«Коммерсантъ»: неизвестные продают базу с данными о 60 млн кредитных карт «Сбербанка» Статьи редакции
В «Сбербанке» проверяют информацию и пока сообщили о возможной утечке данных минимум 200 клиентов.
В конце сентября 2019 года в интернете появилось объявление о продаже «свежей базы крупного банка», которая включает сведения о 60 млн кредитных карт. Об этом пишет «Коммерсантъ» со ссылкой на Ашота Оганесяна, основателя компании DeviceLock, специализирующейся на защите от утечек.
Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк, указывает издание. Он содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк «Сбербанка».
По данным «Коммерсанта», утечка могла произойти в августе 2019 года. В базе есть детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. По словам продавца, база разбита на 11 частей — столько у «Сбербанка» территориальных банков, а каждая строка продаётся за пять рублей.
Близкий к Центробанку источник издания считает, что «пробник» — выгрузка базы «Сбербанка». Другие собеседники, специалисты по информационной безопасности крупных банков, отмечают, что утечка могла произойти из банка.
По данным DeviceLock, минимум 240 записей содержат информацию о реальных клиентах «Сбербанка». Оганесян считает, что теперь утечкой займутся ЦБ, Роскомнадзор и, вероятно, правоохранительные органы.
В ЦБ не ответили на запрос издания. В Роскомнадзоре пообещали проверить информацию.
«Сбербанк» сообщил о возможной утечке учётных записей по кредитным картам, затрагивающей минимум 200 клиентов. В банке начали служебное расследование и предполагают, что утечка могла произойти по вине одного из сотрудников. «Похищенная информация в любом случае никак не угрожает сохранности средств клиентов», — заверили в банке. У «Сбербанка» сейчас около 18 млн активных карт.
Обновлено в 13:00: Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков отмечает, что набор данных, о которых идёт речь, не позволит злоумышленнику похитить деньги со счёта или карты, но может использоваться для мошенничества с использованием социальной инженерии.
Он добавил, что сейчас неизвестно, что стало причиной утечки, но вероятнее всего, это был человеческий фактор. По оценкам Group-IB, базу опубликовал не хакер: злоумышленник оставил на форумах по одному сообщению, использовал разные никнеймы и указал контактную почту, а не Telegram или Jabber, как обычно это делают.
Комментарий недоступен
Т.е. круг подозреваемых сужается, но, всё-таки, у этого узкого круга подозреваемых есть техническая возможность выкачать БД с 60 млн клиентов?
Комментарий недоступен
Не в килобайтах дело, а в доступе к такой большой выборке за раз. Да хоть по млн. в неделю, это много всё равно. Доступ должен ограничиваться и отправлять алерт вообще при попытке выкачать такой лимит строк. А ты потом про безопасность говоришь. Грубо говоря, должно даваться разрешение нескольких лиц для подобной операции.
Но по идее, на хуй такая выборка не нужна для внутренней работы любого банка, то есть когда столько выкачивают, это либо банку пришел пиздец и его продают/проверяют (что тоже на хуй не надо), либо для слива.
Комментарий недоступен
Чувак, я программист до мозга костей с 14 лет и каждый день мой связан с разработкой, в том числе базами данных. И ты говоришь мне, что я не подумал? Не подумал как раз ты и Сбербанк.
Отчёт может строиться хоть по всей базе, но ни у программиста, написавшего скрипт, ни у запустившего его не должно быть доступа к самим данным. Щупать вымя может только приложение.
Комментарий недоступен
Выше уже написали, что для таких редких случаев "должно даваться разрешение нескольких лиц для подобной операции", три зама, например.
Комментарий недоступен
Бля, не лезь, пожалуйста, в том, в чем вообще не разбираешься. Знаешь, что такое шифрование? Даже твой ебанный пароль я шифрую в базе, чтобы потом любое мудачье при взломе имело просто долбанный хэш и не было ситуаций как у некоторых довольно уебанских компаний, когда даже пароли в чистом виде лежат.
У пары программистов может быть только ключ и то выдаваться под строгим контролем, как ствол в нормальной армии. Дальше работай сколько влезет, так же под чутким контролем программ, чтобы ни шагу в сторону. Это не факнтикам торговать. И то, расшифровку можно пустить многими другими способами, вообще без выдачи ключей, обезличенными данными. Программисту больше и не надо.
А вот по выборке или доступе к инфе, под строгим контролем, по одной записи перед сидящим клиентом. Если это внутренний сотрудник, типа службы безопасности, то так же, сидит и занимается только теми анкетами, которые ему дали.
А когда какой-то уебан, да хоть директор целого представительства в регионе, делает вот такую выборку без преград, тогда твои данные на самом деле уже давно были проданы неоднократно, а сейчас просто кто-то покупателя не нашел с наскоку, пришлось в сети авито устроить.
Комментарий недоступен
Деперсонализация данных при копировании бд на тестовый стенд.
Выполнение опасных операций сотрудниками, после того как ответственные нажмут кнопочку разрешить в интерфейсе приложения.
Комментарий недоступен
Напрямую в базу, там вообще ни у кого из человеков доступа быть не должно.