Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца, он реализует данные о более 60 млн кредитных карт. Первым объявление заметил и обратил на него внимание “Ъ” основатель DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк. “Ъ” изучил его.
Фрагмент содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.
Для проверки этих данных “Ъ” нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.
Заявленный продавцом объем информации (60 млн строк) может свидетельствовать о том, что утечка затронула данные о всех кредитных картах банка.
По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 руб. Для проверки гипотезы корреспонденты “Ъ” попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Источник “Ъ”, близкий к ЦБ, изучив «пробник», выразил уверенность в том, что он является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. По словам других собеседников “Ъ”, специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти из банка.
«Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах,— указывает собеседник “Ъ” в крупном банке.— Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных». По словам другого источника, информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы». Еще один эксперт отметил, что чисто теоретически такие данные могут быть получены путем склеивания данных с точки выдачи карт и данных из процессинга, но в данном случае это маловероятно, учитывая объем данных. «Если это и подделка, то очень качественная»,— указал еще один эксперт.
Ашот Оганесян утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». По его мнению, база может являться сохраненной копией (полной или нет) базы данных продукта Way4.
«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка,— отмечает господин Оганесян.— Набор полей действительно поражает».
По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию, указывает господин Оганесян.
В ЦБ не ответили на запрос “Ъ”. В Роскомнадзоре обещают «в рамках своей компетенции» проверить информацию о возможном нарушении законодательства о персональных данных. «Меры реагирования будут приниматься после установления признаков нарушений»,— заявили в ведомстве.
Пока статья готовилась к выпуску, Сбербанк выпустил пресс-релиз, сообщив о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников.
Дополнительно в Сбербанке пояснили “Ъ”, что изучается подлинность информации и пока нет ясности, подлинная она или нет. Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объём активных кредитных карт в несколько раз меньше».
В банке заверили, что угрозы не санкционированных клиентами списаний средств с карт нет.
Похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, пояснили там, а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Комментарии
Если это слив базы, то только через сотрудников Сбера, вероятнее всего, через админов.
В таком случае, их СБ хлеб даром ест.
Всем мало не покажется.
Жадность зло.
Это и к сберу относится и к админам
Что же. Ждем цифрового будущего, когда базы будут полнее, а утечки вкуснее.
и где же хранить денежки?
Рекомендую деньги хранить в банке, а банку хранить на полке...
Деньги должны работать
Инвестируйте в пулемет.
Я как жительств мегаполиса думаю что не спасёт, толпа все равно разорвёт на куски. Вот тушенку и гречку да, и подальше спрятать
Пулемету тоже негоже простаивать. Так что от греха...
В долгую, лучше всего в золоте.
У них, как и у прочих ФРС-аффилированных (VISA, Mastercard) и с картами задница полная, как и сами ЭЛЕКТРОННЫЕ карты безнадёжно ещё в проекте устарели по уровню безопасности транзакций. Да и по аутентичности пользователя тоже. Коды вводимые это полная ерунда. Реально у них давно собирается биометрия о клиентах. В т.ч. как базы доноров органов - по той же радужке, потенциалов распределения на пальцах (привет сенсорным экранам), моторике, отлично диагностику проводить можно..
В СССР были созданы основы технологий позволяющих иметь действительно защищённые системы. Там нет электроники как класса. Что-то сам предлагал - когда компактного формфактора носитель может к примеру активирован лишь с строго определённом месте и в определённой вилке по времени и считывание идёт (может) с банкомата и до самого банка в оптике с защищённым от QNDM (неразрушающее волновую функцию квантовое измерение) способом. Что вы думаете - не нужно. Они просто потери на клиентов спихивают. В т.ч. размазывая по клиентам СВОИ потери денег - даром что менора на логотипе.
про СССР сами придумали ил подсказал кто? Мне бы тоже такое устройство при СССР, а то мы дебилы у себя в 8ке и не видели таких.
Вы же не разработчики. Потому и.
Всё что смогли слили в Англию и США. Денисюк именно там работал а его лаборатория - передовая в мире лет 20 была. Разогнали её в ГОИ, ошмётки остались. Константинов (голографические камеры, память оптическая голографическая первая со стиранием, ещё на родопсине) - умер а его сын мужик хоть и способный, но не уровня его отца. Мой бывший духовник, кфмн, с помощью голографии и телевизионной системы визуализировал тогда как завлаб, вихри жидкого водорода в баке Энергии с начале 1980-х - с ними ещё Маску предстоит столкнуться.
По разному люди поуходили из ключевых направлений.
Например у вас, как впрочем и у США в войсках, нет систем, как класса которые переживут определённого вида воздействия, которые как оружие разрабатывается /сделано в США - степень прогресса работ разве ВЧ по своей части сообщал вскользь. С Дежаном Стойковичем я переписывался, вы в состоянии, коль из восьмёрки, проверить переписку и кое что ещё. Что это значит, надеюсь догадаетесь. Из НЕКОТОРЫХ последствий - мгновенное/незаметное постепенное (сложнее) уничтожение ударного потенциала РВСН. Без переноса масс и лазеров.
Ну да НУ да. Аббревиатуру ПНИЭИ расшифровать сможете? Потом поговорим за разработчиков.
Пензенский научно-исследовательский электротехнический институт
защищёнка, телефония с модемами.
При всём уважении говорить о защищённости по обычным каналам не приходится как и об защищённой идентификации и тем более шифрации. В США не просто так квантовые компьютеры с псевдоквантовыми вычислениями и, скажем на хаосе, разрабатывают а через 5 колонну гнобят в РФ. Я как участник проектов это знаю.
Условно- "бытовые" решения для уровня не выше ДСП.
Короче, я не знаю участником какого проекта Вы лично являетесь. Что и в каких комнатах с мягкими стенами Вы разрабатываете. ПНИЭИ это ЕДИНСТВЕННЫЙ НИИ в СССР а теперь РФ разрабатывающий системы закрытой связи для МО, АП РФ, ФСО. Поэтому вешайте лапшу про ЗАС кому другому, про некие секретные потоки, планеты НИБИРУ и прочее.
А теперь вынужден откланятся, да, я чуть чуть в теме: Академии ФСБ РФ и профильная кафедра профильного университета. Воинское звание полковник, последнее место службы ЦПС ФСО.
Так что еще раз, не надо нести ересь, про то, в чем не разбираетесь.
Когда у вас будет отказ систем отдачи приказа на пуск если выживете вспомните то что я вам писал.
Попробуйте запомнить то что тут напечатал, внимательно.
Переход на личности характерный признак невозможности/проигрыша.
Нда, дядя, ты разницу между системой управления и ЗАСом знаешь?
Я понимаю, для интернета по барабану, он все стерпит, но совсем уж ерунду писать не надо. И не надо рассказывать про Периметр и прочие штуки, я то это в живую видел а не в википедии прочитал.
И про квантовые системы тоже не будем говорить а то ведь два три вопроса и отмазки про секретность не прокатят. Можете и дальше проектировать у себя в голове, главное чтобы это творчество дальше не выходило.
это наш местный Пепка-прыгни....
PS извиняюсь что встрял....
Да ничего, я сирых и убогих по старой Русской традиции даже жалею, но тут вроде и не Русский и не убогий.
московская автоматика?
В Москве кроме ИКСИ профильных кафедр не было. То что по открывали теперь это так поделки дядюшки Римуса.
http://ao-avtomatika.ru/typical_page/221/show
к примеру в авиации они, а не пенза
http://ao-avtomatika.ru/typical_page/221/show
к примеру в авиации они, а не пенза
http://ao-avtomatika.ru/typical_page/221/show
к примеру в авиации они, а не пенза
http://ao-avtomatika.ru/typical_page/221/show
к примеру в авиации они, а не пенза
Ну да НУ да. Аббревиатуру ПНИЭИ расшифровать сможете? Потом поговорим за разработчиков.
Не надо клоунов из других делать, посвященный вы наш.
Я действительно имею знания в областях о существовании которых скорее всего в вашем институте и не догадываются.
Более того разрабатывал и буду, мне в АЗ работать нужно а аппаратуры никто нормальной дать не может, железо годное для работы там в момент активности, когда НИКАКАЯ электроника, даже защищённая от ЭМИ работать не будет вследствие принципиальных физических ограничений в самих приборах полупроводниковых или ламповых. Отказ радиационно и ЭМИ защищённой электроники, как минимум три прибора, я испытал в 1992 году в Читинской области. Тогда не придал сему значения хотя были и другие вещи недалеко от того же места.
Что кроме перехода на личности вы/руководство готовы предложить?
АЗ - алкогольный запой или аномальная зона?
И что, американцы умеют дистанционно
наводить порчусоздавать последние?Продолжайте разрабатывать и испытывать приборы, с вами свяжутся.
Главное не переходите дорогу на красный свет и не еште желтый снег.
Последнее. Сводить к алкогольное теме в секторе Земли где десятки миллионов погибли а сотни миллионов пострадали от алкоголя, в результате коррекции социокультурных норм русского населения и внешнего воздействия на системы принятия решений - неприемлемо.
Держите наркомана!
Ждать недолго.
☝️😄
Каким админам? Там рулит искусственный интеллект!
Тогда это месть. Причём – заслуженная. Ибо, не фиг было глупому Грефке на программеров... "батон крошить".
Обратите внимание, как народ в зале искренне потешается над его глупостью.
Человек каббалу сечет, управленец миром. И вобще с йогами на равных. Он выше всей этой вашей...программирование
медицинский термин этого недо-человека - "слабо-умный".
в общем, что с него болезного взять-то... просто гриф... стервятник.
Вообще-то он прав - он говорит, что не нужны чистые программисты, и он прав. И кстати, когда он продолжает, то народ перестает смеятся, потому что нужны уже универсалы, которые не только умеют программировать, но еще и поставить себе задачу, разработать ТЗ. А если им еще и платят достойно (сам не в курсе зп у сотрудников сбера), то почему бы и нет?
Герман Оскарович, перелогиньтесь: ваше косноязычие и откровенная корявость мышления натурально выдают вас, "просто – с головой".
«Алё, гараж!» © Где вы видели т.н. "чистых программистов" и что это такое?
В любом мало-мальски серьёзном проекте всегда присутствует координатор, или, ежели по старинке "Главный инженер проекта" (ГИП). Который распределяет работы по исполнителям и связывает их результат в единое целое. При этом, каждый исполнитель постарается максимально уточнить и формализовать поставленную ему задачу, результатом чего явится очередная глава в общем техническом задании.
"Просто программированием" не занимаются даже студенты и школьники: даже у них всегда есть цель.
Потому, что студенты. И преподаватели, которые стояли за камерами и которые зависят от подачек Грефки – сделали свирепые лица.
Бред. Задачу всегда ставит Заказчик. ГИП совместно с исполнителями детализирует её и контролирует ход исполнения работ.
Короче.
Ни черта он не прав. Он является откровенно зажравшимся упырём, которого кто-то поставил на высокую должность. После чего глупый упырь решил, что высокая должность автоматически наделила его просто недюжинным умом.
Ну – в самом деле... Ежели подчинённые вокруг регулярно внимают его речам с максимальным благоговением. В 60-х годах прошлого века, когда Грефка ещё ходил под стол пешком, а СССР ещё не загнил – над этим ещё умели смеяться.
Вот, слабую "башенку" у недалёкого Грефки и... снесло. и начал он с высоких трибун и с умным видом говорить откровенные глупости.
«У меня нет... очень много чего...», — у тебя нет самого главного, дурашка. А именно – мозгов. Он это, похоже, интуитивно понимает – и от того-то у него такая лютая ненависть к программистам. Особенно забавно, когда он программеров с юристами-экономистами сравнивает. "Фишка" в том, что человек с математическим складом ума может замечательно работать и приносить великую пользу Стране в ЛЮБОЙ отрасли. В отличие от юристов-экономистов, которые суть гуманитарии, а потому решительно мало на что годны.
Ну а про необходимость отмены математических школ – это вообще за гранью добра и зла. "Церебральный сорсинг" © – это возможность дать "зелёную улицу" для развития наиболее одарённых мозгов, чтобы Цивилизация ускоренно развивалась, а не деградировала. И физ-мат школы – это один из вариантов такого сорсинга.
Кстати, та грандиозная задница, в которую нынче угодили СШП связана именно с тем, что по соображениям ложной полит-корректности, "зелёную улицу" стали давать откровенным балбесам, наподобие Грефки. Вся ненависть которого к математикам-программистам – это самая обычная зависть. Зависть убогой серой посредственности по отношению к гениям.
В целом соглашусь, только не все математики -> программисты -> гении.
Ну, слово "гении" здесь было употреблено, безусловно, в самом широком смысле.
А, математика и программирование настолько разрослись, как науки, что можно легко найти пару математиков или пару программистов, которые решительно не поймут друг друга, ибо занимаются совершенно разными задачами.
Теория множеств, к примеру, совершенно непохожа на теорию вероятностей. А программирование веб-страниц кардинально отличается от программирования логических матриц.
Предлагаю виртуальный спор. Я считаю что никаких РосКомНадзоров на Сбер натравлено не будет, никаких исков от граждан, никаких много-миллиардных штрафов от государства не будет.
Эту тему быстро замнут, и всё.
От граждан, м.б. и не будет исков, хотя, как я вижу, россияне активно начали
сутяжничать, пытаясь состричь бабла с жЫрных компанийбороться за свои права (пример, анекдотичный, правда, с иском к Надкусану, с обвинением, что их ипхон склонил клиента к однополой "любви").А вот внутренне расследование, как минимум, будет.
Вот тут-то мало и не покажется.
вот вы смеётесь, а "пацан к успеху идёт". Если российский суд его пошлёт, он в ЕСПЧ подаст, а там станет дилемма : "богатая компания" или "политкорректно-угнетённый представитель".
Вот будет смешно, если эппл в итоге таки заплатит заветный 1 миллион рублей.
незадорого же он свою ..эээ... позицию оценил..
вутреннее будет, комиссии от 4х контор будут и ... а тут очень много вариантов и вилок. и вполне вероятны тупо спуск на тормозах.
Вы оба окажетесь правы и.. не_правы. И вот почему:
РКН и ему подобные конторы обычно штрафуют не за каждый случай, а "оптом", т.е утечка данных 50 млн человек - это не 50 млн эпизодов утечки( за каждый из которых прилетит соотв. штраф ), а.. всего 1.
И заплатит сбербанка штрафов порядка числа "эпизодов".
И в этом самая тупость нынешнего законодательства( конторам выгоднее если и сливать данные, то дофига, т.к на штраф это все равно почти не повлияет ) и одна из причин того, почему лично я делюсь с банками итд столь малой информацией, сколь это возможно - эти придурки её всё равно даже сохранить не сумеют.
п.с: как-то удивительно оперативно произошла утечка.. по 5р за запись.. как раз после пропуска Сбером сроков подключения к СБП и получения штрафа за это.. "Совпадение ? -Не думаю!"(с)
Что такое СБП?
Система быстрых платежей.
Спасибо!
Страницы