масштабе.
Подобные утечки у Сбера просто подтверждают тот факт, что в принципе это все не безопасно как система.dimm_ddr
03.10.2019 15:57+1Никакой. Причем я бы сказал даже в мировом масштабе.
Ну это вряд ли правда. То, что система в принципе уязвима не значит что шанс на утечку у разных банков одинаковый. Я понятия не имею как оценивать банки по этому критерию — разве что по количеству утечек на то тысяч пользователей, но очевидно что защита в разных банках разного уровня. Ну и я сомневаюсь что сбер — самый технологически продвинутый банк в мире. Даже если брать только крупные. Хотя это конечно возможно.asmolenskiy
03.10.2019 16:32Ну и я сомневаюсь что сбер — самый технологически продвинутый банк в мире.
Не сомневайтесь.
Финтех в РФ в принципе самый продвинутый в мире. То есть сравнение по сути не между Сбером и там Дойче банком, а между Сбером и Альфой например. У многих крупных американских и европейских банков в принципе нет никаких там интернет-банков и прочего. Только личное присутствие либо управляющий.
Но у Сбера есть отличие — пока все вокруг пилят свистоперделки к приложенькам — он двигается к тому чтобы из банка переквалифицироваться в глобального IT-провайдера по типу Амазона. Во вполне близком будущем будут у нас и Сбербокс и Сберклауд и Сбермаркет и Сбер*** подставить нужное. В принципе сейчас многие туда устремились — но Сбер делает это давно и целенаправленно.
А то что он сам все прикручивает крайне медленно — дык блин это крупнейший банк Европы, состоящий из 19 автономных организаций.
А причина утечек типа таких — это тупо человеческий фактор.ne_kotin
03.10.2019 17:14+3Но у Сбера есть отличие — пока все вокруг пилят свистоперделки к приложенькам — он двигается к тому чтобы из банка переквалифицироваться в глобального IT-провайдера по типу Амазона. Во вполне близком будущем будут у нас и Сбербокс и Сберклауд и Сбермаркет и Сбер*** подставить нужное.
Не будет. Зная как Сбер умеет фэйлить своё же громко анонсированное.wlr398
03.10.2019 18:51+1А Гугл не умеет фейлить своё же громко анонсированное?
ne_kotin
03.10.2019 19:27Гугл обычно сначала выкатывает, а потом, когда народ уже привыкнет — закрывает. Закрытие Waves и G+ меня очень сильно расстроили, а вот Hangouts который нафиг не нужен — всё еще каким-то чудом живет.
А Сбер обычно — «щя мы тут в следующем году шапками всех закидаем». Проходит половина обещанного года, на очередной конференции у спикеров Сбера спрашивают — «ну, чо там? когда уже?», на что обычный ответ «нууууу, ща, шлифанём малёха, и все будет.»
Проходит еще пара-тройка лет, менеджмент смотрит на угробленный бюджет, на онгоинг без результатов, которые можно если не монетизировать, то хотя бы использовать во внутреннем технологическом цикле, седеет, судорожно опустошает полбутылки элитного сингл-молта, и принимает волевое решение зафиксировать убытки. Хорошо, что про обещанное мало кто уже помнит, и лицом в грязь публично падать не приходится.
Заканчивается всё реминесценциями. «А помните, Сбер обещал воооот такуой прорыв? — Да, было дело. И чо, как? — Не взлетело».
Сбербанк. Fail fast. Так и живем.Daemon_Hell
03.10.2019 20:01Ничего страшного, хэнгаутс закапывают в следующем году. gsuiteupdates.googleblog.com/2019/01/upcoming-hangouts-service-consolidation.html
0xd34df00d
03.10.2019 23:10а вот Hangouts который нафиг не нужен — всё еще каким-то чудом живет.
Ну как не нужен, к нему до сих пор можно подключиться через XMPP, так что можно общаться с довольно большим количеством людей через привычный мессенджер.
0xd34df00d
03.10.2019 23:00+1У многих крупных американских и европейских банков в принципе нет никаких там интернет-банков и прочего. Только личное присутствие либо управляющий.
Я, если напрячься, знаю с десяток европейских и американских банков, и у них у всех есть интернет-банк.
vladkorotnev
04.10.2019 04:02Вопрос в том, какой у них интернет-банк.
Европейскими и американскими не пользуюсь, а вот японскими довелось.
У одного из них — логин поставить нельзя, только цифры с пришедшей бумажной карточки, после этого ответить на три секретных вопроса, и ввести пароль. При этом он ещё и на праздники порой закрывается. При попытке оплатить онлайн — выдал мессадж, что надо увеличить лимит онлайн-платежа в настройках, а в настройках выдал мессадж, что увеличить его можно только лично в отделении.
У другого хотя бы логин поставить можно, но посмотреть расход по кредитке в реальном времени — шиш, жди минимум 10 дней до обновления. Видимо ручками на перфокарты перетыкивают транзакции, а потом назад перебивают в базу.
Про то, как выглядит эпл пэй, уже и думать забыл даже. Иногда случайно открываешь интерфейс на телефоне и вспоминаешь "о, даже такое было!"Kanlas
04.10.2019 12:14Так японцы известны своей бюрократией. Казалось бы, страна на острие технологий, а автоматизации ноль. Не лучший пример
splitfire
04.10.2019 05:01Можно пример пары крупных американских банков без интернет-банкинга?
(Крупных по количеству клиентов, конечно же)
Whuthering
03.10.2019 16:40+3«Самый технологически продвинутый банк в мире» до сих пор не позволяет клиентам что-либо сделать с картами, выпущенными в соседнем регионе. И это в 21-м веке. Да что там, даже в пределах одного города от «где карту открывали, туда и идите» они только несколько лет назад избавились.
Еще, помнится, все точки, где стояли POS-терминалы Сбербанка, всегда то ли начиная с начала новых суток (0:00), то ли за полчаса до него, 10-20 минут не принимали карты, типа «технический перерыв». Не знаю как сейчас, но пару лет назад такое точно было, даже объявления на заправках и в круглосуточных магазинах висели.asmolenskiy
03.10.2019 16:47Повторюсь — Вы немного недооцениваете его размеры и транзакционный оборот.
То что он в принципе делает в своем IT мало кто поднимет. Плюс это же не один банк — а 19. 19 банков под одним лэйблом. С сопутствующими организационными проблемами.
Тут РосЕвробанк слился с Совкомбанком почти год назад и до сих по нихрена не работает толком. А здесь 19 банков.
Но не спорю — внешне это не так впечатляет. Для пользователя Тиньков смотрится намного круче. Но это слон и моська. Моська может быстро бежать вперед, а слон медленно топает.RomanZon
03.10.2019 16:53+2А ничего что в самом простом настольном процессоре сейчас 8 ядер и 16 потоков
16 гб оперативки
и пару а то и 10 терабайт на ССД
Может немножко преувеличил — но пора бы уже эти мощности пустить в дело а не ссылаться на размеры и сложности.
Ну я так думаю ведь за обслуживание так называемое деньги то просят…asmolenskiy
03.10.2019 16:58А ничего что у если у Сбера пропадет небольшой кусочек транзакционной базы за день в стране случится экономический коллапс?
RomanZon
03.10.2019 17:17+3Ну тут я что могу сказать я за страну думать не возьмусь это видимо Ваш уровень Вы кстати не тои Смоленский который каким то банком владел?
И да это характеризует страну где у якобы коммерческого банка что то случилось а у страны коллапс
DMGarikk
03.10.2019 16:49POS-терминалы Сбербанка, всегда то ли начиная с начала новых суток (0:00), то ли за полчаса до него, 10-20 минут не принимали карты, типа «технический перерыв»
На самом деле это не проблема Сбера как такового. закрытие суточной смены даже в обычной кассе тоже вызывает 'технический перерыв на 15 минут' в любом магазинеWhuthering
03.10.2019 16:51+1Не, объявления были именно вида «с 0:00 до 0:15 оплата по картам не принимается», при этом кэшем — без проблем. И именно на тех точках, где стояли терминалы Сбера.
JerleShannara
03.10.2019 17:08Никогда на такое не натыкался, лет восемь уж точно (до этого тупо оффлайн картами не пользовался).
DMGarikk
03.10.2019 17:14ну я частенько натыкался на 'пересменку' на разных заправках, которая длилась 15 минут (когда вообще не заправляют), судя по всему её обычно сочетают с закрытием смены эквайринга, а в вашем случае они разнесены во времени
foxcode85
03.10.2019 16:09+2Я немного не о том. Например у Сбера неоднократные утечки за пару лет, тогда как про Райфайзен например я ничего не слышал, хотя банк крупный и если бы что-то было, то в Сети новости были.
Areso
03.10.2019 16:47+2То есть Сбер настолько продвинутый банк, что его продвинутость в очередной раз не помогла найти ему у меня карты? Пока я карту не достал и не продиктовал ее номер, они упорно ничего найти не могли. Заканчивался 2019, а Сбербанк, кхм, оставался Сбербанком. И да, мне уже дважды проводили процедуру слияния профилей, но, видимо, не помогает.
И все это в пределах одного региона!DMGarikk
03.10.2019 16:51И все это в пределах одного региона!
какого?
p.s. например мало кто знает что Москва и Моск.область — разные СбербанкиAreso
03.10.2019 17:07+2Хорошо, повысим уровень сложности, это всё происходило в пределах одного города.
vis_inet
03.10.2019 20:20Интересно, что им мешало за столько лет слиться уже в один банк?
Wedmer
03.10.2019 20:39Раньше каждое отделение было отдельным банком. Так что работа по консолидации проведена не малая. Слить 19 крупных банков — не самое простое мероприятие. Возможно на этом остановились по каким то еще причинам. Если очень интересно, попробуйте спросить у поддежки или написать напрямую Грефу (если это возможно).
dimm_ddr
04.10.2019 10:05В распределенности есть свои плюсы — проще оценивать всяческие показатели, меньше затраты на управление в центральном отделении. Но есть и минусы вроде проблем синхронизации. На самом деле там конечно все намного сложнее, это так, абстрактные примеры, но суть в том что возможно выгоды такой децентрализации перевешивают возмущение пользователей вроде вас. Хотя конечно может быть что это просто инерционность, бюрократия и просто непрофессионализм людей на ключевых (для этого процесса) должностях.
vis_inet
04.10.2019 10:08Аргументы понятные…
Но, с другой стороны — разве есть в РФ ещё хоть один банк, который на самом деле не один, а состоит из нескольких отдельных?
spc
03.10.2019 12:31Кстати, сторонний воспрос. Бандитов мы уже обсудили. А как насчет государства? Налоговая, к примеру, теперь сможет невозбранно прошерстить потенциальных налогоплательщиков, воспользовавшись тем, что данные уже утекли, и не задавая банку 18 млн. вопросов по каждому отдельно?
Dima_dd
03.10.2019 12:38+3мне кажется у налоговой и так отдельные доступ в их базу есть
spc
03.10.2019 12:45Прямо сквозной? Захотел и посмотрел, без бюрократии?
asmolenskiy
03.10.2019 12:53А им нафиг не надо шерстить всех подряд. А по конкретному человеку для них прозрачен любой банк в РФ. А в скорости будет и любой банк в 80 странах, когда заработает система автоматического обмена банковской и налоговой информацией.
О любом движении денег суммой свыше 600к рублей, будь то открытие счета или перевод — налоговая узнает автоматически. Причем они даже умеют понимать когда Вы бьете такую транзакцию на несколько меньшего размера.
Dima_dd
03.10.2019 13:01думаю прямой, и не ограничен readonly
asmolenskiy
03.10.2019 13:06не прямой, по запросу — но они же никуда не торопятся
когда Вам финмониторинг за подозрительную операцию заблокирует все счета и карты — Вы ж сами придете разбираться )
и запросы сами будете в банк носить из налоговой если приспичит )Dima_dd
03.10.2019 13:13схема такая, когда им нужно, то все и сразу быстро и напрямую, когда тебе нужно то иди за бумажкой.
asmolenskiy
03.10.2019 13:18Ну понятно что запросы они не почтой России отправляют.
Налоговая не может сделать
select * from bank_database )
Должен быть мотивированный запрос — но это конечно не проблема и делается оперативно.atbuhw
03.10.2019 14:23+2Сомневаюсь. Это явное нарушение субординации. По неофициальным законам, налоговая гораздо главнее, чем какие-то там банки, даже чем сбербанк. Это ниже их, налоговой, достоинства — писать какие-то мотивировки, которые ещё и сбербанк недостаточно мотивированными (теоретически) может назвать.
balamutang
03.10.2019 18:02При их масштабах таких понятий «выше-ниже достоинства» нет.
Это просто две машины или если угодно — два сервиса, которые обмениваются информацией по некоему регламентированному протоколу.atbuhw
03.10.2019 18:08+2При их масштабах главное — власть, причём не ограничиваемая какими-то общими инструкциями, а только желаниями вышестоящего начальства.
balamutang
04.10.2019 10:40Власть у нас в стране сами знаете у кого, а остальным дают только минимум возможностей влияния, который нужен им для осуществления функций. А за превышение полномочий антагонисты им быстро полную панамку напихают, причем не выходя за рамки закона.
atbuhw
04.10.2019 15:32Могу сказать только одно: свита делает короля.
Подробнее: ни один правитель не может править полностью единолично, ему всегда нужна группа сторонников. Это не означает, что любой правитель является «выбором народа» или обладает широкой народной поддержкой, его свита в принципе может быть и абсолютным меньшинством населения, интересы которого противоречат интересам большинства («антинародное правительство»), и высоких моральных качеств у этих людей тоже никто не гарантирует («власть сил зла»), но эта группа поддержки должна быть.
И правитель вынужден хоть как-то делиться с этой свитой своей властью (пусть даже и имея возможность отменить любые их решения), иначе группе поддержки незачем правителя поддерживать.
atbuhw
03.10.2019 14:18+2в ней отсутствуют коды CVV
Для CVV есть всего тысяча возможностей.
каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
(Как правило), 3dsecure проверяется (если проверяется вообще, зависит от продавца, а не от банка, об этом писали выше) только после правильного ввода CVV. А sim-карту несложно перевыпустить за взятку, об этом был пост несколько дней назад: habr.com/ru/post/468909
Таким образом, работоспособна следюущая схема атаки:
1. покупаем строчки по одной, рандомно вводим, скажем, три разных CVV на трёх сайтах (3 — грубо, но много вводить опасно, могут заметить подозрительную активность на конкретной карте). Однажды нам повезёт, математическое ожидание потраченных к этому времени денег 5*1000/3=1666 руб.
2. Идём в офис мобильного оператора, даём взятку, получаем sim.
3. Покупаем что угодно в каких угодно магазинах или развиваем схему дальше, насколько фантазии хватит.asmolenskiy
03.10.2019 14:37А sim-карту несложно перевыпустить за взятку
Скорее всего после этого придется звонить в банк, сообщать кодовое слово, паспортные данные и номера карт. Они вяжутся не к номеру телефона, а к какому-то идентификатору сим карты.
1. покупаем строчки по одной, рандомно вводим, скажем, три разных CVV на трёх сайтах (3 — грубо, но много вводить опасно, могут заметить подозрительную активность на конкретной карте).
Ну Вы же догадались что так можно. Почему думаете что инфобез который пишет роботов не догадался?atbuhw
03.10.2019 14:40Скорее всего после этого придется звонить в банк
В том же посте писали, что это не всегда так + упоминали другие уязвимости sms.
Почему думаете что инфобез который пишет роботов не догадался?
Допустим, догадался. Что он дальше делать будет?asmolenskiy
03.10.2019 14:41Ну… возможно — я тут говорю не как эксперт, а как человек который перевыпускал симки. У меня после этого всегда отваливается интернет-банк.
pyrk2142
03.10.2019 14:46Ну Вы же догадались что так можно. Почему думаете что инфобез который пишет роботов не догадался?
Очень хорошо помню, как инфобез кучи банков успешно сливал (и сливает в части банков все еще) данные клиентов через системы IVR. Как минимум в одном банке люди просто офигели от того, что при звонке номер телефона можно подменять. Они полгода пытались убедить меня, что это невозможно, а я показывал видео того, как это происходит. И это довольно простая проблема, не требующая особых знаний и ума. Не думаю, что безопасники этих банков так протупили в одном, но очень хорошо проработали другие проблемы.asmolenskiy
03.10.2019 14:52Ну дыры латаются по мере обнаружения.
CVV и пинкоды стопудово пытались брутфорсить и не раз.atbuhw
03.10.2019 15:07+1Одно дело брутфорсить CVV к одной карте, а другое — к сотням разных, на разных сайтах.
oldbie
03.10.2019 20:15Скорее всего после этого придется звонить в банк, сообщать кодовое слово, паспортные данные и номера карт. Они вяжутся не к номеру телефона, а к какому-то идентификатору сим карты.
А как это работает, через моб. приложение? Но если телефон кнопочный мобильный банк все равно ведь должен работать.Naves
04.10.2019 09:31Вот эту ветку почитайте habr.com/en/post/468909/#comment_20673895
А что за кодовое слово, про которое все пишут? Никакого слова нигде не указывал и не говорил, кроме получения симки от мтс 10 лет назад. Да и его уже не спрашивают.
Squoworode
04.10.2019 22:28А что за кодовое слово, про которое все пишут?
Ну так пароль для голосового общения по телефону же. В Росбанке спрашивают.
Заголовок спойлераМне стыдно за моё кодовое слово каждый раз, когда приходится называть его.Naves
05.10.2019 00:29Странно, вроде все пишут, что и в сбере есть, у меня нету, я вопасносте.
Интересно какой процент клиентов делает такие слова.
А вообще habr.com/post/460163/#comment_20396237
JerleShannara
03.10.2019 15:01Уже на первом пункте владелец карты (если у него включено всякое 6д сэкурити и смс информирование) получает смс вида «SHIZA-1505: Pokupka Sexshop musoxransk na 666 RUB OTMENENA»
atbuhw
03.10.2019 15:04Сбер действительно присылает такие sms при неверном вводе CVV? Я со сбером дел не имел, мой банк такого не присылает.
JerleShannara
03.10.2019 15:38Мне такое приходило, когда я в состоянии близкому к алкогольной коме, пытался купить билеты на концерт. Оно так ругалось при условии ( is_valid(CARD_NUM) && invalid_any_of(NAME, CVC, DATE) )
atbuhw
03.10.2019 15:45Ну ok, тогда имеем race condition «я это прочитаю и заблокирую карту быстрее, чем злоумышленники провернут эту схему».
dimm_ddr
03.10.2019 16:01+1Такую гонку обычный человек проиграет в 999 случаев из 1000 я подозреваю. И это еще очень оптимистичная оценка. А если взять конкретно текущий случай когда известно в каком часовом поясе человек зарегистрирован, то шансы уменьшаются еще на порядок-два.
JerleShannara
03.10.2019 17:12У меня на СМС стоит довольно громкий звук, чтобы было слышно, когда что-то где-то рухнет. И при учёте того, что вам надо будет перебрать около 500 вариантов — вы меня даже из запоя разбудить сможете. Плюс на такое уже точно сработает антифрод. Ну не, со мной такое точно не прокатит, если мою SIM-ку только не уведут через тупую овцу в ОПСОСной будке где-то под Мусохранском. Очень фиговая гонка получается.
atbuhw
03.10.2019 18:07Так мой сценарий не предполагает, что вас будут пробовать 500 раз. Попробуют 3 раза, если 3 раза отлуп, платим ещё 5 рублей и пробуем следующую карту.
DMGarikk
03.10.2019 16:27Оно так ругалось при условии ( is_valid(CARD_NUM) && invalid_any_of(NAME, CVC, DATE) )
name маловероятно что было в этом условии, это поле давно перестало быть обязательнымJerleShannara
03.10.2019 17:12Попробуйте оплатить именной картой сбера, введя в NAME мусор или оставив пустым — получите отлуп.
Greenoctopus
04.10.2019 11:21NAME же вроде как не проверяется, часто пишу рандомные буквы и ни разу платёж не заворачивали по данной причине
Mogwaika
04.10.2019 11:24А возврат нормально работатет с таким?
Greenoctopus
04.10.2019 11:26Возврат не проверял, но у меня сложилось впечатление, что NAME и billing address в России не используются
hippohood
07.10.2019 09:24И вне России если что-то из этого и используется для идентификации то только индекс. Адрес и имя используются только чтобы различить того кто оплачивает и кто получает товар/услугу, когда-то было очень важно для возврата НДС, сейчас уже нет. Вообще, мне кажется что эти поля просто дублируют функционал бумажного чека
Emulyator
03.10.2019 14:50Две мысли-шутки по сабжу:
1) Вопрос защиты персональных данных забавный: хранят все кому не лень, работодатели, банки, больницы, провайдеры, операторы связи, компании жкх, куча госструктур и т.д… Кто-то 1 раз не защитил, и уже как бы смысла нет защищать скомпрометированные данные остальным, ведь массовых смен ФИО, адресов и т.п. организовать нереально. Зачем охранять то, что уже украдено?
2) Общепринято считать, что любые базы и так гуляют на черном рынке, и жулики имеют к ним доступ, потому в рамках концепции «борьба путем легализации», предлагаю пресечь незаконный оборот, или там уравнять в возможностях жуликов и обычных людей, а именно сделать доступными базы для законопослушных граждан. )Areskoi
03.10.2019 20:52По п.2: утекшими данными пользуются не только жулики, но и силовики в обход своих обычных долгих и забюрократизированных процедур, даже продают доступ к этой системе третьим лицам. Интересующиеся могут нагуглить статью «Максимальное количество компромата на всех». Так что только законопослушные граждане и не пользуются этими данными, а все остальные — во всю.
JackRowsen
03.10.2019 21:06«Спрут», «Солярис» и МЦЭБ. Вот ими и пользуются, да.
Отчасти еще Кроинформ.
А насчет того что выплыла база в продажу, скорее всего косяк заказчика был. Не сошлись в итоге в деньгах в оплату инсайдеру.
Одно могу точно сказать — в паблики она не попадет да и до «преступных элементов» вряд ли дойдет (ну нет у них столько бабла разово ;))
Не первый, да и не последний раз. Были и более масштабные утечки, но кто слышал-то о них?
dubakov
03.10.2019 15:20ФИО и паспортных данных достаточно для кредитования в МФО
balamutang
03.10.2019 18:09В МФО тоже не дураки сидят, им эти кредиты еще и вернуть надо, а не просто обменять на рандомные ПД.
Сканов паспортов полон интернет, почему тысячи мошенников еще не озолотились в МФО? :)dubakov
04.10.2019 07:40Это мой личный опыт. habr.com/ru/post/465209/#comment_20564061 pikabu.ru/story/internetmikrozaymyi_ili_kak_ya_popal_na_200_kuskov_5489190
pikabu.ru/story/internet_mikrozaymyi_i_200_kuskov_chast_2ya_5505962
На меня взяли несколько кредитов в различных городах, где я никогда не был. Через интернет. Иркутск, Москва, Новосибирск. Я живу в Перми. Потом были коллекторы, ФССП, испорченая кредитная история, милиция прокуратура.
Я не один такой. Это массовая проблема. Думаю тысячи мошенников таки озолотились.
Палю схему.
1. Открываешь МФО.
2. Вешаешь кучу кредитов на незнакомых людей, которых в жизни не видел, никому 3. ничего не выдавая. (кстати хороший вариант отмыва денег от налогов)
3. Через ФССП списываешь деньги со счетов жертв.
4. Продаёшь долги коллекторам за 10% стоимости. (помним, что вложил примерно 0)
5…
6 Profit.dimm_ddr
04.10.2019 10:10Подозреваю что в реальной жизни для открытия МФО нужно пройти через бюрократический ад, который совсем не бесплатен. И что таких мошенников налоговая ловит на раз — они кровно заинтересованы в этом и схема реально примитивная. Так что для открытия МФО по вашей схеме начальные вложения будут совсем не 0 я подозреваю. Там наверняка придется заносить в n-е количество кабинетов и возможно не по разу.
dubakov
04.10.2019 11:26Ну заносить/выносить это всё дело десятое. По факту, работает. Наберите в яндексе займ онлайн.
aragon_sp
03.10.2019 15:57Судя по составу столбцов, это утекло не из WAY4 а сформировано запросом из системы «IMPERVA SecureSphere».
Можно погуглить, что это, и кто ей пользуется.
alnr
03.10.2019 19:36Может, нужно сделать компы без доступа в инет и убрать usb порты у тех сотрудников, которые работают с базой? Это как минимум, как максимум сделать систему безопасности на подобие системы AЭС. Максимальный ущерб от такого банка может быть сравним или больше с утечкой радиации АЭС.
taliano
03.10.2019 22:14Ну хорошо. Выключаем все роутеры в конторе. Пломбируем все физические порты. Изымаем на входе мобилки с камерой. А что делать с теми сотрудниками, которые могут увидеть содержимое базы, запомнить данные и потом по-памяти записать дамп базы?
vis_inet
04.10.2019 07:04Много вы знаете людей могущих запоминать мегабайтные дампы? )
hippohood
07.10.2019 09:41Можно выводить дамп на экран, скроллить и снимать камерой с последующим распознаванием видео потока. Можно скроллить не текстовый результат, а бинарник какой-нибудь (zip архив этого текста, например — так раз в 100 быстрее будет). Конечно, по-любому надо иметь договорённость с местным секьюрити, но куда без этого.
А вообще, глупости все это. Гораздо выгоднее и безопаснее пробивать отдельных лиц или операции. Если не наглеть, то надо совсем чуть чуть фантазии чтобы искомые данные оказались в "тестовой" выборке. А результаты такого исследования и запомнить можно.
balamutang
04.10.2019 10:56Дык оно так и сделано. Тут или аутсорсер какой-то постарался или бэкап тиснули.
Sergey6661313
03.10.2019 20:02+2не ужели так сложно было создать систему чтобы при любой выгрузке базы — в эту базу попадала бы фейковая запись с несуществующей кредитной картой номер которой идентифицировал бы компьютер с которого произошла выгрузка?
SeVlaT
04.10.2019 04:59Я сбербанком пользуюсь вынужденно, так как только на их карту перечисляются социальные выплаты. Недавно истек срок прежней карты, пошел получать новую. Узнал много нового.
Есть только два варианта активации новой карты:
- Отдать операционисту мобильный телефон, он сам там все настроит и активирует карту.
- Операционист заходит в сбербанк-онлайн со своего компа (в эккаунт клиента) и там активирует карту. Для этого, клиент должен сообщить ему секретный код из СМС.
Я подумал, что это самодеятельность или безграмотность данной операционистки и попросил позвать начальника. Пришла начальница отделения, все подтвердила.
ПИН-код от старой карты я не помнил, и полагал, что с новой картой мне дадут новый пин-конверт, или дадут возможность установить новый код.
Фиг! Оказалось, что новая карта имеет прежний пин-код. На вопрос, как я могу узнать/поменять потерянный пин-код, операционистка и ее начальница, на полном серьезе, предложили попробовать подобрать его в банкомате, делая не более трех попыток в сутки. Других способов восстановить доступ к карте, по их словам, нет. Перевыпуск карты не поможет, так как пин-код останется прежним.
Неудивительно, что у них стырили базу.
paskelas
04.10.2019 09:08Сбербанком пользуются вынужденно очень многие.
Также недавно истек срок карты, ходил за новой. Причем второй раз перевыпускали. Вопрос активации не возник. Зашел в отделение, подождал, получил саму карту (пин-кода также не дали). На активации никто не настаивал.
Через несколько часов пришла смс что карта активирована.
Еще случай. Жена в другом(!) городе забыла пин-код ( с этими всякими пэйпассами немудрено). Далее с паспортом в ближайшее отделение, смена пин-кода. Я, честно, не знал, что такое возможно, да еще и в другом регионе.
Вместо вывода. У сбера или ПО на станциях отличается, или уровень компетентности сотрудников. Байку «где карту брали туда и идите с ней» сам несколько раз слышал.Squoworode
04.10.2019 22:32Байку «где карту брали туда и идите с ней»
Байка, не байка — а лет двадцать назад все операции со счётом можно было провести только в том отделении, где он был открыт.
YMA
04.10.2019 10:00Что-то странное. Активацию карты можно сделать и самому — засунуть в УС и провести любую операцию со вводом пина, хоть баланс посмотреть. Пин меняется в любом отделении при личной явке клиента с паспортом.
Видимо, политика Сбера по удешевлению сотрудников дает свои результаты. Тушканчики орехи собирают так себе, зато совы с премией…Mogwaika
04.10.2019 10:45Альфа не умеет активировать карту в банкомате, т.к. надо сначала установить пинкод, а сделать это можно только на их айфончике, который стоит у входа…
dimm_ddr
04.10.2019 10:12Мне кажется вам попалось отделение с ленивыми либо совершенно некомпетентными сотрудниками. Я не пользуюсь сбербанком больше двух лет уже, но когда пользовался я и карту менял и пинкод восстанавливал и все это делалось совершенно адекватным образом.
SeVlaT
04.10.2019 11:05Мне кажется вам попалось отделение с ленивыми либо совершенно некомпетентными сотрудниками
Возможно, мне действительно попалось особенное отделение. Но ходить по разным отделениям, изучать их порядки и выбирать наилучшее отделение, мне лень.
Я бываю в сбербанке раз в три года — продлеваю свою единственную карточку. Приблизительно, в одном и том же отделении (оно на Дмитровской, но адреса меняются). Не помню, чтобы в прошлые разы было такое безобразие.
playermet
04.10.2019 19:20Неудивительно, что у них стырили базу.
Кто-то очень упорный пытался найти свой забытый пинкод. :)
Bsplesk
05.10.2019 00:05Если это правда, то уже «завтра»/(после попадания в public) можно купить «пол» amazon.
Тут потребуется блокировка и перевыпуск всех карт для начала.
ck80
05.10.2019 11:48Написал в Сбер по поводу перевыпуска карты, мне ответили: «По вашей карте утечки не было. В замене карты нет необходимости»
KonkovVladimir
06.10.2019 06:59По информации кредитной организации, им стал сотрудник банка 1991 года рождения, «руководитель сектора в одном из бизнес-подразделении? банка». Банк утверждает, что у работника был доступ к базам данных клиентов в связи со своими обязанностями, и что он пытался украсть информацию о клиентах «в корыстных целях».
Виновному в утечке данных клиентов сотруднику Сбербанка грозит уголовная ответственность. Об этом заявил глава Сбербанка Герман Греф в программе «Вести в 20:00» на телеканале «Россия 1».
За данные каждой карты специалист просил пять рублей, пояснил глава банка. Греф назвал мотив сотрудника корыстным, а его поступок — «внутренним предательством».
Глава банка отказался раскрывать подробности, заявив, что это дело правоохранительных органов и суда. Также Греф добавил, что все 200 карт клиентов уже были перевыпущены.
200 карт умножаем на 5 рублей — трудно назвать эту сумму мотивом для совершения преступления. Что серьезно ради 1000 рублей сотрудник сбербанка пошел на преступления?JackRowsen
06.10.2019 14:41Да-да-да…
А как массово везде форсятся эти 200 карт (это при том что в паблик-примере 331 карта была).
Лишь бы отмазаться от этих 60кк записей.
ЗЫ: по последним неслухам сделку закрыли за 92 битка
ShIvADeSt
Даже если там нет CVV кода и каждая операция подтверждается СМСкой, то с помощью этой базы можно таких дел наворотись. Если с мест не столь отдаленных с гораздо меньшим количеством данных уговаривают людей перевести деньги злоумышленникам, то имея данные карты и прочую инфу таких разводов будет в разы больше.
Mes
Ещё можно лично встретиться и уговорить так
BasilioCat
Если там есть данные об остатках на счетах, то к особо состоятельным клиентам могут действительно заглянуть в квартиру. Возможно, они не все деньги в банке хранят.
Mes
Странно, что заминусовали. Такая утечка -это кладезь для злоумышленников. Можно составить список потенциальных жертв.
balexa
Особо состоятельных клиентов видно и без этого. Пройдитесь по парковке, найдите владельцев машин премиум-класса, едьте за ними. Время Корейкиных давно прошло.
Whuthering
У «особо состоятельных» клиентов с премиум-автомобилями могут быть особые связи и возможности, и иметь дело с ними — это точно так же особый вид деятельности, как для банков, так и для жуликов.
А вот «слесарь с завода с зарплатой 50 тысяч» и «IT-специалист международной компании с зарплатой 200 тысяч» внешне могут ничем особо не отличаться и не выделяться (и тот и тот ездит на форд фокусе, просто первый купил его в кредит, а второй за кэш), и интерес для жуликов будут представлять очень разный.
balexa
Ну в таком случае можно встать у офиса этой международной компании и отлавливать программистов на выходе. Мне эта атака кажется весьма надуманной.
Я хочу сказать, что вероятность того, что программист с зарплатой 200к и банковским счетом на пару миллионов хранит еще миллион под подушкой, не больше чем вероятность того, что этот миллион под подушкой есть у человека с айфоном на чорном жипе. Пока вроде за владельцами айфонов не охотятся
Whuthering
«Отлавливать» все-таки большой геморрой — надо реально садиться на хвост, сразу попадать в подъезд чтобы узнать квартиру, и т.д. Долго, муторно, ненадежно. А в онлайне есть сразу все данные на блюдечке с голубой каемочкой.
pyrk2142
Отдельный вопрос в том, что при наличии желания и мотивации злоумышленники могут из толпы айтишников с зарплатами в 300кк в наносекунду выбирать людей с сомнительными операциями (начиная от относительно табуированных случаев оплаты услуг психиатров, наркологов и дерматологов, заканчивая гораздо более спорными покупками в гей-барах, гей-сайтах, борделях (сам удивился, когда узнал, что есть бордели, принимающие карты, плюс прямые переводы проституткам), сервисах «для взрослых» и других вещах, о которых большая часть людей не хотела бы рассказывать всем). Довольно много людей готовы сами принести деньги, чтобы об их «грехах» никто не узнал (особенно, если это может повлиять на работу/семейную жизнь). А тут такой «подарок» для анализа и эксплуатации.
Meklon
Стоп. История транзакций тоже утекла?
pyrk2142
Если я правильно понимаю эту строчку из новости
то операции — это история транзакций (хотя не особо удивлюсь, если под операциями подразумевались блокировки/разблокировки/выдача карты, но это было бы немного странно).WhiteBlackGoose
"Здравствуйте, вы переводили 1000 рублей Ивану один месяц назад?" — когда это окажется верным, часть клиентов охотно согласится сообщить все, что потребуется
brzsmg
Нет, война бы началась. Только балансы.
JC_IIB
Я как-то натыкался на фотку объявления в секс-шопе — "в истории транзакций мы — книжный магазин" :)
Что же касается борделей… ну, я знаю человека, который таковой посетил (у нас легально). И таки да, в истории транзакций там что-то невинное совсем, мы спецом потом проверили, любопытно же.
pyrk2142
Это вполне ожидаемо, вряд ли бордель будет идти в истории операций как "*BLOWJOB ANNA'S CLUB, BEST DEEPTHROAT MOSCOW*", более того, на такие операции я бы не обращал внимание, скорее всего, «жертва» мошенников в ответ на предложение отправить денег, чтобы не узнали коллеги, скажет, что они сходили вместе с коллегами и получили корпоративную скидку. Будь я злоумышленником, я бы специально искал по «нормальным» названиям транзакций, даже бы подумал о том, чтобы сходить самому или попросить «коллег» в клуб, бордель или заказать что-то, чтобы найти эти названия и по ним искать.
ArsenAbakarov
А я вот слышал историю как один прораб обычной фирмы купил себе крузак в кредит, живя при этом на съемной квартире с женой и детьми, на вопросы от друзуй «а на… я?» он сказал, чтобы быть представительным на объекте. Так что машина премиум-класса — вовсе не показатель
Wolches
Внедорожник на стройке не самая плохая идея так-то.
zetroot
Ну да, крузак мог быть восьмидесятым. Для стройки отличный говнолаз!
juray
Так кредитные ж карты, там обычно сальдо не больше лимита. А лимит больше у тех, кто активнее пользуется кредитными средствами (по слухам — и чаще вылетает за грейс-период).
Хотя, конечно, кто-то может их как дебетовые использовать, зачисляя туда свои средства и не пользуясь заемными. Но это менее удобно, чем дебетовки — сложнее отслеживать, сколько осталось своих (надо вычитать кредитный лимит), не снимешь наличку без комиссии и т.п, так что такое использование должно быть не очень распространенным.
Ну и еще возможен вариант, что дебетовки тоже посчитали, как разновидность кредиток.
DMGarikk
свои деньги с кредитки без комиссии снимать можно (во всяком случае ниразу не видел обратного)
а вообще в РФ это распространено (использование кредиток с нулевым лимитом как дебетовок), чтобы народ не грузить различиями типов карт когда за границу люди уезжают и попадают в тупик когда нельзя расплатиться например на заправке дебетовой картой тупо потому что там только кредитки работают… или в гостиницах не получается забронировать номер по этой причине.
Этож у нас придумали в свое время фокус, чтобы в интернете платить картами класса электрон — показывая её в систему как классик, а по факту выпуская неэмбоссированный электрон
Dolios
Деньги банка тоже можно (в Альфе, например).
Так можно же спокойно расплатиться российской «дебетовкой».
Fuzzyjammer
При этом, что интересно, на старых кредитных продуктах у Альфы, где не было беспроцентного снятия налички с кредитки, снятие своих собственных средств с кредитной карты (т.е. если при погашении положил больше, чем задолженность) всё равно происходило с комиссией.
DMGarikk
потому что она зачастую кредитка с точки зрения МПС, не дебетовка.
Я же говорю, у нас специально так делают чтобы проблем поменьше от клиентов прилетало которые не понимают различия между карт… например мало кто скажет вменяемо чем электрон от классика отличается (мне тут оператор в сбере выдал что электроном за границей нельзя платить… ага, конечно)
с кредитки? да ладно? вы не путаете дебетовку на которую перевели «кредит наличными» с именно «кредитной» картой?
Dolios
Ну, уровень финансовой грамотности у народа низкий, тут соглашусь.
И я ничего не путаю.
DMGarikk
действительно так, и кстати там в условиях есть ловушка
снятие без комиссии применимо для карт кроме unembossed, а учитывая что 'карту доставим на следующий день' — то судя по всему именно такую и доставят, а там 7%
Dolios
Это с чего вы такое взяли? Альфа обычные карты за день делает.
Oleg_Dolbik
Альфа, Одинцово. Года полтора назад… Для родителей друзья приехали, сдали документы, в понедельник, получили уверение что все нормально, к концу недели приезжайте за картой. В пятницу друзья позвонили с вопросом — что? Ответ — готово, приезжайте. Через два часа беготни девушек по внутренним кабинетам ответ — не можем выдать… ??????? А в понедельник не могли сказать? А три часа назад не могли сказать, дабы к вам не ехать? Извините, однако… Альфа, такая альфа…
Dolios
Делать далеко идущие выводы по 1 случаю неудачного опыта. Комментаторы такие комментаторы...
Oleg_Dolbik
Естественно по одному… Больше с таким сервисом связываться нет охоты… И вот эта позиция — «подумаешь, ну раз подставили, тоже мне проблемы» — не совсем правильная, на мой взгляд…
Dolios
У меня нет такой позиции. Я клиент банка почти 15 лет и ни разу ни с чем подобным не сталкивался. А вы просто вляпались в проблему локального офиса и сделали вывод обо всем банке.
Плохо, что в вашем офисе это случилось, но выводы вы неправильные сделали.
Eagle_NN
Была история у меня с Альфой. На карте имя не верно написали. Я, когда пришел карту получать, это дело просек. Девушка сказала — не вопрос, сейчас перевыпустим. Перевыпуск пластика занял минут 15 примерно. С правильным именем на нем. Так что для альфы это давно не проблема.
JC_IIB
Погодите, я правильно вас понял — вам дали пластик с неверным именем, вы указали им на ошибку и вам через 15 минут вынесли карту с именем верным? Я просто не в курсе, как это работает, но всегда думал, что у них какой-то центр печати карт есть, откуда готовые карты расползаются по банкам.
Eagle_NN
Да. Именно так и было. Печатают карты, как я понял, прямо в офисе банка. Возможно не во всех, но в крупных точно.
DrPass
Именно так и есть. Вероятно, Eagle_NN повезло обслуживаться в отделении, в здании которого как раз банк и разместил оборудование для персонализации, только и всего. Обычно таких центров даже у крупных банков несколько штук на всю страну. А мелкие вообще своих не имеют, заказывают персонализацию «на стороне». Ну или как вариант (не знаю насчет Альфы), карты они инициализируют в таких центрах, рассылают на отделения, а там уже на термопринтере впечатывают ФИО (фамилия же была неэмбоссированная, верно?) и привязывают к счету.
Eagle_NN
Карта вполне себе эмбоссированная.
Вообще, судя по площади отделения там не то чтобы много места.
Думаю соответствующие аппараты уже дошли до размеров влезающих в обычную небольшую комнату.
P.S. Поискал информацию в Google. Эмбоссеры по размерам как обычный принтер, и ценники от 70 до 700 тыс. Не вижу причин не держать такое оборудование в крупных отделениях банков. Логистика доставки карт из другого отделения может встать дороже.
DMGarikk
проблема не в физических размерах, а в уровне защиты помещения и особенностей организации каналов связи с эмбоссерной, которая не должна иметь прямых подключений к интернету
p.s. видно придумали какойто обходной путь
DrPass
Но какая для МПС разница, кредитка она, или дебетовка с нулевым кредитным лимитом? Авторизацию карты же не МПС производит, а банк-эмитент. Это ведь он решает, разрешать проводить операцию или нет, а не условная заправка. Единственное, на что посмотрит МПС — это на сервискод карты. Если там, например, указано, что карта domestic, тогда действительно пошлёт лесом. Ну и просто могут быть ограничения, например, по BIN'у карты.
DMGarikk
Большая, это ведь МПС придумало кучу типов карт Visa Electron/Classic/Debit(в РФ таких нет) которые какраз различаются такими штуками
некотрые типы карт (кредитки) разрешают холд, превышающий сумму на счете, а некоторые (настоящие дебетовки) нет.
например вы положили на карту 10000р и сразу расплатились в магазине, по факту у вас технический овердрафт. потому что деньги могут попасть на счет в течении 30 дней после прохождения операции в банкомате хотя вы видите положительный остаток на карте, тоесть за вас платит банк, фактически выдавая вам кредит… сбер кстати часто раньше грешил штрафами по 10-15 рублей за перелимит на картах где никогда не бывало минусов (и возвращал их если пожаловаться)
тоесть получается так
вы делаете так:
1) пополнение 10к
2) оплата 10к
а получается
1) пополнение 10к (на счете по факту 0)
2) оплачиваете 10к в магазине (на счете по факту -10к)
3) через 2-3 дня приходят деньги из банкомата (на счете 0)
в промежутке 1-3 у вас технический овердрафт, который позволяют только кредитки
p.s. так или иначе эта проблема решается с дебетовками (сбер например вручную отключает штрафы) но проблем с ними больше
карты сильно сложнее чем кажется на первый взгляд, просто в РФ их слишком мало видов исторически эксплуатировалось
atbuhw
Не совсем так. В момент, когда мы расплачиваемся в магазине, магазин делает авторизацию, и если банк отвечает положительно, сумма на счёте блокируется. А если отрицательно, то магазин скажет «платёж не проходит» и не выдаст товар.
Настоящее списание происходит только через пару дней, и банки (как минимум не очень плохие) начинают считать кредит/овердрафт именно с этого момента. А в конкретном примере — только если фактическое зачисление из банкомата не произойдёт до этого момента, и это маловероятно на практике, поскольку внутри банка (между банкоматом и счетами) информация и деньги передаются быстрее, чем между банком и магазином (точнее, банком, обслуживающим платежи по картам для этого магазина).
DMGarikk
30 дней регламентный срок на транзакцию
А если взять не банкомат, а перевод через c2c где сроки могут быть сильно больше.
так в том и дело, что чтобы заблокировать деньги на счету дебетовой карты — они там должны быть фактически, на кредитной карте — не обязательно.
и ещё раз, решает не только банк, но и платежная система. почитайте всётаки как разные карты устроены. например amex позволяет проводить операции без проверки лимита вообще
atbuhw
Может быть это и так, но я не говорю «невозможно». я говорю «маловероятно». Обычно деньги и информация между банком и банкоматом передаются быстро, и этот 30-дневный срок используется (очень далеко) не до конца.
Это не всегда правда, в том числе с «настоящими» дебетовыми картами (visa debit/maestro) в Европе и Америке, проверял лично. Как только деньги попали на дебетовую карту через банкомат или через кассира, их уже можно блокировать, даже до фактического зачисления.
DMGarikk
банки так или иначе придумывают всякие фокусы чтобы упростить жизнь клиентам. (повторюсь, также как российские банки показывали в электроны как классики чтобы ими можно было в интернете платить, хотя МПС на тот момент такого не позволяла)
ну вы что хотите мне доказать? мы же имеем реальный факт что карты различаются и способы их приема тоже различаются я примерно описал причины почему так происходит.
A114n
У ВТБ нельзя, например.
DMGarikk
Специально посмотрел тариф кредитной мультикарты, снятие собственных средств в банкоматах ВТБ — без комиссии
A114n
Они также съели Банк Москвы, по кредиткам Банка Москвы условия жёстче.
Видимо для своих карт они это исправили.
El_Kraken_Feliz
Недавно снимал через кассу — комиссий не было.
sumanai
Серьёзно существует такая фигня? И как это распознать?
Dolios
Это не надо распознавать. За границей все наши карты кредитные.
sumanai
Я к тому, что если всё таки умотаю, то такая неожиданность будет неприятной. Не кредитку же брать, оно мне не нужно.
Dolios
Вы читать умеете? Все наши карты, даже те, что называются дебетовыми, на самом деле кредитные. Просто на "дебетовых" установлен кредитный лимит 0р.
sumanai
Ещё раз. Если я перееду за границу, то у меня будет их дебетовая карта. Что не понятно то?
Dolios
Если вы переедете за границу, у вас и кредитная карта будет, т.к. вам нужно будет свой кредитный рейтинг поднимать. И оплата дебетовкой почти всегда возможна, просто наша карта не пройдет, если при оплате выбрать дебетовую.
sumanai
А что, на западе никак без кредитов жить нельзя? Просто я человек старой закалки, привык жить на свои.
Dolios
Жить на свои != не пользоваться кредитными продуктами. Это ортогональные понятия.
sumanai
Я так не считаю. Для меня все эти грейс-периоды и прочие кешбеки ненужная фигня.
DMGarikk
Кредитная история на западе это некий рейтинг добропорядочности человека, и им во многих сферах пользуются.
dimm_ddr
Смотря где. Про США рассказывают что кредитный рейтинг — чуть ли не самая важная цифра. В Европе и конкретно в Финляндии где я сейчас живу я о нем даже не слышал чтобы кто-то упоминал. При этом у меня есть знакомые которые брали здесь в ипотеку дом при этом не беря перед этим кредитов чтобы набрать рейтинг — то есть жить без кредитов можно совершенно нормально.
dimm_ddr
Если вы переедете, то вам все равно нужно будет долго и муторно прояснять все условия их договоров. Они почти наверняка будут заметно отличаться и дебетовая или кредитная у вас будет карта будет не самой большой вашей проблемой в первое время. Но вообще, по опыту — в Финляндии видимо тоже дебетовые карты на самом деле кредитные с нулевым лимитом. Либо озвученной проблемы на самом деле нет, потому что у меня не было случая чтобы я не смог своей дебетовой картой где-то расплатиться, что в физически, что онлайн.
Whuthering
На самом деле далеко не все, зависит от банка (а может и от чего-то ещё).
Во-первых есть в сети BIN-checker'ы, по ним некоторые наши дебетовые карты реально бьются как credit, а некоторые как debit.
Во-вторых, в Штатах при проведении оплаты часто в автоматах нужно выбирать credit или debit, и там, опять же, дебетовки некоторых банков срабатывают только если выбрать credit, а некоторые при выборе credit выплёвывают отказ и надо выбирать всё-таки debit.
asmolenskiy
debit — это предоплаченная карта.
Все наши карты — это credit
Просто надо всегда и везде говорить «credit» и не будет никаких проблем.
Главное нормальные карты там не засвечивать — их фродят только в путь. Пользуйтесь всякой одноразовой ерундой типа «Банк в кармане» от РСБ. А по приезду — блокируйте нафиг. Иначе месяца через три Вам начнут приходить СМСки о покупках в BestBuy
RomanStrlcpy
по опыту поездки по США:
На самой колонке карта не прокатывает в большинстве случаев, но у кассира никогда проблем не было. Только одна заправка попалась, где карту приняли на колонке. Какая то фирменная толи мобил, толи шеврон. Я первый раз в жизни видел заправку, на которой порядка 30!!! колонок.
На самой колонке для кредитки ещё иногда спрашивают ZIP и вбить можно только US код.
В магазинах просто говоришь «кредитка».
Основная проблема выезда зарубеж это не маленькая вероятность, что фин.мониторинг банка по каким то внутренним алгоритмам признает транзакцию подозрительной и заблокирует карту, а потом вероятно позвонят на телефон и спросят «а Вы ли это покупку совершили?». Хорошо если есть телефон с приложением банка и симка активка, чтобы принять СМС с кодом проверки.
Whuthering
У многих банков можно перед поездкой через онлайн-банк или лично в офисе оставить уведомление о том, что ты в такието даты будешь в такой-то стране, как раз для защиты от ложных срабатываний антифрода.
В Штатах на заправках у меня ещё веселее было, у них там есть колонки, через которые нужно сначала провести карточку, они делают авторизацию типа на 1$ или даже на 0.1$, потом заправиться, а уже потом они списывают полную сумму. А наши банки такое сильно не любят. И у меня был случай, когда я провел карту, у меня захолдили 1 доллар, я заправился баксов так на 30, а списания полной суммы так и не было. В итоге видимо из процессинг нашел какой-то способ побороть мой банк, и через 3 дня всё-таки списали полную сумму.
Такая же фигня с чаевыми — у них часто в ресторанах с карты списывают сумму за обед, а потом можно на чеке написать, типа, хочу оставить 3$ на чай, и они эту сумму тоже спишут с карты без повторного прикладывания. С нашими картами оно аналогичным образом не прокатывало (и будучи засранцем, можно писать щедрые чаевые в чеке и сваливать, с карты их снять скорее всего не смогут).
Lennonenko
авторизация на рандомную сумму в пределах доллара — довольно частая проверка валидности карты, ни разу не видел, чтобы банк блокировал такое, скорее всего, ему место транзакции не понравилось
Whuthering
Вы не поняли, авторизация на 1$ как раз-таки нормально проходила, а вот следущая транзакция на 20-30 долларов без еще одного прикладывания карты — уже нет.
DMGarikk
упоминайте тип карты, такое не прокатывает с картами maestro/electron/electronic и 'настоящими" дебетовыми картами, Российский банк тут не причем, это ограничение платежной системы
p.s. о чем я выше в комментах и говорил, именно по этому банки стараются впаривать классики(и выше) и кредитки вместо дебетовых, меньше проблем от клиентов
Whuthering
Visa Classic дебетовая.
Собственно, именно поэтому я и говорил выше, что заявление «все наши дебетовки на самом деле кредитки» не совсем корректное — как показывает практика, далеко не все.
juray
Ну вот из тарифов для кредитных карт сбера:
А конкретно про снятие собственных — есть вот такие свидетельства: раз, два.
Да, для ПС и дебетовки банк может представлять кредитками, но сам-то банк их различает. Это все-таки разные продукты с разными условиями обслуживания.
GraDea
У ПСБ вроде так и было — любое снятие кэша с кредитки в банкомате за деньги.
namazi74
Добавьте сюда
Значит есть не иллюзорный шанс того, что в базе присутствуют данные о прописке. А в купе с кредитной историей, очень удобно составлять план по «посещению» этих владельцев. Интересно, дебетовые карты там тоже засвечены?em92
> Значит есть не иллюзорный шанс того, что в базе присутствуют данные о прописке.
Данные о прописке для некоторых городов уже слиты задолго до сегодня (сбербанк полагаю тут не при делах).
ufa1.ru/text/gorod/54346731
Mes
Данные о прописке и данные о прописке с финансами — две большие разницы.
Barbaresk
Справедливости ради, базу EGTS по москве сливают стабильно раз в 3-4 года. Точно рабочую базу видел за 2012 год (ну и за 2005, 8, 10), а также видел ссылку на 2014, но не проверял.
Daemon_Hell
Если речь о коллекторах — им данные о прописке не особо нужны — в бки все есть.
Barbaresk
Насколько я помню, дебетовые карты у сбера идут как кредитные карты. Не так давно была буча по этому поводу — во всех мобильных приложениях карты отображались как кредитные (у меня во всяком случае так). Так что вполне возможно, что слили всё. Нужен магнет для проверки)
Lennonenko
вряд ли в ближайшее время будет магнет, барыжат же
roscomtheend
Данные явно устарели для многих, поскольку прописка упразднена в 1992м. Да, некоторые граждане смеются над путающие монитор с процессором (который ещё и системный блок), а сами городят такую же ерунду в других областях, да ещё и оправдываясь "это одно и то же".
freeExec
Биометрия у других уже утекала, Сбер назовёт это "внедрением передового мирового опыта".
CycaHuH
Даст заказчик, а зачем? Потому как так проще, не надо описывать масштаб системы для создания тестовых наборов и можно "что-то быстро поправить" (когда данные унаследованы и загружены не идеально, то повторить такое сложно и при выборе "попытаться сделать тестовй набор с повтором поведения" и "послать всё/дать доступ" зачастую выбирают второе, причём, с нулевым контролем). Хотя на бумаге всё строго и даже телефон проносить запрещено. Речь о разных крупных госкорпорациях с самыми разными направлениями деятельности. "Ну хоть что-то у нас в безопасности".
Areso
Хорошо, если в Сбере так (мы тоже так готовили данные для подрядчиков и демонстраций, заполняя произвольными данными некоторый срез базы, дабы там не осталось ничего — благо словари Ф, И, О доступны, даты генерятся рандомом, как и другие данные), но сами частенько получали вполне живые данные и это настораживало. И бонусом системы от разработчкив, где для разработки ориентировались на объём данных 1% от реального, зачастую тормозят (поскольку частенько алгоритмы O(N^2) дают неплохое время на малых выборках, но катастрофу на рельных). Не знаю от чего так получается, возможно, они уже привыкли что им дают реальные полномасштабные данные и получив тестовый стенд с небольшим муляжом, делают там не только функциональность, но и смотрят скорость работы, удовлетворяясь малым без заглядывания в требования в ТЗ.
Whuthering
Вот тот самый занимательный документ:
https://web.archive.org/web/20090701030327/http://infopravo.by.ru/fed1991/ch01/akt10870.shtm
В 1992 году просто изменили порядок этой самой прописки (он перестал быть разрешительным).
«Регистрация по месту жительства/пребывания» действует и по сей день, а пропиской ее называют не только в народе, но, даже более того, на сайтах госучреждений.
wolfreid
На некоторых «Не Наших» сервисах при оплате картой cvv не спрашивают, и 3d secure подтверждений тоже нет.
namikiri
Например, Amazon. Был крайне неприятно удивлён.
MaximChistov
Запрашивая CVV и смс, банк прикрывает свою задницу, а не о вас забоится) Амазон просто может себе позволить риск оплаты с чужой кредитки.
0xd34df00d
При первой оплате новой картой или при первой доставке на новый адрес он вполне CVV просит.
chupasaurus
Подобные транзакции на холде 3 дня минимум висят.
infrastructure-engineer
Запрашивать ли код CVV и подтверждать ли SMS-кой (3D Secure) — это выбор на усмотрение продавца (merchant-а)
Lennonenko
только после авторизации и согласия привязать карту, как минимум cvv запросят
галка «запомнить карту» может стоять по умолчанию, это не снимает с вас ответственности
Nicks_TechSupport
Когда у нас внедрялась American Express под ЧМ по футболу, то там вообще чипа нет. Всё по магнитной полосе проводилось, причём даже иногда без ввода пина :)
StingerFG
Если там есть «кодовое слово», то можно не просто дел наворотить, а сделать абсолютно всё. И банк с этим физически не справится.
Lennonenko
давно уже «кодовое слово» даже спрашивать перестали, спрашивают рандомные сведения — месяц рождения, предпоследние 2 цифры телефонного номера, что-нибудь про последние транзакции
Irgen
Где, в сбере? Это вам кто-то рассказал, или вы сами придумали? Вот прямо сейчас позвонил в сбер с другого номера, и как и последние лет 8 после ФИО, адреса и даты рождения оператор спросил «контрольную информацию по карте», что и является кодовым словом. Месяц рождения и предпоследние цифры номера — это практически открытая информация и не защищает никаким образом. Последние транзакции тоже — мошенник отправляет два перевода по 100 рублей жертве, сразу же звонит в банк и называет их оператору — проверка пройдена.
wikipro
Наибольший риск — по этой базе можно деанонимизировать всех сотрудников силовых структур, судов и т.п. членов их семей и т.п. примерные должности.
из плюсов можно будет узнать разницу в зарплате у директоров школ и больниц с их сотрудниками.
Если Базу вывалят на торренты то можно будет любителям биг-даты проанализировать с реальные расходы/доходы на большой выборке. сейчас такими возможностями пользуется только сбербанк.
Lennonenko
у них у всех зарплатные карты сберовые, нафиг им кредитки брать, если можно кредит прям на имеющуюся карту получить?
да и расхождения какие-то — заявлено 60млн кредиток, а сбер говорит, что у них всего 40 было выпущено