Данные полумиллиона сотрудников «Сбербанка» утекли в сеть

29.10.2018     

«Сбербанк» не смог защитить личные данные персонала: имена, адреса электронной почты и логины для входа в операционную систему 420 тыс. сотрудников банка утекли в интернет.

Чем это грозит

Точную причину накладки пока не называют, но уже известно, что серьезными проблемами инцидент не грозит, разве что «рассекреченный» персонал может стать жертвой фишинговых рассылок. Куда важнее репутационные риски – клиенты могут усомниться в надежности банка, который не смог защитить личные данные своих сотрудников.

Где выложили информацию

Текстовый документ, содержащий данные о сотрудниках «Сбербанка», появился на сайте phreaker.pro. Из списка помимо ФИО и адреса электронной почты также можно узнать, в каком подразделении работает сотрудник. По данным «Коммерсанта» актуальность этой базы страдает: информация действительна на 1 августа 2018 года и включает данные об уволенных сотрудниках. Найти в списке тех, кто был трудоустроен в «Сбербанк» позже этой даты, не удалось.

Однако перечень подлинный: помимо прочего он содержит и три e-mail президента банка Германа Грефа. В службе безопасности организации заверили, что адресная книга находится в свободном доступе и утечка этой информации угрозы как клиентам, так и персоналу банка не несет.

Знакомые с ситуацией собеседники «Коммерсанта» считают, что документ в общий доступ выложил бывший или действующий сотрудник.

Недовольство ЦБ и мнения экспертов

Прокомментировали ситуацию и в Центробанке, назвав ее «малоприятной». Однако о том, будут ли регулятором приняты какие-то меры, не сообщается. В «Лаборатории Касперского» отметили, что утечка данных в финансовых компаниях и государственных ведомствах в последнее время не редкость. «Для самого предприятия это может быть чревато репутационными потерями, также утечки несут угрозу непосредственно тем, чьи данные попадают в открытый доступ», – полагает веб-аналитик Владислав Тушканов.

 

Данные о транзакциях клиентов «Сбербанка»

 

И снова здравствуйте

Напомним, что этот инцидент – не первый у «Сбербанка» за последние несколько месяцев. В июле стало известно, что в поисковую выдачу «Яндекса» попали личные данные клиентов банка. Обративший внимание на это SEO-специалист Павел Медведев заявил, что утечка данных в 80% случаев – вина владельцев доменов, которые пренебрегают элементарными требованиями защиты. Остальные 20% вины специалист отдал самим поисковикам, которые недостаточно освещают свои механизмы ранжирования и индексации.

Например, и у «Сбербанка», и у ВТБ отсутствовал файл robots.txt (в котором создатели прописывают параметры индексирования содержания для поисковых машин). В «Сбербанке» и на этот раз отметили, что в сеть не попали данные, которые могли бы нанести ущерб как банку, так и его клиентам.


Автор:
Дарья Расина Редактор


Приходилось ли вашей компании становиться жертвой утечки данных?


Да, из-за непорядочности персонала (13.33%, 2 голосов)
13.33%
Да, из-за технических накладок (13.33%, 2 голосов)
13.33%
Нет, мы надежно защищаем служебную информацию (60%, 9 голосов)
60%
Другое (в комментарии) (13.33%, 2 голосов)
13.33%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Timur.V 67 29.10.18 11:59 Сейчас в теме
Например, и у «Сбербанка», и у ВТБ отсутствовал файл robots.txt

Коммерческие банки не могут позволить себе купить специалиста по компьютерной безопасности? Туго с деньгами?
Или там работают студенты без опыта работы?
2. ZhokhovM 406 29.10.18 12:19 Сейчас в теме
(1)банки позволили себе ИИ по компьютерной безопасности, заменили сотрудников роботами.
3. Timur.V 67 29.10.18 12:20 Сейчас в теме
Федеральный Закон № 152-ФЗ «О персональных данных»

Ответственность и риски за неисполнение требований закона

При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и(или) ее руководителя к административной или иным видам ответственности, а при определенных условиях – к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152):

Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);
Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).
4. independ 1135 29.10.18 12:23 Сейчас в теме
Ого, я еще 2 года назад там работал, и мои данные слили, засада
5. Gureev 29.10.18 12:34 Сейчас в теме
Поправьте меня если ошибаюсь, но если страница выдается только авторизованному пользователю, то поисковик к ней, хоть тресни, доступ не получит.
Т.е. сбер выложил персональные данные в паблик. Какие еще 20% вины поисковиков?
6. comol 4347 29.10.18 12:37 Сейчас в теме
Всё таки насколько убого у госбанков с технологиями. Я не понимаю как в банке где целое здание Ит-шников может не быть robots.txt на сайте.... Я не понимаю как в нтернет банке может не контролироваться списание ДС в минус. Я ваще офигеваю как в банке могли переданные выложить на сайт....
10. zhenyat 29.10.18 13:21 Сейчас в теме
(6) А с чего это вдруг Сбербанк и ВТБ - госбанки?
13. Timur.V 67 29.10.18 13:39 Сейчас в теме
(10)
Государственный банк
Контрольный пакет акций банка принадлежит государству (напрямую или косвенно), включая различные субъекты РФ или муниципальные образования. Доля государства всегда превышает 50% акций.
18. _wlad_ 29.11.18 17:17 Сейчас в теме
(10)
А с чего это вдруг Сбербанк и ВТБ - госбанки?

Ознакомьтесь с открытой информацией о том кто главный владелец акций. И это государство (Минфин)
12. Timur.V 67 29.10.18 13:37 Сейчас в теме
(6)
13 июля 2018г. тоже пишут про файл robots.txt. Как-то это странно! Скорей всего журналисты сочинили.
Источник
Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.

У Сбербанка утащили файл размером 43Мб.
Всего в базе данных содержалось 421,7 тысячи записей о сотрудниках Сбербанка и нескольких "дочек", в том числе их имена, электронные адреса и логины для входа в операционную систему банка. Информация была выложена неизвестным пользователем и доступна бесплатно.
16. nyam-nyam 30.10.18 11:01 Сейчас в теме
(6)У семи админов сайт без robots.txt...
7. sanjakaiser 29.10.18 12:37 Сейчас в теме
Картинка к новости- зачет :)
jif; shard; dimisa; +3 Ответить
8. mr.Samuelson 29.10.18 13:05 Сейчас в теме
Дык слить информацию в любом случае можно, с любой СБ. Тут вопрос скорее мотивации, лояльности, нравственных принципов и т.п.
9. mr.Samuelson 29.10.18 13:06 Сейчас в теме
Вот хорошо бы чтобы сотрудники в суд на банк начали подавать и м.б. что-то получили хорошее с этого.
Идальго; +1 Ответить
11. Timur.V 67 29.10.18 13:28 Сейчас в теме
15 июля 2018
Масштабная утечка: в сеть попали платежи «Сбербанка», авиабилеты и другие данные россиян, ссылка.

18 июля 2018
Специалисты выявили новую уязвимость на сайтах крупных российских компаний, включая банки и авиаперевозчиков. При помощи поисковых систем злоумышленник может находить личные данные клиентов этих компаний, доступ к которым открыт по веб-ссылке. Например, таким образом третьим лицам может оказаться доступной информация о забронированных вами авиабилетах. Причем у обычного пользователя в этой ситуации почти нет инструментов для защиты данных. Основная версия произошедшего: ошибка разработчиков сайта, не задумавшихся о том, чтобы запретить индексацию приватных документов для поисковиков. Объясняет Артем Козлюк, руководитель правозащитного проекта «Роскомсвобода».

В апреле 2018 года "КоммерсантЪ” сообщил, что МФО начали раздавать займы-онлайн по чужим документам. Преступники крадут или покупают паспортные данные третьих лиц, а затем дистанционно занимают под эти данные деньги.
14. 1segen1 32 29.10.18 16:18 Сейчас в теме
(11) Где инструкция по использованию этого чудесного инструмента?
15. a_titeev 12 29.10.18 20:05 Сейчас в теме
Там просто дампы из AD. Имена учеток и все. И то, странно как-то выглядящие...
Уже вторую неделю гуляет по сети. А журналисты только опомнились...
17. VmvLer 01.11.18 12:01 Сейчас в теме
Меня умиляют новости

"Данные 15КК пользователей фейсбук утекли в сеть..."
"Данные 10КК пользователей яндекс утекли в сеть..."
"Данные 5КК пользователей сбербанка утекли в сеть..."
....
Думаю эти сообщения вбрасывают скорее с экономических причин:
понизить стоимость акций, убрать конкурента, просто из вредности...

Проще в свидетельстве о рождении для новых граждан или в паспорте для уже рожденных
делать запись:
"Все что вы сохраните о себе в интернете останется там навсегда
и не стоит надеяться на то, что это останется в тайне"

Тогда не будет смысла пугать людей какими-то утечками и раздувать мифы о конфиденциальности
данных в сети.
Оставьте свое сообщение

См. также

SuperJob проанализировал зарплаты выпускников российских ИТ-вузов

Новость ИТ-новость Образование

Сервис по поиску работы SuperJob составил список отечественных вузов, выпускники которых получают наиболее высокие заработные платы после окончания обучения. 

25.06.2020    920    VKuser24342747    0       

Минфин раскритиковал планы Минкомсвязи по субсидированию онлайн-образования

Новость Образование

Министерство связи хочет выделить 300 млн рублей компаниям, предлагающим услуги онлайн-образования. Минфин опасается, что часть этих денег могут получить развлекательные и игровые сайты. 

22.05.2020    1113    VKuser24342747    1       

Боремся с «ленивой самоизоляцией»: цикл публикаций от Елены Дуюн на Infostart.ru

Новость Обучение, бизнес-тренинг, курсы

Организация работы в период пандемии – ценный опыт, которым нужно делиться. Продолжаем обсуждение вместе с бизнес-психологом, консультантом по подбору и развитию персонала – Еленой Дуюн. 

20.05.2020    2475    user997184    1       

Мир после коронавируса: российские компании не сохранят удаленку, США – наоборот

Новость Новости компаний

Многие компании вынуждены были полностью или частично перейти на удаленный формат работы. Но после снятия карантинных ограничений большая часть российских работодателей намерена вернуть сотрудников в офисы. В США ситуация противоположная.

15.05.2020    2017    user1015646    8       

Все.онлайн: в России запущен каталог бесплатных ресурсов для людей в самоизоляции

Новость Госдума Интернет

В России заработал портал, на котором собраны бесплатные ресурсы: развлекательные, образовательные и информационные. Они помогут провести время продуктивно, отдохнуть, заказать товары онлайн.

15.04.2020    1746    user1015646    0       

Минкомсвязи представило приложение для получения QR-пропусков на время карантина

Новость Минкомсвязь Мобильные приложения

В магазинах мобильных приложений появилась программа для получения QR-пропусков во время самоизоляции. В Минкомсвязи сообщили, что решение будет использоваться по всей России, кроме Москвы. 

14.04.2020    1840    VKuser24342747    2       

Опубликован список сайтов «бесплатного интернета»

Новость Интернет Минкомсвязь

Эксперимент продлится с 1 апреля по 1 июля 2020 года. Предполагается, что потоковое видео с сайтов при бесплатном доступе грузиться не будет.

10.04.2020    2404    AnastasiaKl    5       

Александр Жаров ушел из Роскомнадзора ради должности гендиректора «Газпром-Медиа»

Новость Роскомнадзор

Александр Жаров больше не возглавляет Роскомнадзор. Его место займет Андрей Липов, который руководит управлением президента по применению информационных технологий. 

25.03.2020    2048    VKuser24342747    0       

В России обсуждают введение нового вида занятости – удаленной работы

Новость Госдума Законодательство

Если поправки примут, работники смогут трудиться дома и в офисе по одному трудовому договору.

24.03.2020    2695    ЕленаЧерепнева    7       

На карантине: Google Chrome перестанет получать обновления до апреля

Новость Google

Google временно приостановила выпуск обновлений для Chrome. Команда разработчиков браузера переведена на удаленную работу и будет заниматься лишь исправлением проблем с безопасностью.

23.03.2020    2347    VKuser24342747    6       

Минкомсвязь не хочет компенсировать затраты операторов на «бесплатный» интернет

Новость Минкомсвязь Телекоммуникации

Доступ к сайту госуслуг и другим социально значимым ресурсам обещали сделать бесплатным с 1 марта. Но запуск проекта пришлось отложить: Минкомсвязь не успела согласовать нужные документы. 

17.03.2020    2428    user1015646    6       

Фельдшерам и учителям не хватило компьютеров для подключения к интернету

Новость Образование Цифровая экономика

Школам и фельдшерским пунктам не досталось компьютеров, положенных по проекту «Цифровая экономика». Заведения так и не получили возможность выхода в интернет. 

05.03.2020    2317    VKuser24342747    4       

Умер Ларри Теслер – разработчик, придумавший команды «копировать», «вырезать» и «вставить»

Новость Искусственный интеллект Языки программирования

Ларри Теслер , скончавшийся 16 февраля 2020 года, возможно, не является всемирно известным, как Стив Джобс или Билл Гейтс, но его вклад в упрощение использования компьютеров и мобильных устройств нельзя переоценить. Ведь именно он изобрел используемые по всему миру функции «вырезать», «копировать» и «вставить».

25.02.2020    3014    user-programmist    6       

Не на своем месте: суд оштрафовал Twitter и Facebook на 4 млн рублей

Новость Роскомнадзор Судебная практика

Роскомнадзор добился наказания для Twitter и Facebook. Суд принял решение оштрафовать каждую компанию на 4 млн рублей за отказ перенести данные о пользователях в Россию.

20.02.2020    2412    VKuser24342747    9       

ФАС попросит Apple и Google очистить смартфоны для российского ПО

Новость Google

Антимонопольная служба предложила привлечь Apple, Google и Microsoft к исполнению закона об обязательной предустановке российских приложений. Компании будут отвечать наравне с производителями и продавцами устройств. 

04.02.2020    3336    VKuser24342747    30       

Почтовый сервис Protonmail заблокирован в России

Новость Интернет

Спецслужбы считают, что через Protonmail, рассылались ложные сообщения об угрозах минирования на территории РФ.

03.02.2020    3729    Senator_I    68       

Чешские программисты бесплатно создали сайт, на который правительство хотело потратить 16 млн евро

Новость Государственные, бюджетные структуры Госзакупки Онлайн-торговля

Власти Чехии собирались потратить 16 млн евро на создание интернет-магазина для покупки талонов на проезд по платным дорогам. Местных разработчиков возмутил объем затрат: они организовали хакатон и за выходные бесплатно создали онлайн-магазин.

03.02.2020    4519    user1015646    31       

Лучше, чем Google: «Яндекс» возглавил рейтинг лучших работодателей для студентов в России

Новость Google Образование Яндекс

Сервис поиска вакансий FutureToday составил список лучших работодателей для студентов. На первом месте рейтинга в России – «Яндекс», который в этом году смог обогнать Google. 

31.01.2020    3568    user1015646    6       

Большие перемены: назначен новый министр по цифровому развитию и связи

Новость Цифровая экономика

Новым главой Министерства цифрового развития, связи и массовых коммуникаций стал Максут Шадаев. Он сменил на посту Константина Носкова, который сложил полномочия в связи с отставкой правительства.

28.01.2020    3591    user1015646    16       

Готовьте ваши миллиарды: утверждены новые требования к российским DNS

Новость Интернет Минкомсвязь

Минкомсвязи утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы должны будут в течение года хранить информацию о пользователях и обеспечивать время отклика не более 100 мс.

28.01.2020    5030    user1015646    0       

Всем даром: доступ к сайтам госуслуг и госорганов станет бесплатным

Новость Интернет Телекоммуникации

Уже с 1 марта зайти на сайты государственных органов и госуслуг можно будет бесплатно. Ресурсы должны открываться, даже если у вас на счете «жирный минус», заявили в Минкомсвязи.

24.01.2020    3805    user1015646    4       

Российские банки перестанут собирать биометрические данные 

Новость Банки

Проект по сбору биометрических данных в российских банках решили заморозить. Пополнение единой биометрической системы откладывается на неопределенный срок.

23.01.2020    3989    user1015646    5       

Назначен новый руководитель Федеральной налоговой службы

Новость Налоги ФНС

После того, как Михаил Мишустин стал премьер-министром России, Федеральная налоговая служба получила нового руководителя. Налоговое ведомство возглавил Даниил Егоров.

22.01.2020    4303    ЕленаЧерепнева    22       

Минэкономразвития предложило создать российский аналог GitHub

Новость GitHub Цифровая экономика

Министерство экономического развития (МЭР) предлагает выделить 2,1 млрд рублей на создание российской версии GitHub.

21.01.2020    4017    AnastasiaKl    8       

Путин пообещал «бесплатный» интернет и перевод нацпроектов на отечественное ПО

Новость Импортозамещение Интернет

Это значит, что трафик за подключение к социально-значимым ресурсам россиянам оплачивать не придется, а «технологический» законодательный проект облегчит российским исследователям и предпринимателям доступ к инновациям.

17.01.2020    5586    AnastasiaKl    27