Офтоп
Albert Khabibrakhimov
9401

«Коммерсантъ»: данные 120 тысяч банковских клиентов из черного списка ЦБ попали в интернет Материал редакции

База включает паспортные данные, ИНН и другие сведения о физлицах, предпринимателях и компаниях.

В закладки
Аудио

Неизвестные опубликовали на специализированных форумах базу данных клиентов российских банков, которым отказали в обслуживании по закону об отмывании денег и финансировании терроризма (115-ФЗ). Об этом пишет «Коммерсантъ».

По данным издания, база содержит данные 120 тысяч клиентов. В основном это физические лица и индивидуальные предприниматели, но есть и юридические лица. Представитель одного из банков неофициально подтвердил газете, что в списке данные реальных клиентов из чёрного списка. По информации издания, базу опубликовали несколько месяцев назад, но ЦБ и Росфинмониторинг узнали об утечке только 11 апреля.

Какие данные попали в базу:

  • О физлицах: полное имя, дата рождения, серия и номер паспорта.
  • Об ИП: полное имя и ИНН.
  • О компаниях: полное название, ИНН и ОГРН.

Записи датируются периодом с 26 июня 2017 года. С этой даты ЦБ начал рассылать банкам чёрный список клиентов, напоминает «Коммерсантъ». Механизм рассылки выглядит так: банки передают ЦБ информацию о клиентах, которым отказали в обслуживании из-за подозрений в нарушении 115-ФЗ. Регулятор передаёт эти данные в Росфинмониторинг, который обрабатывает их и возвращает ЦБ для рассылки по банкам.

Представитель Росфинмониторинга исключил возможность утечки с их стороны. В пресс-службе ЦБ сообщили, что регулятор передаёт информацию в зашифрованном виде по защищённым каналам связи с использованием сертифицированных средств криптографической защиты информации. По мнению регулятора, ответственность за сохранность информации несёт банк, получивший данные.

Опрошенные «Коммерсантом» юристы считают, что утечка опасна не только из-за раскрытия данных, но и самим фактом присутствия в базе. По ошибке в чёрный список могут попасть и добросовестные клиенты, и утечка может привести, например, к проблемам при устройстве на работу, указывает юрист FMG Group Амина Аппаева.

Гендиректор компании-разработчика систем защиты информации Zecurion Алексей Раевский считает, что утечка могла произойти из-за ошибки, допущенной ещё при проектировании системы обмена чёрным списком. По его мнению, база должна находиться только у ЦБ, а банки должны направлять регулятору запросы для проверки клиентов.

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u0446\u0431","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 65, "likes": 29, "favorites": 17, "is_advertisement": false, "subsite_label": "flood", "id": 64284, "is_wide": false, "is_ugc": false, "date": "Fri, 12 Apr 2019 10:25:58 +0300", "is_special": false }
0
{ "id": 64284, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/64284\/get","add":"\/comments\/64284\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/64284"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "last_count_and_date": null }
65 комментариев
Популярные
По порядку
Написать комментарий...
30

"В пресс-службе ЦБ сообщили, что регулятор передаёт информацию в зашифрованном виде по защищённым каналам связи с использованием сертифицированных средств криптографической защиты информации. "

Только я это прочел, как: "Мы базу пересылаем email-рассылкой, каждому банку РФ и ключ один для всех"?

Ответить
–13

Ключ один, но каждый год меняется, как у всех гос. органов. Вы не поверите, но у VC.ru тоже один на всех ключ используется для https шифрования.

Ответить
36

Вы не поверите, но у VC.ru тоже один на всех ключ используется для https шифрования.

Конечно не поверим, ведь это неправда. Ключ для каждой сессии свой, общий только сертификат.

Ответить
–3

Публичный ключ один как бы у сервера, это не сертификат.

Ответить
2

Публичный ключ один как бы у сервера, это не сертификат.

Как правило, при необходимости обновить сертифиат, генерируется новая ключевая пара, переиспользовать старые не очень секьюрно. При необходимости поменять ключевую пару, сертификат тоже, очевидно, нужно поменять, поэтому можно считать, что они неразрывно связаны.

В любом случае, этими серверными ключами передаваемые данные не шифруются. В TLS используется симметричное шифрование данных с уникальными ключами в рамках сессии.

Ответить
0

Тогда бы добавили, что сертификат не VC, а подписанный одним из корневых центров сертификации, во избежании MITM атаки.

Ответить
6

Я вообще писал про гаечный ключ на 32, универсальная вещь, любой шифр ломает. (Шучу).

Понятно, что фраза "по защищённым каналам связи с использованием сертифицированных средств криптографической защиты информации" имеется в виду SSL, но сама база, тоже была, скорее всего, зашифрована. И я не думаю, что каждый банк РФ бережно относился к ключу, если для каждого банка не делались метки и уникальный ключ, то и понять откуда утекло невозможно.

И я согласен с мнением Раевского "По его мнению, база должна находиться только у ЦБ, а банки должны направлять регулятору запросы для проверки клиентов."

З.ы. Я верю : D, но https - немного по-другому принципу работает, не совсем так как вы описали.

Ответить
1

я не думаю, что причина утечки в несовершенстве СКЗИ, установленных у регулятора. Во всех известных мне сертифицированных СКЗИ (другие ЦБ не может использовать по закону) ключи шифрования защищены в достаточной мере, чтобы предотвратить их утечку. Чаще всего они принципиально не покидают периметр самого СКЗИ и очевидно не доступны через интерфейсы. Я скорее верю, что какой-то из банков либо сам слил, либо шарил базу с коллекторами, которые слили.

Мне непонятно другое:
1. На каком основании данные клиентов в ЧС (включая паспортные), являющиеся персональными, передавались даже не в регулятора, а в другие банки, которые даже не являются третьими лицами в отношениях клиента и банка?
2. Кто придумал эту гениальную схему с передачей базы банкам, вместо того, чтобы сделать ендпойнт с проверкой клиента на стороне регулятора?

Ответить
1

основание для обработки - исполнение федерального закона. в этому случае никакие согласия не требуются

Ответить
0

да, согласен.

Ответить
2

шифрование по госту: md5

Ответить
0

MD5 это хеширование. шифрование (симметричное) по госту: ГОСТ 28147-89

Ответить
0

про хеширование знаю, шутка в этом и состояла

Ответить
0

Шифрование по госту. Утечка исключена! Чего это вы, право слово! Какая такая правильная организация доступа?

Ответить
9

В очередной раз родное государство защитило Роиссян!
Представитель ЦБ указал:
"Если бы слили не мы - их бы похитили солдаты НАТО !"

Ответить
–5

россиян - тех кого подозревают в финансировании терроризма? А нам точно нужно эти данные беречь от чужих глаз как историю в браузере?

Ответить
4

А ты знаешь, что в этот список попадают люди за репост картинки в ВК? Ты точно все свои картинки с товарищем майором согласовал?

Ответить
0

В этом списке 99% обнальщиков, зачастую бомжей всяких, на которых регали фирмы однодневки.

Ответить
–2

Вы эту базу видели? Про 99% из головы написали или со знанием дела?

Ответить
–1

подтвердишь?
разницу между финансированием терроризма (205 УК РФ) и возбуждение ненависти (282 УК РФ) не видишь?

Ответить
1

Сколько благодаря 115ФЗ было выявлено случаев финансирований терроризма?

Ответить
0

Это секьюрная информация (эта отмазка идет в комплекте к борьбе с терроризмом)

Ответить
7

Нет ссылки на скачивание списка, статья бесполезна.

Ответить
5

Цб надо переименовать в центральную базу персональных данных- филиал Митинского рынка

Ответить
2

Апи бы прикрутили и зарабатывали копеечку

Ответить
5

Базу опубликовали несколько месяцев назад, а Росфинмониторинг узнал об этом только вчера. Плоховато мониторят, однако)

Ответить
2

15% же. Они в доле

Ответить
4

Ссылку в студию!!!

Ответить
0

http://www.fedsfm.ru/documents/terr-list

эта секретная база прям на сайте Росфинмониторинга, даже поиск есть

Ответить
2

по ссылке: ПЕРЕЧЕНЬ ОРГАНИЗАЦИЙ И ФИЗИЧЕСКИХ ЛИЦ, В ОТНОШЕНИИ КОТОРЫХ ИМЕЮТСЯ СВЕДЕНИЯ ОБ ИХ ПРИЧАСТНОСТИ К ЭКСТРЕМИСТСКОЙ ДЕЯТЕЛЬНОСТИ ИЛИ ТЕРРОРИЗМУ
а еще есть списки ОД - отмывание доходов, вот они гораздо интереснее

Ответить
4

Каждый открестился, что утечка с Его стороны. Но в итоге данные в сети.

Ответить
2

например, к проблемам при устройстве на работу

С каких пор чёрный список цб стал чёрным списком у СБ при приеме ?

Ответить
2

С тех пор, когда за перечисление на счет лица, находящегося в списке, начали попадать в этот же список.

Ответить
0

Под финмониторинг подпадают клиенты, а не сотрудники.

Ответить
4

Под финмониторинг попадают любые физ и юрлица.

Ответить
0

Сотрудник может не быть клиентом вообще. Каким образом он попадёт под финмониторинг?

Ответить
5

Если сотрудник в списке финмониторинга, перечисление ему зарплаты автоматом добавляет компанию в этот же список. Исписав тонну бумаги можно разобраться и снять, но дело это не быстрое, зато р/с заморозят на раз.

Ответить
1

Всегда был, в крупных компания в СБ бывшие менты обычно работают.

Ответить
1

Какая связь между «бывшими ментами» и проверкой сотрудников по спискам клиентов ?

Ответить
0

Если ты отмывал деньги или финансировал терроризм, тебя не возьмут в РЖД, Газпром, Сбербанк и на Почту России.

А это четыре крупнейших работодателя в РФ.

Ответить
0

так это плюс! как можно записаться в этот список?

Ответить
0

Очень просто: пошлите денег Навальному — вас включат

Ответить
–1

Связь такая, что пробивают не совсем законными методами зачастую.

Ответить
–1

если ЦБ рассылает этот список по банкам официально, то в чем незаконность метода?

Ответить
0

Обвинить может только суд. Судебных решений нет. Поэтому это ДСП и любой суд докажет необоснованность отказа при приёме на работу.

Ответить
0

наивненько думать, что с таким ходят в суды, или что через суд можно будет попасть на работу

Ответить
0

Может попадётся такой как я

Ответить
0

а ты сколько раз через суд на работу устраивался?

Ответить
–1

Его не только в банках используют.

Ответить
1

Что такое специализированные форумы. Это даркнет? Как они гуглятся? Доступ через ВПН? Расскажите, кто в теме.

Ответить
0

Tor, I2P. Ставишь программкльку, получаешь доступ к доменным зонам, которые недоступны в обычном инете.

Ответить
0

Какие это доменные зоны? Тор есть

Ответить
1

onion, допустим

Ответить
1

А где ссылка на базу?)

Ответить
0

клиентов российских банков, которым отказали в обслуживании по закону об отмывании денег и финансировании терроризма

Ценность слитых данных видимо никакая, так такие люди не живут долго с одним паспортом

Ответить
0

номер действительного паспорта тоже не обладает особой ценностью

Ответить
0

Так, ну где базу скачать?)

Ответить
0

Заблочим LinkedIn, т.к. хранят информацию за пределами РФ, а то что у своих льется из щелей и дырок - пофиг?

Ответить
0

Оно внутри льется

Ответить
0

Узнаю нашу рашу

Ответить
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovx", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "disable": true, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cgxmr", "p2": "gnwc" } } } ] { "page_type": "default" }