«Сбербанк» нашёл сотрудника, который украл часть данных клиентов Статьи редакции
Им оказался 28-летний руководитель сектора в одном из бизнес-подразделений банка.
5 октября «Сбербанк» закончил внутреннее расследование утечки данных по кредитным картам 200 клиентов уральского филиала. Об этом изданию «Ведомости» рассказала пресс-служба банка.
По сообщению пресс-службы банка, данные похитил 28-летний руководитель сектора в одном из бизнес-подразделений кредитной организации, который имел доступ к базам данных. Сотрудник дал признательные показания, его имя не раскрывается.
Ранее в банке сообщали, что утечка данных могла возникнуть из-за того, что сотрудник разобрал рабочий компьютер и извлёк жёсткий диск или же сфотографировал экран.
Впервые об утечке данных клиентов «Сбербанка» сообщил 3 октября «Коммерсантъ». По данным издания, на одном из форумов появилось объявление о продаже информации о 60 млн кредитных карт.
Продавец предлагал потенциальным покупателям тестовый фрагмент базы данных из 200 строк. Тогда в «Сбербанке» подтвердили утечку только данных 200 клиентов.
При этом представители банка отметили, что за всё время «Сбербанк» выпустил только 40 млн кредитных карт.
Ребят, вы как первобытные, че мусолить то.. по логам посмотрели кто открывал конкретный список по уральским клиентам и по ип просмотрели с какой учетки
Мне тоже всегда казалось - что сузить крут подозреваемых очень легко по логам! А тут целых 200 человек в выборке. Должно было быть легко найти того, кто к ним всем получал доступ.
Остался вопрос: как же 60млн?
По каким логам?
Базы, хранящие такие данные, обязаны вести логи кто и какие запросы делал.
а логи ведутся на снятие внутренних деталей системника? и доступ во внутрь по отпечатку пальца наверное?!
Нет, конечно. Но вы голову то включите: на детали системника каким образом эти данные попали? Наверное, в результате выполнения того или иного набора запросов к базе данных, в которых данные размещены.
Что мешает в ходе работы эти данные в рабочем порядке загрузить и не выдавать себя конкретным запросом?! Гадать можно долго ;)
Нет. В «рабочем порядке» - все равно должно протоколироваться.
Логи доступа к данным покажут кто именно получал доступ к данным. Если проанализировать известные 200 записей, которые утекли, можно найти человека, получавшего к ним доступ. Едва ли там будет много кандидатов!
вариант, в случае если слитые данные не выводятся списком и ежедневно у многих менеджеров в работе
Тут хорошие шансы - что все 200 слитых аккаунтов едва ли были одновременно у одного менеджера в работе! Впрочем, Сбербанк упоминал - что нашли быстро.
ну в любом случае его бы "нашли". кто пойдет в банк, в котором теряют данные клиентов. а так клиенты спокойны вроде как, можно работать дальше)
Я думаю, его реально нашли. Просто в Сбербанке все фиксируется, но мало что анализируется: найти паттерн опасного поведения, которое свидетельствует о подготовке слива - тут нужен продвинутый аналитический софт. Видимо, его пока нет.
Опять же неизвестно какие данные и в каком виде слиты. Может там ничего существенного потому и слежка не видется ;)
Про структуру базы говорили где-то.
У вас максимальный уровень наивности.
Нет вообще никакой необходимости копировать базу с прода. Можно спокойно взять бэкап, который вообще лежит как файл на серваке к которому у него мог быть доступ.
Или, например, он мог взять данные из выгрузки, которая делалась легально для какого-нибудь подразделения.
Если это все так - это же ужас с точки зрения соблюдения безопасности и сертификатов на всякие разные стандарты.
Если можно спокойно утянуть образ базы данных, что есть нонсенс, - и диск бэкап сервера не шифрован, и сам бэкап не шифрован - это все ошибки безопасности.
Насчёт - взять данные выгрузки для подразделения. А разграничение полномочий? А протоколирование доступа?
Смотри. Всё о чём ты говоришь там есть.
Я тебе говорю о том, что нет никакого единого источника этих данных и как следствие нет одного лога, в который нужно посмотреть.
Данные могли быть слиты откуда угодно.
И чтобы найти того, кто их слил нужно сначала посмотреть во всё возможные и невозможные места в поисках следов.
Поэтому вариант "просто посмотрите логи" весьма наивен.
Так много мест, где хранятся полные данные кредитных карт со всеми обозначенными реквизитами?! О_о
Кмк, не должно быть такого. База одна. Плюс бэкапы (но они должны быть шифрованы как минимум) и более ограничены в доступе чем рядовая база.
поддержу. к бэкапам вообще доступ должны иметь единицы. и по хорошему данные должны быть разделены между разными бэкапами и соответственно разными специалистами. тогда точно вопросов утечки не должно возникать
Ну откуда угодно это конечно треш. База данных все таки не проходной двор и у нормальных компаний должны вестись логи ;)
Пацаны, вы не поверите, но речь шла о локальной бд на жестком диске. Да, ясам не поверил, все таки Спербанк, Греф, Аджайл, Сколково, Пиг Дата, Сбертех... И тп. Но да, там речь шла о локальной БД на жестком диске ПК:)
Это и есть туманная хрень, которую пустили первоначально: какая такая локальная машина?! Как на ней данные появились? Думаю, Сбербанк знает много, но мало рассказывает, и, возможно, что то скрывает
Я думаю, что все банальнее некуда: чуваку нужно было что-то сделать с этой базой (я хз что - может для нужд того же анализа данных :) ). Но такие задачи на проме обычно не делают, а берут копии БД (я как-то в одной организации на проме прогнал скрипты, а потом 5 часов базу восстанавливал).
Скорее всего чуваку так копию и предоставили, но вынести он ее не смог (рабочие компы не подключены к Интернету, порты USB отключены) и тупо сфотографировал экран с куском выгрузки.
Мне непонятно одно: почему Сбербанк так долго искал этого сотрудника!
Кмк, после появления базы и ее доступности для службы безопасности, через час должен быть шортлист потенциальных каналов утечки.
Россия большая... Опять же нашли наверное быстро - долго пресс-релиз согласовывали :)
Также как и наша вселенная - в результате взрыва