Персональные данные 60 млн клиентов Сбербанка утекли в сеть
По данным издания "Коммерсантъ", база данных с подробной информацией о владельцах 60 млн кредитных карт, как действующих, так и закрытых Сбербанка оказалась на черном рынке. Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет, никаких внешних кибератак не зафиксировано. Сбербанк сообщает о проводимых мероприятиях в связи с возможной утечкой информации.
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.
База разбита на 11 частей (именно столько у Сбербанка сейчас территориальных банков). Каждая отдельная строка продается за пять рублей.
Для проверки гипотезы корреспонденты издания “Коммерсантъ” попросили продавца найти в базе свои данные. Вскоре им была предоставлена информация о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.
В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.
По заявлению Сбербанка, похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, а кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс паролем.
Фрагмент таблицы с некоторыми строками из этой базы содержит такие данные:
Заявление Сбербанка в FB (Мы приносим свои извинения за эту ситуацию и обязательно будем держать вас в курсе нашего расследования):
Подробнее
ФИО паспорт Номер карты ОСБ Филиал Лимит кредита Недоисп. лимит Ссуда всего Ссуда текущая Ссуда к погашению Превышение лимита Просроченная * .1РОВИЧ 65<М - 4279011* - 7003 0637 14000000 — ш =- * /ГЕЕБИЧ 09 14 4279011« • 8599 0227 64000.00 "■ - . -г ^ 1ЕКСАНДРОЕ75 18 4279011«' 8597 0397 42000.00 . — - -*• > • . - ВАЛЕРЬЕВИЧ 8005 - *42790111 8598 0169 84000.00 Я?" 9 Г. ■ \АНДРОВИЧ 7500 « 4279011« Щ 8597 0502 75000.00 . ! 2 £НЬЕВНА 65 15 4279011* 7003 0681 125000 00 *•— -1 — «*ДРОВНА 7505 **4279011** 8597 0540 20000000 • - - ЕОНИДОВИ'65 07 4279011« 7003 0799 100000.00 — ^ яяят ’Ш ОРЬЕВИА 8005 4279011- 8598 0158 150000.00 - - . 1С0ВИА 8011 - 4279011. I 8598 0781 180000.00 ■ЯН - ■ I ХТОРОВНА 67 14 4279016 - 5940 0057 12500000 • .... «и- * «€ВНА 67 12 4 5484016 - 1791 0052 50000.00 — - ИМИРОВИЧ 6710 1 ’4279016 1791 ОНО 77000.00 474 39 142444.34 133944.59 558102 0.00 000 64000 00 000 000 000 0.00 0.00 1727.44 4110834 3866166 161090 0.00 0.00 84000 00 000 0.00 000 0.00 0.00 49000.00 26000.00 24960.00 1040 00 0.00 0.00 4481.74 120596.53 12051826 000 0.00 0.00 139021.94 61054.80 60978.06 000 000 0.00 61504.44 39167.00 36955.73 1539 83 0.00 0.00 150000.00 0.00 0.00 0.00 0.00 0.00 180000.00 000 0.00 000 0.00 0.00 125000 00 000 000 000 0.00 0.00 2943927 20560.73 20055.09 505.64 0.00 0.00 87.22 78536.47 68047.50 283531 0.00 6029.97
©Сбербанк© 2 иге • © Сегодня СМИ пишут об утечке информации по кредитным картам в нашем банке. В интернет действительно попали технические данные по учётным записям кредитных карт. На данный момент подтверждена утечка записей по кредитным картам 200 клиентов. Информация о возможно большем масштабе утечки сейчас проверяется службой безопасности и на текущий момент не подтверждена. Средства на кредитных картах всех наших клиентов, включая тех, чьи данные попали в сеть, в безопасности. Учетные записи по кредитным картам не позволяют мошенникам что-либо украсть: там нет С\ЛЛкодов карт, логинов и паролей от интернет-банка. Кроме того, системы антифрода банка предотвращают мошеннические операции в регулярном режиме. Сейчас мы проводим внутреннее расследование. Основная версия — преступные действия одного из немногих сотрудников с правами администратора. Мы приносим свои извинения за эту ситуацию и обязательно будем держать вас в курсе нашего расследования.
сбербанк,база данных,новости,утечка
Были всякие 10.000 из карт из тупого магазина, принимающего номера карт, четыреста тысяч имен и телефонов фейсбука, список клиентов сайта ебли, но так чтоб вообще !все карты из банка(если утекло все, конеш) с именами, паспортами!, да ШЕСТДЕСЯТ МИЛИОНОВ...
Может быть не очень понятно сразу, но это реально просто огромное событие и для банка и для кардеров и для бигдаты.
Чисто технически процесс одного обновления карт будет стоить банку 4-5$ за одну карту.
Репутационно умножай на десять сразу.
А уж насколько упадет доверие мировых банков к сберу после такого события - этого я просто не могу даже предсказать, работать со сбером нормлаьные банки будут через тряпочку.
Поправьте если ошибаюсь, но вроде как покупка игр со стима не требует смс подтверждения? А бля, там цвв требуется, ок.
вопрос не в этом. Все банки барыжат информацией между собой о клиентах, именно поэтому есть строка "банк не указывает причину отказа в кредите", потому что она полученна незаконно.
через время коллекторские агенства или еще какой то скам сможет отслеживать ваши деньги, а все претензии к банку о "неразглашении личной информации" можно списать на этот слив.
Например, если человек вообще ещё не брал кредитов, надо решить, отказывать ему или нет.
Вот мне так несколько банков отказали в выдаче кредитки, а потом через полгода мой банк (к которому я обращался первым) мне предложил кредитку.
1. Массовый обзвон бабулек для проверки "службой безопасности сбербанка" когда они перечислят бабке все её данные и попросят 3 заветных цифры
2. Когда тебя завалят смс-предложениями о реструктуризации твоей ипотеки в кредит-жопабанке
И ещё "400 сравнительно честных способов отъёма"
Так называемые „закрытые“ сети наших отечественных ведомств идут по тем же каналам, по тем же серверам, что и гражданский интернет. Потому что никто там специально никакие кабеля не тянет. Видимо, с Сбере такая же сеть.
Другое дело, что при особом желании замкнуть внутреннюю сеть со внешним интернетом через беспроводной свисток не так чтобы очень сложно (но наказуемо, если поймают).
От оборудования с бекдором никто не застрахован, но я не слышал о таких бекдорах в оборудовании, которые бы в изолированном влане (без выхода в мир) и при шифрованном трафике можно было использовать.
„ я не слышал о таких бекдорах“ — Huawey как минимум
что физически волокно одно и то же, это ничего не значит
> Huawey как минимум
А можно чуток больше ключевых слов для поиска?
Да даже если 10к учеток всего то это уже проблема, а тут прямо дыра в защите размером в солнечную систему, ее считай вообще нет, этой защиты.
А к тому моменту, как начнут копать, чувак уже год как не работает в банке и полгода как уехал в Чехию.
Вообще шифрование дисков - дело тонкое. После аварийного ребута система должна встать в строй как можно быстрее, а значит должна каким-то образом смонтировать шифрованный контейнер автоматически, а значит в какой-то момент в системе есть ключик в нешифрованном виде (чтобы его можно было использовать). А то, что в системе есть, можно из системы утянуть.