Данные полумиллиона сотрудников «Сбербанка» утекли в сеть

29.10.2018      23533

«Сбербанк» не смог защитить личные данные персонала: имена, адреса электронной почты и логины для входа в операционную систему 420 тыс. сотрудников банка утекли в интернет.

Чем это грозит

Точную причину накладки пока не называют, но уже известно, что серьезными проблемами инцидент не грозит, разве что «рассекреченный» персонал может стать жертвой фишинговых рассылок. Куда важнее репутационные риски – клиенты могут усомниться в надежности банка, который не смог защитить личные данные своих сотрудников.

Где выложили информацию

Текстовый документ, содержащий данные о сотрудниках «Сбербанка», появился на сайте phreaker.pro. Из списка помимо ФИО и адреса электронной почты также можно узнать, в каком подразделении работает сотрудник. По данным «Коммерсанта» актуальность этой базы страдает: информация действительна на 1 августа 2018 года и включает данные об уволенных сотрудниках. Найти в списке тех, кто был трудоустроен в «Сбербанк» позже этой даты, не удалось.

Однако перечень подлинный: помимо прочего он содержит и три e-mail президента банка Германа Грефа. В службе безопасности организации заверили, что адресная книга находится в свободном доступе и утечка этой информации угрозы как клиентам, так и персоналу банка не несет.

Знакомые с ситуацией собеседники «Коммерсанта» считают, что документ в общий доступ выложил бывший или действующий сотрудник.

Недовольство ЦБ и мнения экспертов

Прокомментировали ситуацию и в Центробанке, назвав ее «малоприятной». Однако о том, будут ли регулятором приняты какие-то меры, не сообщается. В «Лаборатории Касперского» отметили, что утечка данных в финансовых компаниях и государственных ведомствах в последнее время не редкость. «Для самого предприятия это может быть чревато репутационными потерями, также утечки несут угрозу непосредственно тем, чьи данные попадают в открытый доступ», – полагает веб-аналитик Владислав Тушканов.

 

Данные о транзакциях клиентов «Сбербанка»

 

И снова здравствуйте

Напомним, что этот инцидент – не первый у «Сбербанка» за последние несколько месяцев. В июле стало известно, что в поисковую выдачу «Яндекса» попали личные данные клиентов банка. Обративший внимание на это SEO-специалист Павел Медведев заявил, что утечка данных в 80% случаев – вина владельцев доменов, которые пренебрегают элементарными требованиями защиты. Остальные 20% вины специалист отдал самим поисковикам, которые недостаточно освещают свои механизмы ранжирования и индексации.

Например, и у «Сбербанка», и у ВТБ отсутствовал файл robots.txt (в котором создатели прописывают параметры индексирования содержания для поисковых машин). В «Сбербанке» и на этот раз отметили, что в сеть не попали данные, которые могли бы нанести ущерб как банку, так и его клиентам.


Автор:
Редактор


Приходилось ли вашей компании становиться жертвой утечки данных?


Да, из-за непорядочности персонала (13.33%, 2 голосов)
13.33%
Да, из-за технических накладок (13.33%, 2 голосов)
13.33%
Нет, мы надежно защищаем служебную информацию (60%, 9 голосов)
60%
Другое (в комментарии) (13.33%, 2 голосов)
13.33%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Timur.V 78 29.10.18 11:59 Сейчас в теме
Например, и у «Сбербанка», и у ВТБ отсутствовал файл robots.txt

Коммерческие банки не могут позволить себе купить специалиста по компьютерной безопасности? Туго с деньгами?
Или там работают студенты без опыта работы?
2. ZhokhovM 725 29.10.18 12:19 Сейчас в теме
(1)банки позволили себе ИИ по компьютерной безопасности, заменили сотрудников роботами.
3. Timur.V 78 29.10.18 12:20 Сейчас в теме
Федеральный Закон № 152-ФЗ «О персональных данных»

Ответственность и риски за неисполнение требований закона

При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и(или) ее руководителя к административной или иным видам ответственности, а при определенных условиях – к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):

Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).
4. independ 1519 29.10.18 12:23 Сейчас в теме
Ого, я еще 2 года назад там работал, и мои данные слили, засада
5. Gureev 29.10.18 12:34 Сейчас в теме
Поправьте меня если ошибаюсь, но если страница выдается только авторизованному пользователю, то поисковик к ней, хоть тресни, доступ не получит.
Т.е. сбер выложил персональные данные в паблик. Какие еще 20% вины поисковиков?
6. comol 5051 29.10.18 12:37 Сейчас в теме
Всё таки насколько убого у госбанков с технологиями. Я не понимаю как в банке где целое здание Ит-шников может не быть robots.txt на сайте.... Я не понимаю как в нтернет банке может не контролироваться списание ДС в минус. Я ваще офигеваю как в банке могли переданные выложить на сайт....
10. zhenyat 6 29.10.18 13:21 Сейчас в теме
(6) А с чего это вдруг Сбербанк и ВТБ - госбанки?
13. Timur.V 78 29.10.18 13:39 Сейчас в теме
(10)
Государственный банк
Контрольный пакет акций банка принадлежит государству (напрямую или косвенно), включая различные субъекты РФ или муниципальные образования. Доля государства всегда превышает 50% акций.
18. _wlad_ 29.11.18 17:17 Сейчас в теме
(10)
А с чего это вдруг Сбербанк и ВТБ - госбанки?

Ознакомьтесь с открытой информацией о том кто главный владелец акций. И это государство (Минфин)
12. Timur.V 78 29.10.18 13:37 Сейчас в теме
(6)
13 июля 2018г. тоже пишут про файл robots.txt. Как-то это странно! Скорей всего журналисты сочинили.
Источник
Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.

У Сбербанка утащили файл размером 43Мб.
Всего в базе данных содержалось 421,7 тысячи записей о сотрудниках Сбербанка и нескольких "дочек", в том числе их имена, электронные адреса и логины для входа в операционную систему банка. Информация была выложена неизвестным пользователем и доступна бесплатно.
16. nyam-nyam 30.10.18 11:01 Сейчас в теме
(6)У семи админов сайт без robots.txt...
7. sanjakaiser 29.10.18 12:37 Сейчас в теме
Картинка к новости- зачет :)
jif; shard; dimisa; +3 Ответить
8. mr.Samuelson 29.10.18 13:05 Сейчас в теме
Дык слить информацию в любом случае можно, с любой СБ. Тут вопрос скорее мотивации, лояльности, нравственных принципов и т.п.
9. mr.Samuelson 29.10.18 13:06 Сейчас в теме
Вот хорошо бы чтобы сотрудники в суд на банк начали подавать и м.б. что-то получили хорошее с этого.
Идальго; +1 Ответить
11. Timur.V 78 29.10.18 13:28 Сейчас в теме
15 июля 2018
Масштабная утечка: в сеть попали платежи «Сбербанка», авиабилеты и другие данные россиян, ссылка.

18 июля 2018
Специалисты выявили новую уязвимость на сайтах крупных российских компаний, включая банки и авиаперевозчиков. При помощи поисковых систем злоумышленник может находить личные данные клиентов этих компаний, доступ к которым открыт по веб-ссылке. Например, таким образом третьим лицам может оказаться доступной информация о забронированных вами авиабилетах. Причем у обычного пользователя в этой ситуации почти нет инструментов для защиты данных. Основная версия произошедшего: ошибка разработчиков сайта, не задумавшихся о том, чтобы запретить индексацию приватных документов для поисковиков. Объясняет Артем Козлюк, руководитель правозащитного проекта «Роскомсвобода».

В апреле 2018 года "КоммерсантЪ” сообщил, что МФО начали раздавать займы-онлайн по чужим документам. Преступники крадут или покупают паспортные данные третьих лиц, а затем дистанционно занимают под эти данные деньги.
14. 1segen1 33 29.10.18 16:18 Сейчас в теме
(11) Где инструкция по использованию этого чудесного инструмента?
15. a_titeev 31 29.10.18 20:05 Сейчас в теме
Там просто дампы из AD. Имена учеток и все. И то, странно как-то выглядящие...
Уже вторую неделю гуляет по сети. А журналисты только опомнились...
17. VmvLer 01.11.18 12:01 Сейчас в теме
Меня умиляют новости

"Данные 15КК пользователей фейсбук утекли в сеть..."
"Данные 10КК пользователей яндекс утекли в сеть..."
"Данные 5КК пользователей сбербанка утекли в сеть..."
....
Думаю эти сообщения вбрасывают скорее с экономических причин:
понизить стоимость акций, убрать конкурента, просто из вредности...

Проще в свидетельстве о рождении для новых граждан или в паспорте для уже рожденных
делать запись:
"Все что вы сохраните о себе в интернете останется там навсегда
и не стоит надеяться на то, что это останется в тайне"

Тогда не будет смысла пугать людей какими-то утечками и раздувать мифы о конфиденциальности
данных в сети.
19. пользователь 30.11.18 21:42
Сообщение было скрыто модератором.
...
Оставьте свое сообщение

См. также

Госдума утвердила законопроект о бессрочное праве на кредитные каникулы

Новость Законодательство ИТ-Новость

Со следующего года все россияне смогут в любое время оформить кредитные каникулы по потребительским кредитам, если попали в трудную жизненную ситуацию. Соответствующий законопроект одобрен Госдумой.

21.07.2023    749    VKuser24342747    0       

2

Открываем рубрику «Книжный клуб»: подборка полезных книг для разработчиков

Новость Развлечения, искусство, спорт Конкурс ИТ-Новость Сообщество

Редакция Инфостарта продолжает тестировать новые форматы: в эфире рубрика книжный клуб. Раз в месяц мы будем публиковать подборку полезных книг от разработчиков и для разработчиков. 

06.02.2023    9101    a_a_burlakov    46       

41

Мем недели: нейросеть ChatGPT написала диплом российскому студенту. И он его защитил

Новость Развлечения, искусство, спорт Искусственный интеллект

Студент одного из российских вузов Александр Жадан рассказал, как написал дипломную работу с помощью нейросети ChatGPT. Чат-бот генерировал текст диплома, а Александр формулировал запросы и редактировал текст нейросети.

03.02.2023    5383    user997184    6       

3

Правительство изменило условия предоставления льготной ипотеки ИТ-специалистам

Новость ИТ-компания ИТ-льготы ИТ-Новость Минцифры

Правительство расширило программу выдачи кредитов на жилье под низкий процент для сотрудников ИТ-компаний. Увеличен возрастной диапазон, снижены требования к заработной плате.

31.01.2023    5784    VKuser24342747    9       

1

Минцифры открыло прием заявок на отсрочку от весеннего призыва

Новость ИТ-льготы ИТ-Новость Минцифры

Собирать информацию для передачи в Министерство обороны ведомство будет до 6 февраля. Право на отсрочку имеют ИТ-специалисты, работающие в аккредитованных компаниях.

24.01.2023    7105    VKuser24342747    0       

2

ФНС рассказала о темпах выдачи электронных подписей по новым правилам

Новость ИТ-Новость ФНС

Налоговики опубликовали первые статистические данные о выданных по новым правилам электронных подписях. А также призвали пользователей оформить новые сертификаты КЭП до конца этого года, не дожидаясь январского ажиотажа.

18.10.2022    6805    ЕленаЧерепнева    0       

1

Минобороны предоставит сотрудникам ИТ-компаний отсрочку от частичной мобилизации

Новость ИТ-Новость

Министерство для обеспечения работы высокотехнологической отрасли намерено освободить от частичной мобилизации разработчиков с высшим образованием из аккредитованных в Минцифры ИТ-компаний.

27.09.2022    5390    VKuser24342747    10       

4

Граждане смогут управлять своими персональными данными через Госуслуги

Новость Безопасность ИТ-Новость

Минцифры намерено создать реестр, в котором будут представлены все согласия на обработку персональных данных. Россияне получат к нему доступ через Госуслуги и смогут отзывать собственные разрешения.

16.09.2022    7833    VKuser24342747    1       

4

В дипломах выпускников колледжей появятся QR-коды со сведениями о компетенциях

Новость ИТ-Новость Образование Цифровая экономика

Минпросвещения сообщило, что при помощи кода можно будет получить подробную информацию о теоретических знаниях и практических навыках студента. Это упростит трудоустройство выпускников.

23.08.2022    6033    VKuser24342747    0       

1

Банки обяжут идентифицировать клиентов через биометрическую систему

Новость Банки Безопасность ИТ-Новость

Центробанк планирует установить обязательное условие регистрации новых клиентов – прохождение идентификации через единую биометрическую систему (ЕБС). Регулятор считает действующие методы регистрации ненадежными.

22.07.2022    5384    VKuser24342747    0       

0

Минцифры запустило на «Госуслугах» сервис с информацией о мерах поддержки ИТ-отрасли

Новость Импортозамещение ИТ-Новость

В новом разделе можно узнать о действующих льготах и преференциях, а также ознакомиться с последними новостями о реализации проектов поддержки и нормативными документами.

10.06.2022    5566    VKuser24342747    0       

2

Минцифры запустит цифровые кафедры в более чем 100 вузах России

Новость ИТ-Новость Минцифры Образование Цифровая экономика

Глава Минцифры Максут Шадаев рассказал о старте программы дополнительного обучения студентов, школьников и взрослых, в ходе которой они смогут овладеть цифровой специальностью.

10.06.2022    6705    VKuser24342747    0       

1

Госдума одобрила к первому чтению упрощенное получение ВНЖ для ИТ-специалистов

Новость ИТ-Новость

Госдума приступила к рассмотрению законопроекта, упрощающего процедуру получения вида на жительство для иностранных разработчиков и их семей. Документ получил также одобрение Совета Федерации.

08.06.2022    5429    VKuser24342747    7       

1

На сайте «Госуслуги» заработал справочник по льготной ипотеке для ИТ-специалистов

Новость ИТ-Новость

На портале работники ИТ-индустрии могут узнать, имеют ли право на получение кредита, где можно его оформить и на каких условиях. Льготная ипотека предоставляется в рамках поддержки ИТ-отрасли.

02.06.2022    6604    VKuser24342747    5       

2

Правительство переведет большую часть госуслуг в онлайн до конца 2023 года

Новость ИТ-Новость Цифровая экономика

Правительство подготовило концепцию поэтапного перехода к цифровому формату предоставления госуслуг. Россияне смогут воспользоваться сервисами в режиме 24/7.

21.04.2022    8478    VKuser24342747    0       

4

В России будут готовить киберспортсменов – с нормативами по бегу и приседаниям

Новость ИТ-Новость

Министерство спорта утвердило стандарт подготовки по компьютерному спорту. Перечня игр или количества фрагов на разряд там нет – зато есть нормативы по общей физической подготовке.

24.01.2022    12945    user1015646    5       

2

«Госуслуги» интегрируют с государственной биометрической системой

Новость ИТ-Новость Минцифры Цифровая экономика

Заходить на сайт «Госуслуг» станет проще. Единую систему идентификации и аутентификации (ЕСИА) сервиса интегрируют с «Единой биометрической системой» (ГИС ЕБС) – Минцифры заключило соответствующий контракт с «Ростелекомом».

24.01.2022    13173    user1015646    0       

0

Унылые пользовательские соглашения-многостраничники могут исчезнуть

Новость ИТ-Новость

Прочитать до конца пользовательское соглашение и понять все юридические формулировки в нем способен только действительно упорный человек. Но вскоре соглашения могут стать короче и понятнее – в США разрабатывают соответствующий законопроект.

18.01.2022    8374    user1015646    0       

3

Стартап с российскими корнями оценили в 17,5 млрд долларов США

Новость ИТ-Новость Управление проектами

Стартап Miro, основанный выходцами из России, привлек 400 млн долларов США в рамках инвестиционного раунда С. В целом же компанию оценили в 17,5 млрд долларов.

12.01.2022    13256    user1015646    2       

4

Банк России с января начнет собирать обезличенные данные о денежных переводах россиян

Новость Банки ИТ-Новость

Центробанк с 2022 года ужесточит контроль потенциально нелегальных платежей между физлицами. Некоторые банки сообщили о необходимости передавать личные данные граждан, но ЦБ отрицает эту информацию.

30.12.2021    19049    VKuser24342747    3       

0

Жители России смогут получить зарплату через СБП

Новость Банки ИТ-Новость Цифровая экономика

Система быстрых платежей, запущенная в начале 2019 года, позволяет моментально переводить деньги, оплачивать товары и услуги. В 2022 году СБП начнут использовать и для выплаты зарплат – правда, пока лишь в пилотном режиме.

27.12.2021    18628    user1015646    3       

1

Госдума начала рассмотрение закона о базовом доходе для семей с детьми

Новость Законодательство ИТ-Новость

В Госдуму внесен законопроект, который устанавливает обязательные выплаты для семей, в которых воспитываются дети до 18 лет. Платежи будут рассчитываться в зависимости от числа членов семейства.

22.12.2021    18899    VKuser24342747    8       

3

«Google Диск» не позволит расшаривать файлы, нарушающие правила сервиса

Новость Google Безопасность ИТ-Новость

Сервис «Google Диск» ввел ограничение на доступ к загруженным файлам, если они нарушают политику компании. Пользователи получат уведомление, если их контент не соответствует правилам хранилища.

21.12.2021    25820    VKuser24342747    3       

1

В России может появиться право на отказ от интернета

Новость Интернет ИТ-Новость

Совет при президенте по правам человека (СПЧ) представил Концепцию по защите прав и свобод человека и гражданина в цифровом пространстве. Одно из положений документа – возможность отказаться от сетевого взаимодействия.

17.12.2021    22708    VKuser24342747    30       

1

На Госуслугах появилось проактивное информирование по сервисам ОМС

Новость ИТ-Новость Здравоохранение Минцифры Мобильные приложения Цифровая экономика

Фонд обязательного медицинского страхования (ФОМС) совместно с Минцифры запустил услугу уведомления граждан о процессе получения медицинских услуг по ОМС.

07.12.2021    16830    VKuser24342747    1       

1