По информации издания «Коммерсантъ», на одном из теневых ресурсов 13 октября 2019 года появилось объявление о продаже персональных данных клиентов Сбербанка на миллион строк, накопленных с 2015 года. В объявлении утверждалось, что база содержит полные данные клиентов банка, имеющих кредиты или кредитные карты: паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности. Правда теперь, помимо данных о кредитных картах, к продаже предлагалась еще дополнительная информация о клиентах — выгрузка последнего звонка клиента в банк, причем продавец предлагает покупателю именно запись разговора клиентов с колл-центром финансового учреждения.
В продаваемой базе данных содержатся, судя по столбцу «ТБ» (территориальный банк), данные клиентов десяти из одиннадцати территориальных банков Сбербанка. На некоторых клиентов приходится несколько строк, если у них есть несколько действующих кредитов. Судя по столбцам «Дата образования просрочки» и «Количество дней просрочки», данные были выгружены 25 сентября 2019 года.
Продавец, с которым связались журналисты, заявил, что эта информация собирается с 2015 года и обновляется еженедельно. Так, за три недели октября в нее добавилось 19 823 строки.
Одну строку предлагается купить за тридцать рублей. Данные продаются в любом объеме, а покупатель может даже назвать интересующие его критерии, по которым будет сформирована выборка, например по региону, сумме на карте или размеру долга.
Необычной выглядит выгрузка по последнему звонку клиента в банк. Продавец при желании предлагает покупателям предоставить полные аудиозаписи этих разговоров. Также продавец рассказал, что все аудиозаписи были выгружены «с рабочего места», то есть в дневное время.
Пресс-служба Сбербанка отрицает и новую утечку. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было»,— заявили в банке.
Однако, опрошенные журналистами эксперты полагают, что база данных может быть настоящей, а информация в ней выглядит относительно свежей.
«С учетом того, что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками»,— предполагает технический директор DeviceLock Ашот Оганесян. По его мнению, злоумышленники могут использовать базу для рассылки спама, а также для проведения мошеннических операций. Например, для звонков должникам с обещанием реструктуризации долга и предложением сделать небольшой первый платеж, реквизиты которого будут подставными.
»Аудиозапись может очень помочь мошенникам,— соглашается гендиректор Zecurion Алексей Раевский.— Если они при общении с потенциальной жертвой сошлются на такой разговор, это серьезно добавит им доверия".
Журналисты газеты «Известия» приобрели тестовый фрагмент базы. В своем объявлении продавец базы данных изначально озвучивал цифру в 11,5 тысячах записей, но в переписке с журналистом РБК заявил, что база увеличилась и составляет более одного миллиона записей, восемьдесят тысяч из которых касаются должников.
В записи о каждом клиенте содержится больше 40 ячеек, в том числе полное ФИО, дата рождения, паспортные данные, место работы, домашний адрес, мобильный и рабочий телефоны, сумма кредита и просрочки по нему, дата ее образования и др. Самый «свежий» договор на заем, который содержится в тестовом варианте, был оформлен в марте 2019 года. Эксперты по кибербезопасности подтвердили достоверность данных и сказали, что это новая база, а не та, что утекла в начале октября. В частности, в этом списке не только кредитные карты, но и потребительские займы. Пример части таблички из этой новой базы можно посмотреть тут (многие данные там замазаны).
Совсем недавно Сбербанк официально уже подтверждал тот факт, что в финансовой организации была утечка данных, виновник этой утечки обнаружен, скомпрометированные карты перевыпущены, а в продаваемом файле с базой данных из этой утечки стояла дата опердня 24 августа 2019 года. Также представители банка заявили, что сделаны серьезные выводы и кардинально усилен контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.
Обновление на вечер 24.10.2019:
В МВД заявили, что по подозрению в хищении данных клиентов банков, в том числе Сбербанка, задержали жителя Волгограда, сотрудника Национальной службы взыскания. В пресс-релизе МВД говорилось, что подозреваемый действовал под псевдонимом «Антон 2131». В его отношении возбудили дело о разглашении сведений, составляющих банковскую тайну.
После сообщения МВД Сбербанк подтвердил инцидент с коллектором. Сбербанк расторгнет контракт с коллекторским агентством Национальная служба взыскания, сообщили в пресс-службе кредитной организации. Также банк проведет аудит систем защиты персональных данных проблемных заемщиков, которые используют сотрудничающие с банком коллекторские агентства.
В продаваемой базе данных содержатся, судя по столбцу «ТБ» (территориальный банк), данные клиентов десяти из одиннадцати территориальных банков Сбербанка. На некоторых клиентов приходится несколько строк, если у них есть несколько действующих кредитов. Судя по столбцам «Дата образования просрочки» и «Количество дней просрочки», данные были выгружены 25 сентября 2019 года.
Продавец, с которым связались журналисты, заявил, что эта информация собирается с 2015 года и обновляется еженедельно. Так, за три недели октября в нее добавилось 19 823 строки.
Одну строку предлагается купить за тридцать рублей. Данные продаются в любом объеме, а покупатель может даже назвать интересующие его критерии, по которым будет сформирована выборка, например по региону, сумме на карте или размеру долга.
Необычной выглядит выгрузка по последнему звонку клиента в банк. Продавец при желании предлагает покупателям предоставить полные аудиозаписи этих разговоров. Также продавец рассказал, что все аудиозаписи были выгружены «с рабочего места», то есть в дневное время.
Пресс-служба Сбербанка отрицает и новую утечку. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было»,— заявили в банке.
Однако, опрошенные журналистами эксперты полагают, что база данных может быть настоящей, а информация в ней выглядит относительно свежей.
«С учетом того, что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками»,— предполагает технический директор DeviceLock Ашот Оганесян. По его мнению, злоумышленники могут использовать базу для рассылки спама, а также для проведения мошеннических операций. Например, для звонков должникам с обещанием реструктуризации долга и предложением сделать небольшой первый платеж, реквизиты которого будут подставными.
»Аудиозапись может очень помочь мошенникам,— соглашается гендиректор Zecurion Алексей Раевский.— Если они при общении с потенциальной жертвой сошлются на такой разговор, это серьезно добавит им доверия".
Журналисты газеты «Известия» приобрели тестовый фрагмент базы. В своем объявлении продавец базы данных изначально озвучивал цифру в 11,5 тысячах записей, но в переписке с журналистом РБК заявил, что база увеличилась и составляет более одного миллиона записей, восемьдесят тысяч из которых касаются должников.
В записи о каждом клиенте содержится больше 40 ячеек, в том числе полное ФИО, дата рождения, паспортные данные, место работы, домашний адрес, мобильный и рабочий телефоны, сумма кредита и просрочки по нему, дата ее образования и др. Самый «свежий» договор на заем, который содержится в тестовом варианте, был оформлен в марте 2019 года. Эксперты по кибербезопасности подтвердили достоверность данных и сказали, что это новая база, а не та, что утекла в начале октября. В частности, в этом списке не только кредитные карты, но и потребительские займы. Пример части таблички из этой новой базы можно посмотреть тут (многие данные там замазаны).
Совсем недавно Сбербанк официально уже подтверждал тот факт, что в финансовой организации была утечка данных, виновник этой утечки обнаружен, скомпрометированные карты перевыпущены, а в продаваемом файле с базой данных из этой утечки стояла дата опердня 24 августа 2019 года. Также представители банка заявили, что сделаны серьезные выводы и кардинально усилен контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.
Обновление на вечер 24.10.2019:
В МВД заявили, что по подозрению в хищении данных клиентов банков, в том числе Сбербанка, задержали жителя Волгограда, сотрудника Национальной службы взыскания. В пресс-релизе МВД говорилось, что подозреваемый действовал под псевдонимом «Антон 2131». В его отношении возбудили дело о разглашении сведений, составляющих банковскую тайну.
После сообщения МВД Сбербанк подтвердил инцидент с коллектором. Сбербанк расторгнет контракт с коллекторским агентством Национальная служба взыскания, сообщили в пресс-службе кредитной организации. Также банк проведет аудит систем защиты персональных данных проблемных заемщиков, которые используют сотрудничающие с банком коллекторские агентства.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта
Moondown
Скоро утечки будут так «стандартны» в нашем мире, что не будут уже иметь ни какого значения.
П.С.
Вроде там где то электронные паспорта собирались внедрить с правами.
Скоро все-все-все будем знать друг о друге все.
Зайдем в банк, тебе уже и договор на кредит готовый выдают и подписан он твоим же сертификатом и деваться тебе не куда. А зашел просто узнать про ставки на вклады!
XyjliGaH
Но это будет потому что нейросеть посмотрела и посчитала что на такие условия ты согласишься.
cVoronin
Зачем так сложно? Сошлются на том, что при заключении договора кредита на 950 тысяч рублей сроком на два 2 месяца были использованы ваши биометрические данные: система подтвердила, что это были вы, возражения не принимаются.
rPman
банки спят и видят ввести биометрию, впарят с очередным договором пункт, типа согласен на использование биометрии для заключении последующих договоров, а вы всего то в смартфоне поставили разблокировки по отпечатку…
И бегай потом доказывай что ты не верблюд, после очередного слива базы, а мошенники сторонними методами отпечатки соберут, например по видеозаписям
AllexIn
Зачем им это? Уже сейчас все оформляется «простой электронной подписью». Простая электронная подпись — это код в смс.
Иди докажи, что кредит на пару лямов брал не ты и в глаза этой смски не видел.
Sartorio
Предлагаю в таком случае, в каждый смартфон внедрить аппаратный-программный-доверенный модуль:- «не стираемое, цифро-подписанное, облачное и т.д. и т.п. хранилище СМСок»,
что-бы всегда можно было утверждать,- «видел/не видел, читал/не читал».
Norno
Как будто банкам это нужно, с учетом того какие требования по защите предъявляются к ЕБС, и сколько это стоит. Оно почти гарантированно никогда не отобъется, это спускается сверху, Банки здесь подневольны и несут значительные финансовые затраты, которые, естественно, оплачиваются клиентами.
Кому это нужно и для чего, оставлю за скобками.
DrunkBear
Всё так, только не кредит выдают, а проценты и пени по нему требуют, и не в банке, а у тебя дома, и не сотрудники, а судебные пристава. /irony
mig126
Со следующего года еще и электронная трудовая книжка.
С 2020 года в России планируется ввести электронную трудовую книжку.?Приняты в первом чтении законопроекты:
— № 748684-7 «О внесении изменений в Трудовой кодекс Российской Федерации (в части формирования сведений о трудовой деятельности в электронном виде)»,
-№ 748744-7 «О внесении изменений в Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»,
направленные на ведение сведений о трудовой деятельности в электронном виде. Такие сведения становятся основной информацией о?трудовой деятельности и?трудовом стаже работника.
Электронная трудовая книжка не?предполагает физического носителя и будет реализована только в?цифровом формате.
При необходимости сведения электронной трудовой книжки будут предоставляться в виде?бумажной выписки. Предоставить ее сможет:
— нынешний или бывший работодатель (по последнему месту работы),
-ПФР,?
— многофункциональный центр госуслуг (МФЦ).
Услуга предоставляется экстерриториально, без привязки к месту жительства или работы человека.
Формирование электронных трудовых книжек россиян должно начаться с?2020?года. Для всех работающих граждан переход к?новому формату сведений о трудовой деятельности добровольный и будет осуществляться только с согласия человека.
Единственным исключением станут те, кто впервые устроится на?работу с?2021?года. У?таких людей все сведения о периодах работы изначально будут вестись только в?электронном виде без оформления бумажной трудовой книжки. Остальные граждане в течение 2020?года смогут подать заявление работодателю в произвольной форме о?сохранении бумажной трудовой книжки. В?этом случае работодатель наряду с?электронной книжкой продолжит вносить сведения о?трудовой деятельности также в?бумажную версию.
Россияне, которые до конца 2020?года не?подадут заявление работодателю о?сохранении бумажной трудовой книжки, получат ее на?руки. Сведения об?их трудовой деятельности, начиная с?2021?года, будут формироваться только в?цифровом формате.
Электронная трудовая книжка сохраняет практически весь перечень сведений, которые учитываются в бумажной трудовой книжке.
С 1 января 2020 года вводится обязанность для работодателей ежемесячно не позднее 15-го числа месяца, следующего за отчетным месяцем, представлять в Пенсионный фонд России сведения о трудовой деятельности, на основе которых будут формироваться электронные трудовые книжки россиян.
Начиная с 1 января 2021 г., данные сведения в случаях приема на работу или увольнения представляются не позднее рабочего дня, следующего за днем издания соответствующего документа, являющегося основанием для приема на работу или увольнения.
Работодатель обязан предоставить работнику (за исключением случаев, когда в отношении работника ведется трудовая книжка в соответствии со статьей 66 Трудового Кодекса) сведения о трудовой деятельности за период работы у работодателя способом, указанным в заявлении работника (на бумажном носителе, заверенные надлежащим образом, или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью (при ее наличии у работодателя), поданном в письменном виде или направленном в порядке, установленном работодателем, на адрес электронной почты работодателя:
в период работы — не позднее трех рабочих дней со дня подачи этого заявления;
при увольнении — в день прекращения трудового договора.
В связи с введением электронных трудовых книжек работодателям надлежит письменно проинформировать работников о соответствующих изменениях в трудовом законодательстве и праве работников сохранить бумажную трудовую книжку.
При необходимости работодателям также предстоит провести работу по изменению локальных нормативных актов, регламентирующих деятельность организации, внести изменения в соглашения и коллективные договоры.
Также вносятся изменения в?Кодекс об?административных правонарушениях и?устанавливается административная ответственность для работодателя за?нарушение сроков представления сведений либо представление неполных или?недостоверных сведений.
DrunkBear
Вот это здравая мысль, желательно — с blockchain и резервированием, чтоб потом не нужно было доказывать, что работал те 2 года и искать бумаги закрывшихся организаций, ибо без них до пенсии стажа не хватает.
Whuthering
Скорее будет ровно наоборот: из «электронной книжки» часть записей в какой-то момент совешенно случайно исчезнет, и потом придется бегать и доказывать, что ты действительно где-то работал и какие-то взносы платил.
qyix7z
Не скорее всего, а точно. Наш отдел кадров уже вешается, вбивая данные с бумажных книжек в электронные. А у нас всего 250 человек в организации. Опечатки, пропуски, неверные прочтения гарантированы.
mig126
Самое интересное что у ПФР эти данные и так есть, т.к. все работодатели каждый месяц сдают информацию по работникам.
Переложили работу и ответственность на плечи бизнеса, заодно добавив отчётности.
Ok_Lenar
Вы точно знакомы с работой блокчейна?
Или я может чего-то не понимаю.
rPman
Думаю с блокчейном человек знаком но ее лучше он знаком с тем что творится в бюджетном секторе it, окей, я в курсе что там творится… кошмар и бардак, там смогут и данные из блокчейна потерять, легко.
samodum
Тебе надо русский язык выучить
skazo4nik
В свете предыдущего слива и волны шума вокруг него: сколько «строк» можно успеть продать прежде чем «последнюю милю» вычислит СБ?
Похоже на экстравагантный способ самоубийства.
denisshabr
Так это утечка из внешнего коллцентра по работе с просрочкой, СБ Сбербанка к ним не имеет отношения.
skazo4nik
У них есть доступ к большому количеству чужих персональных данных и критической финансовой информации.
Слишком велик репутационный урон для Сбербанка. Надо будет отчитаться о том, что виновного поймали, ещё вчера поймали.
MikiRobot
Похоже что уже.
ria.ru/20191024/1560178779.html
DMGarikk
не могу не позларадствовать в очередной раз по поводу мнения специалистов по ИБ, на вопрос 'так если будет такой доступ, сотрудник же может украсть данные?' ответ: «ну так мы же знаем что это он сделал, у нас в договоре написано что он несет ответственность» но блин ПОФИГ кто и как там ответственность несет, базу же УЖЕ украли… и полное непонимание на лицах ИБшников… типа ну а в чем проблема?, мы же в суд на виновника подадим!!.. рукалицо
черт я лет 5-10 назад такие вопросы задавал когда работал близких к банкам структурах… ну вот жареный петух клюнул… может хоть чтото в мозгах поменяется
KonkovVladimir
Репутационные потери не только у Антона 2131 (Нива!), но и у организации в которой он работал, обещают провести аудит.
— www.banki.ru/news/lenta/?id=10909182DMGarikk
это не может не радовать, наконецто хоть до когото дойдёт что безопасность это серьёзно и бумажками-сертификатами-договорами она не обеспечивается
Norno
Не могу сказать за все случае, но часто это выглядит по другому:
— приходит бизнес и говорит, мы хоти то-то и то-то, хотим так-то и так-то, сроки — вчера.
— ИБ отвечает: это плохо, потому-то и потому-то, может случиться это и это, риски такие-то. Можно сделать 1, 2, 3, но это время, не так удобно или вообще нельзя.
— бизнес, риски обозначены и с нашей стороны приняты, делаем как мы хотим.
Все.
Sartorio
А если, ещё немного абстрагироваться, от всей этой шумихи и взглянуть на происходящее под перпендикулярным углом. То вся эта возня, вполне может оказаться
подставойспециальной операцией служб, по запугиванию недохакеров:- «смотрите, как мы вас легко ловим, если вы будете „забижать“ зеленый банк». Ну вроде как «низзя» ни ни, а то мы очень быстро сделаем вам а-та-та и будет небо в клетку.Mem0
эээм, в разговорах со сбербанком же часто просят кодовое слово, сколько таких кодовых слов утекло? мне кажется, что это самое главное. Все привыкли, что мошенники знают твой адрес, полное имя и паспортные данные, а обладая кодовым словом можно прям в банке что-то делать…
iluxa1810
Мне кажется, что в 50% случаев кодовое слово- это кодовое слово, которое указано, как пример(Вроде, «Собака» в бланках приводится) или имя. Особенно, его могут использовать далекие от IT люди в возрасте=>если пройтись по старикам, то с высокой долей вероятности можно воспользоваться стандартным ключевым словом или другим тривиальным вариантом через несколько попыток.
Mem0
существует риск, что у Сбербанка тоже есть какой-то механизм отслеживания, 2-3 неудачные попытки подряд, когда люди говорят все правильные данные, но не могут назвать правильное кодовое слово — красный сигнал в мониторинге безопасности. но я не уверен. С базой данных звонков это не проблема совершенно
Mykola_Von_Raybokobylko
В среднем по больнице кодовое слово это фамилия.
И да замужние чаще используют девичью фамилию.
По теме статьи. Слив телефонных переговоров говорит о том, что доступ к базе прозвона контакт центра либо не надежен либо «злоумышленник» был уже внутри системы.
Аналогично выборка с 2015 года. если это не внутренний слив, то возможно это было по тихому слито нерадивому коллектору. Но слито было не совсем законно.
blHK
Честно говоря, не в курсе инструкций банка на этот счет.
А можно, по кодовому слову поменять пароль на онлайн кабинет или получить его на адрес электронной почты отличный от заданного или на новый адрес (если не был указан)?
Mem0
В интернетах пишут такое, но я не знаю. на сайте сбербанка что-то не гуглится информация
Кодовое слово обычно запрашивают при звонке на горячую линию Сбербанка – это позволяет сотруднику службы поддержки убедиться, что звонит именно владелец карты. Только после подтверждения кодового слова и установления личности звонящего сотрудник банка имеет право передавать конфиденциальную информацию или совершать действия по карте или счету по просьбе звонящего.
iluxa1810
Что-то мне подсказывает, что это не делается по телефону при разговоре с оператором. Возможно, если есть привязка к мобиле, то можно получить на нее сброшенный пароль.
blHK
Мне тоже этот вариант кажется наиболее действительным, но есть вариант перевыпуска симки, который вместе с информацией о местонахождении и доступности человека может дать необходимый результат.
Irgen
По крайней мере год назад можно было привязать новый номер телефона к карте по звонку и кодовому слову. Соответственно — получить полный контроль над онлайн-банком
wscms
— Шеф, у нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности…
Neuromantix
Пока ответственности перед пострадавшими нет, так и будет. А ее нет и не планируется.
HanryCase
Пока это будет выгодно, так и будет. ЗП ДБА в регионе 30 кусков слить БД — бесценно.
Areso
Это в каком таком регионе зарплата DBA в Сбере 30 тысяч?
HanryCase
Прав, посмотрел на hh таких зп нет, больше. Я к том что главная дыра в безопасности всегда человек, и до тех пор пока это будет ему выгодно базы будут сливать.
A114n
Ну «больше» это сильно сказано, да, не 30, а 32 например.
ne_kotin
За 32 — это не DBA, это аникейка.
Faint
Блокчейн! Биг дата! Эджайл!
aragon_sp
… а новую карточку будешь получать по месту выдачи старой!
Alex023
Не, пофиксили уже с год назад
ak0nst
нет, если карта выпущена и ждет в отделении, то переправить ее в другое отделение нвозможно пока не получишь. Самара, две недели назад
eumorozov
Мне просто посоветовали получить другую в новом отделении, что я и сделал. Перевыпущенную в другом уничтожили. В этом отношении стало не хуже, чем у других. У альфа-банка была такая же система раньше, не знаю, как сейчас.
ak0nst
Мне не смогли уничтожить мотивируя тем что я её еще на получил. Возможно дело в том что заказывал карту работодатель.
Sedlo
Мне в прошлом году вместо моего отделения Альфы на Соколе взамен протухающей карты перевыпуск без моего запроса сделали в отделении на другом от меня конце Москвы — в Новогиреево. Я там не работал, не жил никогда, даже пиво не пил там ни разу. Ну какой-то глюк процесса. Мне было ломы ехать, попросил доставить в мое отделение на Соколе — без проблем курьером доставили. По регламенту там дней 5, но справились в реале за день.
Arty_Fact
При этом платишь за перевыпуск карты и номер карты меняется.
eumorozov
Хмм… Я ничего не платил, и у новых карт всегда другой номер. Так было абсолютно во всех банках, клиентом которых я был. И Сбербанк в этом отношении ничем не отличается сейчас от любого другого российского (и не только российского) банка.
Rebel028
qyix7z
Мне ВТБ и CVV не менял, только новый срок ставил.
vlivyur
Заказываешь новую в нужном отделении.
DMGarikk
и платишь за перевыпуск?
Whuthering
Выдачу пофиксили, а обслуживание — нет. Крмое выдачи, сделать в отделении что-либо с картой Сбера, выпущенной в соседнем регионе, можно ровным счетом ничего (по буквам: Николай-Иван-Харитон-Ульяна-Яков).
aragaer
Все эти утекшие данные это и есть биг дата. Возможно их отдали ИИ, чтобы тот нашел новые способы получить денег. А он взял, да и нашел.
Alcpp
Греф же проводил слепое тестирование.
kranid
То есть не проведем расследования, выясним подробности и пр. а просто не было! У них вообще нет задачи соотносить свои ответы с действительностью, просто все отрицаем. Потом скажем, а утечка оказывается была, но только 2 человека, виновная уборщица уже уволена, и во всех СМИ это расскажут, правда потом окажется, что не два, а два миллиона, но кому интересны такие несущественные детали.
Nuke
У медали две стороны, на каждый высер реагировать тоже замучаешься.
TuringMac
Их можно понять. Репутационные потери при огласке будут выше. Расследование Сбер может проводить тихо.
pewpew
У Сбера уже давно репутация пробила все мыслемые днища. Другое дело, что от этого банка не деться, это да.
Cast_iron
С другой стороны СБ слишком заметен и значителен. Аналогичная информация о других банках может не восприниматься настолько критически.
02podarok
собственно с прошлой утечкой в начале октября они так и поступили, типа утечки не было, ну там 200 всего лишь… типа))))
Rebel028
В Сбере и дочерних компаниях еще после прошлой подтвержденной утечки начались движения по предотвращению подобного, внеочередные аудиты и прочее, вплоть до угрозы увольнения, если сотрудник оставил разблокированный комп и отошел с рабочего места. Говорят, Грефу очень не понравилась та ситуация.
Но то была подтвержденная утечка, хоть и старая. А тут ни ссылок, ни пруфов, ничего. Самому стало интересно, специально посмотрел, нигде ни одной ссылки, даже намека нет, на то, где эту базу купить. Вы предлагаете отделу ИБ Сбербанка после каждой подобной новости без каких-либо ссылок просто штудировать все имеющиеся хакерские форумы в попытках найти действительно настоящую утечку?)
А признаваться в том, что в компании вообще такие вещи возможны будет только дурак, так что не понимаю вашего искреннего удивления такому заявлению пресс-службы.
kranid
Я предлагаю им говорить правду. Их репутация даже без каких-либо доказательств позволяет верить любой информации об утечках, а они прежде, чем что-то утверждать, должны проверить эту инфу. Коммерсант это не анонимный блогер, они, я уверен, предоставят сберу все данные, а если это фейк, то сбер и в суд на них подать может.
Rebel028
Эх, если бы все крупные компании всегда говорили правду...
Сбер, кстати, не сможет засудить Коммерсант, если база окажется фейком, потому что формально в новости "Ъ" ничего и не утверждают, там сплошные "возможно", "не исключено" и "предположительно". За оценочные суждения у нас не наказывают. Да и что грозит коммерсанту? Штраф до 500к, да еще и в пользу государства а не лично сбера?
Кстати о штрафах, если бы у нас было норм законодательство в этой области сродни европейскому, мне кажется мы бы реже перестали слышать подобные новости.
kranid
Ладно, с правдой это я погорячился, но хотя бы выдавали бы нечто правдоподобное. Какая разница кому они выплатят штраф, в этом случае целью сбера было бы не денег заработать, а просто сделать так чтобы другим неповадно было писатьо них разную клевету. Если бы у нас было норм законодательство в части наказания за утечки персональных данных, тогда бы таких новостей стало точно меньше.
aragon_sp
А вы знаете, что после нескольких раундов талантливой оптимизации, проведённой крайне эффективными менеджерами, отделов ИБ Сбербанка уже давно нету в территориальных банках (тех, которые по регионам)?
Есть кучка
великих людейНачальников где-то в Воронеже, которые бодро командуют людьми, ранее имевшими хорошие позиции в региональных отделах безопасности(кто сам остался, т.е. балластом) а ныне ставшими обычными линейными специалистами за три копейки, и находящимися по всей России за несколько тысяч километров.Кстати, как оказалось, и охранников в отделениях тоже нет — их вообще самых первых сократили facepalm
Это как раз та самая «централизация, бигдата, блокчейн», когда вдруг стало возможно из одной точки слить вообще всё, а тех кто должен охранять — оптимизировали на ноль.
Maximuzz
ИБ в регионах подчистую сократили аккурат после всей бухгалтерии, охранников, уборщиц и части инкассаторов. Подтверждаю. Остались только начальники, которые должны теперь знать, как людей на работу брать, ведь отдел кадров тоже в Воронеже.
RomanPyr
Странно, я всегда считал, что отдел безопасности и без всяких новостей штудирует все хакерские форумы в поисках утечек.
Gar02
А кто-нибудь читал статьи в Коммерсанте и Известиях?
На этот раз там нет снимка экрана с замазанными ПД клиентов. Только две многопафосные статьи с красивыми фото банковской тематики и голословными утверждениями.
Этак и я могу заявить, что лично вёл переговоры с самым главным сисадмином Известий о продаже БД сотрудников его газеты, а
мои деловые партнёрыприглашённые эксперты расскажут, как сложно-невозможно подделать данные, которые они понюхали, но их никто не видел.P. S.
Кстати, до публикации этих новостей, многие ли знали о существовании Оганесяна, Ульянова и Zecurion? ;-)
JakUi
Пруфы: www.interfax.ru/russia/681652?utm_source=yxnews&utm_medium=desktop&utm_referrer=https%3A%2F%2Fyandex.ru%2Fnews
P.s вставка ссылки после редактирования не работает
Squoworode
karl93rus
Из оригинальной статьи выдержки:
А на каком именно? Никакой конкретики. Что за продавец такой? Типа журналистская тайна? Так под этим соусом что угодно можно наговорить. Типа «инмайдерская информация». Ага.
Ну и всё в таком роде. В духе современной «журналистики». Главное кинуть темку, а люди уже сами порвут её в клочья, делая, конечно, точные прогнозы о том, как будут дальше развиваться события. Да и потом, вроде как законопроект готовят.
Безусловно, всё может быть. И эта утечка, и 60 млн и прочее. Но вот на каждый маленький инфоповод, «подтвержденный» словами вроде «полагают», «может быть» и подобными реагировать — только нервы себе портить.
tonad
Вот когда убьют тогда и звоните
(с)
Cast_iron
Мальчик кричал: «Волки! Волки!»…
— В СМИ постоянно какие-то жареные новости, что очередная сенсация уже просто вызывает зевоту.
barbos6
Хе-хе.
На фоне реальных утечек сейчас разведется (скорее, уже развелась) уйма жуликов, желающих впарить «свежеслитые», то есть фальшивые, данные,
товарисчей майоров, желающих такие данные прикупить,
и
представителей первой древнейшей профессиижурналистов, желающих поджелтить тираж.Так что запасаемся попкорном и с интересом наблюдаем за этим броуновым движением.
NetBUG
… но от Сбера лучше всё же держаться подальше.
arozhankov
Пока ответственность сотрудников за это будет минимальна по нашему УК и пока за такие статьи УК будут освобождать по амнистии и УДО — сливы будут. Бояться то особо нечего.
Berks
Сбербанк сейчас с головой погрузился в «бигдату» (как и Роснефть и прочие монстры) — то ли еще будет…
MaxVetrov
В большую(биг) сливу они погрузились. Вот такой компот.
Sly_tom_cat
Из недавнего:
Как обычно утром выношу мусор, захожу в отгордку (у нас такие пластиком обшитые по всему Питеру поставили) а там рядом с мусорным контейнером стоит коробка и вокруг россыпь сберовских карт (штук 80 или больше) и пакетов к ним с PIN-ами.
Сказать что я офигел — ничего не сказать.
Карты конечно оказались все просроченные. Но ребята, есть же шредер в конце концов.
При этом отделение сбера у нас в соседнем блоке домов и, если бы они на свою помойку выкинули, то это была бы не та, на которой я эту россыпь карт обнаружил. Возможно, кто-то тиснул думая, что стаф полезный, но оказалось что там все просрочено. Однако коробки с картами (пусть и просроченными) не из любого банка может любой проходимец вынести.
mig126
Они так же и со старыми банкоматами поступают. Видел как то валялась целая гора, многие были ещё не раздербаненные. И на ютубе в ролики попадались от тех кто по металлоприёмкам ездит.
Sly_tom_cat
Ну на сколько мне известно все-таки карты перед перемещением на помойку по правилам банков пропускают через шредер (есть даже специальные модели со специальным измельчителем для пластика).
Так что мое предположение о том, что коробку с картами какой-то дурик дернул из офиса банка в надежде поживиться, а потом просто выкинул, когда понял что халява обломилась — оно имеет право на жизнь.
Maximuzz
Карты хранятся в сейфе, каждая карта на балансе доп офиса, просто так их не тиснуть и не выкинуть. Это скорее всего были кредитки, те самые которые массово выпускаются, а потом девочка сидит и названивает всем, что карта уже выпущена — придите заберите!
Карты сначала проводятся, как к уничтожению через софт, а потом массово списываются с баланса филиала и «уничтожаются разрезом поперек магнитной полосы», но как всегда работы навалом. а шредер, тем более для пластика — это из рода несбыточных хотелок и фантазий, по итогу так и выкидывают по всей стране, авось прокатит.
Одно время ручки и бумагу покупали за свои, а Греф вещал о небывалых доходах сбера по телику. Блокчейн, биг дата, эджайл ага.
Sly_tom_cat
Да, примерно так все и должно делаться. Вопрос только в том как эта коробка с какими-то бумагами и кучей карт и конвертов с PIN-ами оказалась на помойке, причем не на ближайшей, а на находящейся на приличном расстоянии от офиса.
Как я вижу эту возможность. Карты (которые были выпущены и пролежали весь срок своего действия не будучи забранными) в ходе очередной ревизии просто выложили из сейфа, возможно даже провели в системе как удаленные, сложили в коробку (на уничтожением), но потом эту коробку оставили без присмотра и кто-то ее тиснул, позарившись на халяву.
Хотя могу допустить, то отнести на ближайшую они как-то постеснялись и именно потому волокли подальше.
1c80
А вот интересно, со сбера утекает или ещё откуда, ведь сбер в какие только ведомства
не передает данные своих клиентов.
Или это типа шаг к обязательной биометрии?
Типа она всех спасет и все такое.
Тут сообщение пришло кстати, что поступает левый звонок, целью которого является заставить сказать «ДА» в процессе разговора, а потом с карты деньги уходят, никто не слышал, про такой прикол?
piatachki
Слышали. Правда это или нет, неизвестно, но судя по всему да, так как с одного номера мошенники самыми разными способами пытаются вытянуть данные, пригодные для доступа в личный кабинет. И номеров таких сотни. В последние несколько месяцев подобные схемы активизировались.
Sabubu
Дожили, скоро на хабре будут обсуждать способы заряжать воду от телевизора.
Вам самому это бредом не кажется?
1c80
Это не бред, а закономерный итог, непродуманных решений.
pewpew
Мне регулярно позванивают какие-то разводилы. Сначала ставил белый список, но это неудобно. На автоответчике минута тишины. Так что возможно активизируются, если начинаешь с ними разговор.
Недавно поговорил:
— Здравствуйте, Имяотчество?
— Кто спрашивает? По поводу?
— Могу я услышать Имяотчество?
— По поводу?
— Что значит «по поводу» (грубо)?.. Имяотчество?
— С мошенниками не разговариваю. Всего наилучшего. Кладу трубку, добавляю номер в ЧС.
Как я понял, им надо услышать в ответ «да» или любое подтверждение соответствия номера телефона имени-отчеству.
1c80
Лучше вообще не брать тел с неопознанных, раньше еще была такая тема, что звонили типа опрос, целью которого было собрать определенные фразы или хз, что там еще, а потом ночью следовал звонок родным с подделанным голосом, типа это я сынуля случайно что то натворил, срочно дайте бабла, это еще много лет назад было, а тогда ещё так подделывать не умели, всё, как сейчас.
Stinkynnov
Я обычно отвечаю «возможно».
A114n
Извините, а не будет слишком жестоким сказать, что людей, которые пользуются сбербанком, всё равно не жалко?
Sly_tom_cat
Ну все бы ничего, но в замкадье есть 100500 мест где у людей просто нет выбора.
ne_kotin
С чего вдруг то?
DrunkBear
Бухам проще добиться твоего увольнения, чем разбираться, как отправить деньги не в сбер.
ne_kotin
Шта? Там всей разницы — забить новые реквизиты в 1ску: р/с получателя, БИК, к/с КПП и ИНН банка.
Всё. Чо там разбираться?
Areso
Это вы, уважаемый, с 1С плотно не работали.
А там начнется — что платежное поручение по зарплатному проекту формируется одной выгрузкой, платежное поручение по всем остальным будет формироваться другой выгрузкой (и есть большой шанс, что на каждого особенного сотрудника это будет отдельная платежка), плюс по зарплатному проекту вы знаете наперед все комиссии и допрасходы, а тут их отдельно надо будет учитывать, проводить, считать…
DrunkBear
В госкомпании зарплатный проект в сбере, потому что должны пользоваться картой мир, чтоб рапортовать об успехах мира.
Поэтому идите и получайте свою карту мир, не задерживайте остальных, и так вас много с дурацкими вопросами, а у меня работа.
ne_kotin
Сбер и МИР — это вообще вещи ортогональные. МИР обязателен в бюджетных организациях, если вы про это. Сбер — нет.
Но на эту хитрую задницу есть лайфхак — заявление на перечисление зп на р/с в желаемом банке.
Потом привязываете к счету карту желаемой МПС, и всё.
DrunkBear
В общем — да, но мне проще 2 раза перекинуть деньги между картами, чем ссориться с бухами: в 2 местах бухи честно говорили, что будет очень неудобно, в 1 — просто спросили реквизиты счёта.
ne_kotin
Ну, это какие-то особенные бюджетные бухи. В коммерческих конторах у них проблем с перечисление в незарплатный банк нету.
vanxant
При том, что отделений или хотя бы банкоматов других банков в радиусе ста верст тупо нет.
Сейчас почта-банк пытается составить конкуренцию, но я даже не знаю что хуже.
ne_kotin
И?
piatachki
Некоторые банки (лично мне неприятные, правда) предоставляют услуги по доставке карт в любую точку страны с бесплатным снятием кеша через любые банкоматы и, надо признать, неплохим интернет-банком.
Единственное, что часто людей принуждают (разумеется, не очень законно) подсаживаться на определенный зарплатный проект так, что бодаться с работодателем выходит слишком дорого. И пенсионеры. В этом случае да, жалко людей.
Sly_tom_cat
А кто в глубинке знает про эти «некоторые банки»? По ящику реклама — так там реклама на 99% того то доступно только «вомкадье» и отношение к этой рекламе именно такое — никто даже не пытается понять, что там рекламируют.
А вот сбер — «да вон он на центральной улице нашего поселка» или «банк у нас только райцентре» и этот банк внезапно сбер.
A114n
>А кто в глубинке знает про эти «некоторые банки»?
Что и отсылает к моему предыдущему комментарию.
ader
Одолевают меня сугубые сомнения, что база эта (судя по столбцам данных) была передана Сбером в какой-то оутсорсинговый колл-центр, для прозвона должников по кредитам. Откуда сия база и была слита. Это объясняет так же и наличие в ней голосовых записей.