Утечки по осени считают

24 октября 2019 года

Что произошло: «Коммерсантъ» написал про объявление в даркнете о продаже базы данных клиентов Сбербанка. 

Сколько клиентов пострадало: от 11,5 тыс. до 1 млн 

Реакция банка: Сбербанк не комментирует сообщения о новой утечке. 

Кто виноват: сотрудник коллекторского агентства, взят под стражу

В конце октября «Коммерсантъ» написал о размещенном в теневом интернете объявлении о продаже базы данных клиентов Сбербанка. Как сообщало издание, речь шла о владельцах кредитных карт банка или тех, кто брал кредит. В том числе автор объявления обещал предоставить запись последнего разговора клиента с поддержкой банка. 

Фрагмент слитой базы. Источник: телеграм-канал «Утечки данных».

Точной информации о количестве данных и актуальности базы нет. По разным данным, утечка затронула от нескольких тысяч до миллиона клиентов. В самом банке не признали факт новой утечки, но и не опровергли ее прямо. 

«Вся официальная информация по этой теме была опубликована банком ранее. Мы не комментируем информацию, которая относится к категории слухов и домыслов», — заявили ТАСС в пресс-службе Сбербанка. 

Несколько дней назад в Волгограде задержали подозреваемого в похищении персональных данных клиентов Сбербанка. Им оказался сотрудник коллекторского агентства ООО «Национальная служба взысканий», который действовал на форумах под ником «Антон 2131». Он признал свою вину и сейчас находится под стражей. Сбербанк намерен в ближайшее время расторгнуть договор с коллекторским агентством. 

3 октября 2019 года

Что произошло: Утечка данных 60 млн человек (по информации “Коммерсанта”)

Реакция банка: утекли данные пяти тысяч клиентов

Кто виноват: руководитель одного из департаментов Сбербанка

В начале октября этого года «Коммерсантъ» сообщил о более масштабной утечке данных — по информации издания, она затронула 60 млн владельцев открытых и закрытых кредитных карт. Как писала газета, информацию о продаже данных клиентов разместили на специализированном ресурсе на черном рынке. Продавец был готов предоставить покупателям пробный фрагмент базы, который насчитывал 200 строк.

В Сбербанке отреагировали сразу: пообещали проверить подлинность базы и уверили, что никакой угрозы для денег клиентов нет. Однако потом банк поменял свою позицию. Сначала банк рассказал, что могли утечь учетные записи по кредиткам как минимум 200 клиентов. Через несколько дней банк заявил, что число утекших учетных записей достигает пяти тысяч. Продал их руководитель департамента уральского отделения Сбербанка «несколькими траншами одной из преступных групп в теневом интернете».

Сообщение Сбербанка об утечке данных

В кредитной организации заверили, что значительное число учетных записей устаревшие и неактивные. По данным Сбербанка, со злоумышленником работает полиция. Сами карты перевыпущены, угрозы деньгам клиентов нет.

Апрель 2019 года 

Что произошло: Данные клиентов площадки «Сбербанк АСТ» попали в открытый доступ 

Сколько данных: 500 тыс. записей

Реакция банка: Сбербанк закрыл возможность скачивания данных

Кто виноват: пробелы в законодательстве

В апреле этого года РБК писал, что личная информация миллионов россиян стала доступна в открытом доступе – порядка 2,24 млн записей с номерами СНИЛС, информацией о работе и паспортными данными россиян. 

Персональную информацию об участниках аукционов в незашифрованном виде выложили в сеть крупные электронные торговые площадки, размещающие коммерческие закупки и госзакупки. Личные данные можно было увидеть в решениях об одобрении открытых аукционов, которые хранятся на этих платформах. 

В числе таких площадок оказался «Сбербанк АСТ», включавший 500 тысяч записей. 

Платформа «Сбербанк АСТ»

«Сбербанк АСТ» – автоматизированная система торгов. Как указано на сайте проекта, компания осуществляет обслуживание по принципу «программное обеспечение как услуга» (SAAS). Предоставляет услуги по проведению электронных торгов и участию в них с целью закупки услуг и товаров. Воспользоваться услугами площадки могут как госструктуры, так и бизнес. 

Роскомнадзор отреагировал на появление персональных данных россиян и направил запросы торговым площадкам. Сам Сбербанк после обращения РБК закрыл возможность скачивания данных. Однако, как говорят эксперты, этот случай сложно назвать утечкой. Скорее, дело в пробелах в законодательстве, которые делают возможной открытую публикацию личных данных участников торгов. 

Октябрь 2018 года

Что произошло: в сеть попали 420 тыс. данных сотрудников Сбербанка

Реакция банка: утечка не угрожает сотрудникам или работе системы. 

Кто виноват: неизвестно. 

В октябре 2018 года (похоже, октябрь не самый удачный месяц для кредитной организации) в сеть попали имена и e-mail больше 420 тысяч сотрудников банка. 

Базу разместили на одном из форумов. Это был текстовый файл, который весил около 47 МБ. В нем были собраны ФИО сотрудников дочерних компаний Сбербанка, включая зарубежные, а также логины для входа в операционную систему (в большем количестве случаев совпадали с e-mail работников). Также была информация о том, в каком подразделении трудится сотрудник.

В самом Сбербанке не назвали причину утечки. Возможно, имели место злонамеренные действия кого-то из сотрудников, действующих или бывших.