«Коммерсантъ»: личные данные 900 тысяч клиентов «ОТП банка», «Альфа-банка» и «ХКФ банка» оказались в открытом доступе Статьи редакции
В банках о происхождении этих баз не знали и начали проверки.
Личные данные около 900 тысяч клиентов «ОТП банка», «Альфа-банка» и «ХКФ банка» оказались в открытом доступе. Об этом пишет «Коммерсантъ» со ссылкой на компанию DeviceLock, которая обнаружила утечку.
Специалисты обнаружили несколько баз данных, две из которых касаются клиентов «Альфа-банка». В одной, датируемой 2014-2015 годами, содержатся сведения о более чем 55 тысячах клиентов, в том числе их ФИО, телефоны, домашний и рабочий адреса.
Во второй базе 504 записи. Помимо ФИО и телефонов она содержит паспортные данные, остаток на счёте, ограниченный диапазоном 130–160 тысяч рублей, обслуживающее отделение «Альфа-банка». База датируется 2018-2019 годами.
«Коммерсантъ» смог найти первую базу — в открытом доступе она находится как минимум с конца мая 2019 года. Судя по адресам, все клиенты проживают в Северо-Западном федеральном округе. Большинство телефонов работают и принадлежат указанным в базе лицам. По месту работы помимо сотрудников частных компаний можно найти сотрудников МВД и ФСБ.
Ещё одна база содержит сведения о 24,4 тысячах клиентов «ХКФ банка» — ФИО, паспортные данные, телефоны, адреса и столбец «лимит», предположительно кредитный. Утечка затронула физлиц из Волгограда и области.
Актуальность данных неизвестна. Несколько человек из списка рассказали изданию по телефону, что брали кредит в «ХКФ банке», но давно. Один из собеседников уточнил, что это было примерно в 2009 году.
База, указанная как OTPbank, содержит данные о 800 тысячах человек по всей России — ФИО, телефоны, почтовые адреса, одобренный кредитный лимит, рабочие пометки. Несколько человек из списка, которым позвонил «Коммерсантъ», также подтвердили, что брали кредит в «ОТП банке».
В «Альфа-банке» заявили, что банк проверяет достоверность и актуальность сведений, опубликованных в интернете данных физлиц, которые могут быть клиентами кредитной организации. В «ХКФ банке» сообщили, что о происхождении данных банку неизвестно, но он проведёт проверку. В «ОТП банке» сказали, что не фиксировали утечки информации.
В DeviceLock считают, что данные клиентов «Альфа-банка» могли появиться в открытом доступе осенью 2014 года, после массового увольнения регионального ИТ-отдела. Вторую базу клиентов мог взять клиентский менеджер, специализирующийся на борьбе с мошенничеством, считает сотрудник одного из банков.
Гендиректор Zecurion Алексей Раевский отмечает, что базы устаревшие. Вероятно, они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности, считает он. Однако теперь люди из этих списков могут стать жертвами широкого круга банковских мошенников.
Добавлено в 12:10: Роскомнадзор запросил у «Коммерсанта» ссылки на обнаруженные базы. После анализа ситуации регулятор планирует заблокировать сайт на территории России.
Комментарий недоступен
— Слышал вы там данные потеряли.
— Да(
— Ну, не теряйте больше.
У кого-то повысится конверсия в продажи кредитов со спам-рассылок
Пальчиком погрозят
Внутри банка вес решения СБ в бизнес-процессе банка станет выше и ни одной инициативы нельзя будет реализовать без бюрократизации СБ. При этом на реальную безопасность клиентских данных это никак не повлияет
акционеры банков сидят в регуляторах или имеют там знакомых, какие наказания...
"Не за что краснеть!" v2.0
Где ссылки на базы то?
Последнее время можно что угодно без пруфов написать и все будут репостить *facepalm*
А теперь представьте, если там еще могла бы быть биометрия, которую так активно пихает ЦБ. Хотя конечно банки по идее её не могут хранить.
Отпечатки пальцев в экселе? Скан радужки в .csv? Как вообще это работает?
АльфаБанк... что тут ещё сказать... даже не удивлён
А что альфа? В альфе между прочим IT безопасновть практически самая лучшая. Это единственный банк, который на моей памяти не показывает и не дает узнать операторам колл-центра полные данные (они запрашивают произвольные символы из кодового слова и из персональных данных. Единственный банк, который сразу блочит симку при смене SIM ID. (мошенничество с восстановлением) . Единственный банк который вернул мне спертые из-за кардинга в 2012 году 100к рублей.
"В банках о происхождении этих баз не знали"
Какая неожиданная реакция)
Частая новость. Уже просто как прогноз погоды-утечет -не утечет.
«На территории банка X возможны кратковременные утечки данных пользователей. Временами тотальные»
Вот вам и KYC. Лучший пример для борцов за т.н. "приватность", если ты комуто передал свои данные - то они уже скомпрометированы. Настоящая приватность без анонимности невозможна.
причем тут kyc?
Комментарий удален модератором
Значит скоро позвонят из службы безопасности банка и спросят делали ли вы транзакцию в азино777 или нет
Комментарий удален модератором
В АНБ тоже думали, что не утечет ничего. Вывод #1: утечка может произойти из любого места. Вывод #2: это всегда человеческий фактор (баги, ошибки сопровождения, ошибки разработки, обиженные сотрудники и тд) Ваш кэп.
Вот зачем теперь открывать инн? Зачем сдавать на права? Зачем вообще оформлять паспорт? У всех этих госслужб были факапы с ворованными базами, и с этим ничего не поделаешь. Но выбора нет
Ребят, о чем вообще разговор. Приватности нет, безопасности нет. Куча непонятного народа занимается IT, у гигантов нет времени даже внутренний аудит безопасности делать, все заняты расширением... Постоянные сливы БД крупнейших игроков типа фейсбука уже стали обыденностью. Что же говорить о Российских банках... думаю ни для кого не секрет, что в даркнете можно купить данные практически любого клиента Сбера, ВТБ, Альфы... можно с симок данные получить, безопасность в нашей стране, несмотря на то, что на нее тратятся огромные бюджеты просто ниже плинтуса. Потому что все упирается в Сережу, Наташу, Пашу которые тупо имеют доступ к интерфейсам и не прочь подзаработать....
Совет: На месте клиентов этих банков я бы попробовал найти эти базы и отыскать себя в них. В случае обнаружения там своего имени (а лучше даже сразу после прочтения этой новости) я бы закрыл все счета в этих банках, и, как минимум, открыл бы заново в этих же банках, если есть такая необходимость. А лучше в других. Так же обязательно сменить все пароли, относящиеся к банку (почта, сайт, пин-коды и т.д.). В идеале и номер телефона. Может кому поможет.
выложите ссылку, где смотреть-то? ;)
В таком случае, и паспорт поменять тоже не мешает.
Дело в том, что ссылок вы не найдёте. "Сильное заявление, но проверять его я конечно не буду."
Вот так вот. Какие бы системы безопасности не устанавливались никто не отменял человеческий фактор. У сотрудников отдела безопасности доступ ко всем данным и кто знает где и как он может распорядиться подобной информацией и как она будет использована в дальнейшем.
заблуждение
сначала ты клиент банка и носишь туда деньги. а потом ты не клиент банка и не нужен никому ни ты, ни твои данные.
Никогда такого не было, и вот опять...
Где новости о юридической ответственности бизнеса??
"Роскомнадзор запросил у «Коммерсанта» ссылки на обнаруженные базы. После анализа ситуации регулятор планирует заблокировать сайт на территории России."
Более бесполезную организацию еще надо поискать.
Дебилы, *** (с) Лавров.
Вместо того, чтобы провести строгое расследование, показательно привлечь к ответственности виновных в утечке и радикально усилить контроль над сохранностью ПД, они решают ограничить доступ на сайт с российских айпишников. При этом на каждом углу трещат, что все данные должны храниться в рф, ведь за бугром, там где фейсбуку выкатывают многомиллиардные штрафы, наши данные в опасности. Вот так работает бессмысленная, бесполезная, бестолковая бюрократическая система рф (не оскорбрелие, а констатация факта)
Это уже не в первый раз, когда данные клиентов какого либо банка оказались в открытом доступе. НО! Если фейсбук реально наказали, то для клиентов российских банков такой "слив" информации безнаказан для руководства таких учреждений. Печалька...
Как раз в конце мая взломали кредитную карту альфа-банка и вывели с кредитного счета 86 тыс. Все просьбы не исполнять платежи, которых в интернет банке было 7 штук заблокированных как не подтвержденные, БАНК ПРОИГНОРИРОВАЛ (звонили по горячей линии, явились лично в офис банка, писали в поддержку) и списал. Это явно указывает на утечку данных с помощью самих сотрудников банка.
Такие новости в последнее время очень часто высвечивает на главных страницах новостных сайтов. И да действительно что случилось потом к чему все это привело никто не знает. Моет всего того на самом деле не было.
Банк Хоум Кредит не подтверждает утечки данных клиентов. Мы уделяем самое пристальное внимание информационной безопасности,и все данные наших клиентов находятся в сохранности. По факту наличия в сети некорректной информации банк проведёт дополнительную проверку и примет все меры.
Комментарий удален модератором
А как Альфа групп всегда рапортовала, что у них самые современные технологии и лучший интернет банкинг. А потом какой нибудь клерк скачал все данные на флешку за 300$. Вообще поразительная история, интересно какая будет реакция, особенно на то, если кто то потеряет деньги из-за этого?
Поперли продажи у контор а-ля «Деньги в зубы»)
Комментарий удален модератором
Каждый банк тратит оОГРОМНЫЕ деньги на безопасность, в том числе и на защиту разного рода данных. КАК могло случиться, что у них кто-то что-то тырит, а они "не в курсе"? И как теперь они будут объяснять эти "косяки "клиентам?!
щщщщшпсчччвщщщ
С этими сливами впору задуматься об втором паспорте
Не, ну раз роскомнадзор ссылочки заблочит, я спокоен. Чувствую себя в безопасности