Не только Сбербанк потерял данные
Подтверждением тому, что персональные данные россиян продолжают находиться под угрозой, стала новая история с утечкой данных уже из базы МФО. Правда, на этот раз в открытом доступе оказались данные о почти миллионе клиентов, а причиной явились не целенаправленные действия злоумышленников, а программистская оплошность. Из-за ошибки в конфигурации базы данных, она стала доступна для индексации поисковыми системами и скачать оттуда информацию мог любой пользователь. Открытый доступ на сервер одного из онлайн-кредиторов сохранялся почти два месяца, в результате чего вероятность попадания конфиденциальной информации в руки злоумышленников оказалась очень высокой.
Виновной в утечке оказалась компания «ГринМани», которая специализируется на выдаче онлайн-кредитов. Основу информации, подвергшейся утечке, составили кредитные истории, в которых содержались полные паспортные данные, номера телефонов, адреса и другая важная информация о клиентах. В 2019 г. «ГринМани» входила в топ-20 крупнейших МФО России, однако 12 сентября ЦБ исключил её из реестра за многочисленные жалобы и нарушения. Теперь же, когда стало известно о масштабной утечке, этой компании может грозить еще и дополнительное расследование.
Кто слил данные Сбербанка?
Отправным пунктом скандала с утечкой информации из Сбербанка стала публикация журналистов агентства «Коммерсантъ», которые наткнулись на одном из запрещенных форумов на странное объявление, где некто предлагал продать данные о клиентах Сбербанка по 5 рублей за человека. Журналистов насторожил тот факт, что пробный фрагмент, выложенный продавцом, выглядит слишком правдоподобно. База разбита на 11 частей, а именно столько территориальных отделений насчитывается у Сбербанка на данный момент. При этом в ней значилась подробная информация о пластиковых картах и операциях, которые по ним проходили в течение одного банковского дня.
Для проверки своих подозрений журналисты связались с продавцом и попросили найти в базе свои данные. На удивление корреспондентов, продавец оперативно выслал им данные о кредитной карте, где значились не только их последние операции, но и предыдущие места работы, номера договоров об открытии карты и ФИО сотрудников, их подписавших. После консультаций с экспертами журналисты убедились, что объявление о продаже реальное, и злоумышленник не просто обладает информацией, добытой в открытом доступе, а действительно имеет доступ к базе Сбербанка. По характеру текстового файла было установлено, что утечка происходит из самого банка и именно из того хранилища, где находятся все данные о клиентах Сбербанка.
После начала расследования в утечке информации из Сбербанка подозревали 35 сотрудников. Службы, занимающиеся кибербезопасностью банка, отследили подозрительное объявление о продаже данных клиентов, после чего вступили в переписку с потенциальным продавцом. Это позволило сузить круг подозреваемых до 4, а вскоре и до 2 человек. В итоге главным виновником утечки был назван руководитель одного из бизнес-секторов банка, который имел доступ к базам данных и дал признательные показания. Преступник 1991 года рождения был передан правоохранительным органам и сейчас в отношении его ведутся следственные мероприятия.
Примечательно, что когда появились первые сообщения о возможной утечке персональных данных из Сбербанка, то в объявлении об их продаже указывалось, что его автор имеет доступ к 60 млн карт. Такой масштаб свидетельствует о немалых возможностях злоумышленников. И хотя в итоге в сеть попала лишь незначительная доля этой информации, не исключено, что её остальная часть продолжает находиться под угрозой слива со стороны недобросовестных сотрудников. В самом Сбербанке на этот счет говорят, что если кто-то и заполучит данные вашей карты, то он все равно не сможет удаленно осуществить операцию без СМС-пароля, поэтому похитить с неё деньги, якобы, невозможно.
Содержимое базы данных
Продавец передал сотрудникам РБК так называемый «пробник», содержащий часть реализуемой им БД Сбербанка. Он состоял из 26 записей, каждая из которых, в дополнение к ФИО, включала подробные паспортные данные, адрес прописки, адрес проживания и указанные клиентом контактные номера телефонов.
Вместе с этим по каждому из 26 клиентов в «пробнике» содержались сведения о номерах счетов, сумме и сроке кредита, и заодно о сумме просроченной задолженности и датах образования просрочки и последнего произведенного платежа. Утечка может иметь всероссийские масштабы, так как даже среди 26 пользователей Сбербанка из, по заверениям продавца, 1 млн, нашлись клиенты его Байкальского, Волго-Вятского, Дальневосточного, Московского, Северо-Западного, Юго-Западного, Уральского и других представительств.
Сбербанк не смог обеспечить безопасность биометрических данных своих клиентов
По данным продавца, предлагаемая им БД собирается с 2015 г. и может быть скомпонована по требованиям покупателя – к примеру, по определенным фамилиям клиентов, региону проживания, филиалу банка и т. д.
Мнение эксперта
Основатель и директор российской компании DeviceLock (занимается вопросами информационной безопасности) Ашот Оганесян высказал предположение, что база данных может оказаться реальной и признал, что информация в ней выглядит относительно свежей. «С учетом того что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками», – сказал «Коммерсанту» директор DeviceLock.
10 простых шагов: Как обеспечить безопасность КИИ
Инфраструктура
Ашот Оганесян предположил, что новая БД Сбербанка может попасть в руки злоумышленников, которые будут использовать сведения из нее для рассылки спама и проведения мошеннических операций, в том числе и для звонков якобы от лица Сбербанка с целью получения от них денежных средств обманным путем.
2021: Продажа данных 500 тыс. VIP-клиентов Сбербанка в интернете
В середине апреля 2021 года в интернете появилось объявление о продаже данных клиентов «СберПремьер» — специальной программы Сбербанка для обслуживания постоянных клиентов на привилегированных условиях.
По словам продавца, в базе данных содержится 500 тысяч записей, а информацию выгрузил сотрудник кредитной организации. РБК ознакомился с бесплатным пробником базы из 20 записей клиентов. Как сообщает издание, он содержит ФИО, номер телефона, адрес электронной почты, номер счета без одной цифры, подразделение Сбербанка, номер клиента по порядку в базе и номер отделения.
Данные клиентов подтверждаются при переводе через «Сбербанк Онлайн». Шесть из них подтвердили РБК достоверность ФИО и номера телефона, а один подтвердил, что является клиентом «Сбербанк Премьер». Во сколько продавец оценивают эту базу, РБК не пишет.
В интернете на продажу выставлены данные 500 тыс. VIP-клиентов Сбербанка
Издание обратилось за комментарием в Сбербанк и получило ответ:
| Никакой утечки данных или банковской тайны не было. |
| Данный семпл — это компиляция из данных, которые гуляют в сети интернет уже достаточно давно, и эти данные не содержат банковской тайны, — заявил представитель кредитной организации. |
По его словам, подобные данные используются телефонными мошенниками для введения людей в заблуждение (методы социальной инженерии). В Сбербанке напомнили, что ни в коем случае нельзя сообщать данные своих банковских карт, счетов, проверочные SMS-коды и другую информацию посторонним. Если у такую информацию запрашивают по телефону, необходимо срочно остановить разговор и перезвонить в банк по официальным номерам, советуют в Сбербанке.
Банк постоянно работает над улучшением механизмов защиты клиентов от мошенников. Ранее Герман Греф рассказал, что к 2023 году Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано».
2018: Данные 421 тыс. сотрудников Сбербанка оказались в открытом доступе
29 октября 2018 года стало известно об утечке данных 421 тыс. сотрудников Сбербанка. Текстовый файл размером 47 Мбайт, в котором находятся ФИО работников и их логины для входа в операционную систему (зачастую совпадают с их адресами электронной почты), появился на специализированном форуме phreaker.pro.
База данных, которую выложил неизвестный пользователь, доступна бесплатно, сообщает «Коммерсантъ». Один из сотрудников Сбербанка и представитель сторонней организации, которая связана с информационной безопасностью банка, подтвердили изданию подлинность базы. Данные актуальны на 1 августа 2018 г.
Адресную книгу сотрудников Сбербанка выложили в интернет
В Сбербанке заверили, что утечка данных не представляет никакой угрозы клиентам и автоматизированным системам, а адресная книга доступна всем сотрудникам. Причину утечки в пресс-службе не прокомментировали. По словам источников газеты, «наиболее вероятны злонамеренные действия кого-то из действующих или бывших сотрудников».
О проблеме знает и Герман Греф, сказал источник «Коммерсанта» в банке. По его словам, президент Сбербанка уже выразил свое недовольство. Источники газеты утверждают, что скорее всего этот документ опубликовал кто-то из сотрудников Сбербанка — действующий или бывший.
Утечки происходят часто: им подвержены как компании, так и целые ведомства, говорит веб-аналитик «Лаборатории Касперского» Владислав Тушканов.
| Для самого предприятия это может быть чревато репутационными потерями, также утечки несут угрозу непосредственно тем, чьи данные попадают в открытый доступ, — сказал он в разговоре с РИА Новости. |
Развенчание популярных мифов
Каждое приложение на смартфоне запрашивает у пользователя разрешение доступа к личной информации, функциям телефона, определению местоположения. В настройках приложения Сбербанк-онлайн можно увидеть расширенные разрешения доступа программы. Сервис работает постоянно, в фоновом режиме, имеет возможность отслеживать информацию, запрашиваемую в интернете, может получать данные о местонахождении клиента.
Слежка банка за клиентами
Большинство пользователей мобильных устройств боятся тотального контроля банком. После подключения мобильного банка приложение получает доступ к GPS, поэтому «Сбербанк» всегда узнает местоположение своих клиентов. Также он старается отслеживать интересы своих партнеров-клиентов. Например, после поиска через интернет интересующего товара банк предлагает альтернативные варианты с помощью всплывающей рекламы.
Система CRM проводит анализ, реакцию на действия клиента, следит за активностью, спадом. Поэтому многие пользователи чувствуют себя беззащитными финансовыми партнерами, над которыми доминирует поставщик финансовых услуг. В результате клиент становится объектом рассылок информации, различных акций с учетом его интересов.
Задача службы безопасности – предотвратить мошеннические действия в адрес клиентов «Сбербанка». Поэтому мониторинг манипуляций с приложением ведется 24/7. Подозрительные транзакции блокируются автоматически. Поэтому в изучении клиента банком нет ничего странного, оно позволяет банку максимально эффективно взаимодействовать со своими клиентами.
Загрузка системы смартфона
Приложение Сбербанк-онлайн после первого запуска в телефоне работает в постоянном фоновом режиме. Многие клиенты полагают, что это дополнительно расходует заряд батареи, нарушает функционирование гаджета. Но это мнение ошибочно, мобильный банк никак не влияет на работу телефона, не снижает его автономность.
Может ли программа влиять на другие приложения?
Среди пользователей бытует мнение, что мобильный банк сканирует и собирает информацию о работе других приложений, запущенных в телефоне. На самом деле, никаких доказательств о том, что Сбербанк-онлайн проводит эти манипуляции, нет.
Мошенники могут получить доступ к банковским счетам
«Сбербанк» уделяет повышенное внимание безопасной работе приложений. Служба безопасности регулярно проверяет защищенность, проводит аудит
Мошенники используют несколько схем кражи денежных средств со счетов. Зачастую клиенту даже не приходит смс-уведомление о том, что со счета списались средства.
Используя фальшивые документы, злоумышленники получают копию сим-карты. Такой метод является самым востребованным среди мошенников. Также они могут подкупить сотрудника операторов сети, чтобы беспрепятственно пользоваться интернет-банком для перевода денежных средств на свои счета.
Доступ в Сбербанк-онлайн можно получить через программу-клиента, которую скачивают в официальном торговом молле. Если сайт заражен вирусом, приложение направляет пользователя на скопированный сторонний ресурс. Так мошенники без труда завладевают логином, паролем.
Эффективный способ выяснить у клиента личные данные – представиться сотрудником банка. Так злоумышленники вводят в заблуждение человека, получают нужную им информацию.
Еще один вариант украсть данные клиента «Сбербанка» – привлечь кейлогеров. Это программы, которые записывают в память смартфона порядок нажатия клавиш. Потом эта информация попадает в руки недоброжелателей.
Самый простой метод проникновения злоумышленников в мобильный банк – украсть телефон. Но, чтобы получить доступ к счетам, им необходимо знать логин и пароль.
