Когда всех оцифруют, подобная утечка означает конец для человека.
В Сбербанке новая утечка — миллион строк с полными данными клиентов.
По информации издания «Коммерсантъ», на одном из теневых ресурсов 13 октября 2019 года появилось объявление о продаже персональных данных клиентов Сбербанка на миллион строк, накопленных с 2015 года. В объявлении утверждалось, что база содержит полные данные клиентов банка, имеющих кредиты или кредитные карты: паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности. Правда теперь, помимо данных о кредитных картах, к продаже предлагалась еще дополнительная информация о клиентах — выгрузка последнего звонка клиента в банк, причем продавец предлагает покупателю именно запись разговора клиентов с колл-центром финансового учреждения.
В продаваемой базе данных содержатся, судя по столбцу «ТБ» (территориальный банк), данные клиентов десяти из одиннадцати территориальных банков Сбербанка. На некоторых клиентов приходится несколько строк, если у них есть несколько действующих кредитов. Судя по столбцам «Дата образования просрочки» и «Количество дней просрочки», данные были выгружены 25 сентября 2019 года.
Продавец, с которым связались журналисты, заявил, что эта информация собирается с 2015 года и обновляется еженедельно. Так, за три недели октября в нее добавилось 19 823 строки.
Одну строку предлагается купить за тридцать рублей. Данные продаются в любом объеме, а покупатель может даже назвать интересующие его критерии, по которым будет сформирована выборка, например по региону, сумме на карте или размеру долга.
Необычной выглядит выгрузка по последнему звонку клиента в банк. Продавец при желании предлагает покупателям предоставить полные аудиозаписи этих разговоров. Также продавец рассказал, что все аудиозаписи были выгружены «с рабочего места», то есть в дневное время.
Пресс-служба Сбербанка отрицает и новую утечку. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было»,— заявили в банке.
Однако, опрошенные журналистами эксперты полагают, что база данных может быть настоящей, а информация в ней выглядит относительно свежей.
«С учетом того, что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками»,— предполагает технический директор DeviceLock Ашот Оганесян. По его мнению, злоумышленники могут использовать базу для рассылки спама, а также для проведения мошеннических операций. Например, для звонков должникам с обещанием реструктуризации долга и предложением сделать небольшой первый платеж, реквизиты которого будут подставными.
»Аудиозапись может очень помочь мошенникам,— соглашается гендиректор Zecurion Алексей Раевский.— Если они при общении с потенциальной жертвой сошлются на такой разговор, это серьезно добавит им доверия".
Журналисты газеты «Известия» приобрели тестовый фрагмент базы. В своем объявлении продавец базы данных изначально озвучивал цифру в 11,5 тысячах записей, но в переписке с журналистом РБК заявил, что база увеличилась и составляет более одного миллиона записей, восемьдесят тысяч из которых касаются должников.
В записи о каждом клиенте содержится больше 40 ячеек, в том числе полное ФИО, дата рождения, паспортные данные, место работы, домашний адрес, мобильный и рабочий телефоны, сумма кредита и просрочки по нему, дата ее образования и др. Самый «свежий» договор на заем, который содержится в тестовом варианте, был оформлен в марте 2019 года. Эксперты по кибербезопасности подтвердили достоверность данных и сказали, что это новая база, а не та, что утекла в начале октября. В частности, в этом списке не только кредитные карты, но и потребительские займы. Пример части таблички из этой новой базы можно посмотреть тут (многие данные там замазаны).
Совсем недавно Сбербанк официально уже подтверждал тот факт, что в финансовой организации была утечка данных,( https://habr.com/ru/news/t/470551/ ) виновник этой утечки обнаружен, скомпрометированные карты перевыпущены, а в продаваемом файле с базой данных из этой утечки стояла дата опердня 24 августа 2019 года. Также представители банка заявили, что сделаны серьезные выводы и кардинально усилен контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.
https://habr.com/ru/news/t/472804/
=============================
Информация к размышлению :
Ростовщики торопятся загнать россиян в цифровое стойло.
С момента принятия антинародного, антиконституционного закона о биометрической идентификации россиян прошло почти полтора года, и можно констатировать, что патриотическая общественность была совершенно права, требуя его немедленной отмены. Сегодня все маски уже сброшены – цифролоббисты не стесняются демонстрировать отношение к гражданам, как к холопам, бессловесным биообъектам, которых надо поскорее идентифицировать для последующего тотального контроля и управления, «откатав» нашу биометрию.
Правда, на фоне вопиющей незащищенности персональной информации вменяемая часть Госдумы начинает потихоньку прозревать – так, вице-спикер парламента Петр Толстой недавно публично высказался против законопроекта о цифровых профилях. Таким образом, законопроектная база по-прежнему сильно отстает от сроков, заданных правительству РФ Всемирным банком, МВФ, ФРС и прочими «хозяевами денег», а также их аудиторскими и консалтинговыми конторами при кабмине. И пока первым пунктом для цифровизаторов значится получение биометрии как можно большего числа россиян для наполнения единых баз и реестров (ЕСИА, ЕБС, ГИС НСУД – предтеч «цифрового профиля» гражданина) посредством ростовщиков. А потому – все аргументы о нашем удобстве, комфорте, безопасности, а главное – о прописанной в упомянутом 482-ФЗ ДОБРОВОЛЬНОСТИ входа в единую базу данных с личным номером (сквозным цифровым идентификатором – ключом от «цифрового профиля») ими благополучно забыты.
Многие банки требуют от своих клиентов сдавать биометрические данные в обязательном порядке, сообщает «Коммерсант». Просто для того, чтобы открыть вклад или дебетовую карту, от граждан требуют фотографии и записи образцов голоса, в случае отказа – указывают на дверь. Центробанк и Росфинмониторинг указывают на добровольность сдачи биометрии, но при этом как-то вяло и двусмысленно реагируют на нежелание банков обслуживать отказников.
Так, один из клиентов «ФК Открытие» пожаловался на портале «Банки.ру», что в банке невозможно открыть дебетовую карту без фотографирования, а другой клиент не смог открыть вклад по этой же причине. Похожая ситуация существует и в Почта-банке, только с тем различием, что клиент, отказавшийся сдать биометрию, может рассчитывать на лимитированный набор услуг.
Официальный представитель «ФК Открытие» в комментарии прессе ничуть не смущаясь подтвердил, что банк действительно в обязательном порядке фотографирует вкладчиков. Делается это якобы согласно требованиям законодательства в рамках 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»), по которым банки обязаны идентифицировать своих клиентов, при этом выбор необходимых для этого сведений и документов остается на усмотрение самих кредитных организаций. Кроме того, по его словам, наличие базы фотоснимков позволяет снизить риски мошеннических операций.
В Почта-банке заявили, что собирают биометрию сугубо для защиты клиентов от мошеннических действий. При этом в Почта-банке считают, что действуют в соответствии с Гражданским кодексом, согласно которому при заключении договора банковского счета клиенту открывается счет на условиях, согласованных сторонами.
«Договором на открытие банковского счета предусмотрена процедура аутентификации клиента по фотографии. Таким образом, принимая оферту банка о заключении договора банковского счета, клиент соглашается и на фотографирование», – сообщил представитель Почта-банка.
Мнения юристов по этому поводу разделились: кто-то считает, что банк имеет право самолично определять необходимые сведения для идентификации клиента в публичном договоре (типа «если клиент не хочет предоставлять свою фотографию, а банк не согласен заключать договор в отсутствие обязательных к предоставлению данных, то стороны могут просто этот договор не заключать»), другие настаивают, что банк не имеет права отказывать в открытии вклада гражданину с паспортом, а прописанное ростовщиками условие о биометрии для публичных договоров незаконно, пока это не будет явно предусмотрено законом. А Росфинмониторинг и Центральный банк просто прикинулись шлангами: по их словам, клиент не обязан сдавать биометрию, делает это совершенно добровольно, а факт отказа ростовщиков в обслуживании граждан они никак не комментируют (!).
Словом, происходит все то, о чем «Катюша» писала в прошлом году в материале «Биометрическое рабство с колыбели»: «если во время недавних визитах в банк вам предлагали сдать биометрию в навязчивой, но предусматривающей отказ форме, скоро об этом можно будет забыть…» Начинается превышение банками полномочий, выливающееся в шантаж и поражение в правах клиентов, не желающих оставлять банкирам данные о своем теле. Еще в конце 2018 г. Сбербанк четко озвучил свою позицию в материале издания Life «Нет портрета – нет кредита. Сбербанк заставит клиентов сдать биометрию»:
«Могу ли я отказаться (от биометрической идентификации в Сбербанке)? В теории − да. Но в условиях банковского обслуживания Сбербанка прописано, что клиенту могут отказать, если он не идентифицирован.
То есть Сбербанк не обслужит меня, если я не сдам образцы голоса и фото? Так написано в условиях обслуживания от 30.10.2018. Это коснётся работы со счетами, вкладами, ОМС клиента и мобильным банком.
А если я сдам эти данные, могут ли их использовать другие организации? По правилам Сбербанка − да, могут. Их могут передавать третьим сторонам. Или органам власти. Официально − ради вашего же блага.
То есть за мной будут следить? Сбербанк и так следит за вами. Он имеет право обрабатывать ваши персональные данные, изучать интересы: соцсети, сайты, покупки».