30.09.2020

Утечки данных из банков России

2020

• Утечка данных 31 тыс. карт ВТБ
• Суд приговорил экс-сотрудника Россельхозбанка к исправительным работам за разглашение данных клиентов
• Продажа конфиденциальных данных клиентов Альфа-банка в даркнете
• На продажу выставлены данные 12 млн клиентов российских МФО
• Данные 1,2 млн российских пользователей микрозаймов оказались в продаже

2019

• Объем утечек в финансовых компаниях в России подскочил на 58%
• Данные нескольких тысяч вкладчиков ВТБ попали в продажу
• Данные тысяч клиентов "Альфа-банка" и "АльфаСтрахования" выставлены на продажу
• На продажу выставлены данные клиентов Сбербанка. База содержит миллион строк
• Утечка кредитных историй миллиона россиян
• Сбербанк нашел виновного в утечке данных клиентов
• В "Сбербанке" произошла крупнейшая утечка базы данных клиентов
• Данные 900 тыс. клиентов российских банков оказались в открытом доступе
• Данные клиентов-физлиц Бинбанка оказались в открытом доступе
• Данные 120 тыс. банковских клиентов-отказников утекли в интернет

2018

• Масштабная утечка данных о сотрудниках Сбербанка

2010
Утечка данных клиентов заставила Альфа-банк заменить тысячи пластиковых карт

Подробнее:

2020
Утечка данных 31 тыс. карт ВТБ

• В конце августа 2020 года стало известно об утечке данных клиентов ВТБ. В банке признали этот факт, но заверили, что случившееся на несёт угрозы для пользователей.
  Суд приговорил экс-сотрудника Россельхозбанка к исправительным работам за разглашение данных клиентов
  27 июля 2020 года суд в Кемерове приговорил бывшего сотрудника Россельхозбанка к исправительным работам за незаконную передачу данных клиентов. Мужчина был признан виновным по ч. 1 ст. 183 УК (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).
• Продажа конфиденциальных данных клиентов Альфа-банка в даркнете
  24 июля 2020 года стало известно о продаже подробных данных клиентов Альфа-банка в даркнете. В кредитной организации подтвердили утечку информации, но заверили, что она оказалась небольшой, и часть сведений уже неактуальны.
• На продажу выставлены данные 12 млн клиентов российских МФО
  29 апреля 2020 года стало известно, что на киберпреступном форуме были выставлены на продажу данные россиян, оформлявших кредиты в микрофинансовых организациях в 2017-2019 годах. Как уверяет продавец, база данных содержит сведения о 12 млн человек. Он также предлагает бесплатный "пробник" - ФИО, паспортные данные, даты рождения, номера телефонов, электронные адреса, регионы проживания, номера электронных кошельков и суммы займа 1,8 тыс. граждан.
  В каждом наборе данных также содержится ссылка на сайт, через который заемщик узнал о микрофинансовой организации. В большинстве случае это финансовый маркет "Юником24" для поиска и оформления кредитов, микрокредитов, ипотек и пр. Представители маркета проверили "пробник" и подтвердили, что указанный в продаваемой базе идентификационный код клиентов принадлежит одному из их партнеров, но не уточнили, кому именно. По их словам, "Юником24" уже обратился к данной компании с требованием разъяснить ситуацию и уведомлением о прекращении сотрудничества.
  Как считают в "Юником24", вероятнее всего, источником утечки стала сама микрофинансовая организация (МФО). При оформлении заявки на кредит система запрашивает только ФИО и действительный номер телефона, пояснили представители маркета. Паспортные данные, электронные адреса, суммы займов и другие сведения известны лишь МФО, у которой заемщик просит кредит. Тем не менее, когда источник информации оставил заявку на кредит через "Юником24", помимо ФИО и номера телефона система запросила также паспортные данные и дату рождения.
  Данные 1,2 млн российских пользователей микрозаймов оказались в продаже
  6 февраля 2020 года стало известно о появлении в продаже базы данных клиентов микрофинансовых организаций (МФО) в России, среди которых - "Быстроденьги", "Займер" "еКапусту", "Лайм" и "Микроклад".
• 2019
  Объем утечек в финансовых компаниях в России подскочил на 58%
  Объем утечек в финансовых компаниях в России по итогам 2019 года подскочил на 57,6% и составил 13,2% от общего числа таких инцидентов в стране. Об этом свидетельствуют данные Infowatch.

В мире количество утечек конфиденциальной информации в финансовом секторе выросло на 7,9%. Такую разницу с РФ ведущий аналитик ГК Infowatch Сергей Хайрук связал со "сравнительно низкой базой" - утечки из банков и страховых компаний в России до недавнего времени фиксировались и публиковались нечасто.

В финансовом секторе традиционно высока доля утекших платежных данных, то есть сведений банковских карт, необходимых для совершения транзакций. В мире среди всех скомпрометированных записей из финансового сектора она составила 26,1% по итогам 2019 года. В России эта доля почти вдвое ниже и достигла 13,5%. Утечки информации, содержащей персональные данные, для финансовых и страховых компаний в глобальном масштабе составили 64,5%, а в России этот показатель оказался выше на 12 процентных пунктов. В отчете отмечается, что менее чем в 10% случаев утечек в мировой сфере финансов были скомпрометированы сведения, составляющие коммерческую тайну.

По словам аналитиков Infowatch, основная часть утечек в финансовом сегменте происходит в результате умышленных действий или неосторожности внутреннего нарушителя. Такое положение характерно как для мира в целом, так и для России. Среди зарегистрированных случаев доля утечек данных по вине внешнего злоумышленника (хакерские атаки и другие действия неизвестных лиц) в российском финансовом сегменте более чем в 4 раз меньше, чем в мире.

• Данные нескольких тысяч вкладчиков ВТБ попали в продажу
  В ноябре 2019 года стало известно о том, что данные 5 тысяч вкладчиков ВТБ появились в продаже на специализированном форуме.
• Данные тысяч клиентов "Альфа-банка" и "АльфаСтрахования" выставлены на продажу
  5 ноября 2019 года стало известно о том, что данные около 3,5 тыс. клиентов "Альфа-банка" и около 3 тыс. клиентов "АльфаСтрахования" выставлены на продажу. Соответствующее объявление было обнаружено на одном из специализированных форумов.
• На продажу выставлены данные клиентов Сбербанка.
  База содержит миллион строк 23 октября 2019 года стало известно об утечке данных клиентов Сбербанка. На одном из теневых ресурсов продавец предлагает базу данных о заемщиках на миллион строк, накопленных с 2015 года. Помимо стандартной информации, покупателям предлагают запись последнего разговора с колл-центром.
• Утечка кредитных историй миллиона россиян
  18 октября 2019 года стало известно о том, что кредитные истории больше миллиона россиян оказались в открытом доступе.
• ФинЦЕРТ назвал главный источник утечек банковских данных россиян
  11 октября 2019 года стало известно, что в первом полугодии 2019 года специалисты обнаружили на черном рынке порядка 13 тыс. предложений купли/продажи данных россиян.
• Сбербанк нашел виновного в утечке данных клиентов
  5 октября 2019 года Сбербанк опубликовал на своем сайте сообщение о завершении внутреннего расследования по выявлению канала утечки данных учетных записей по кредитным картам клиентов, в результате которого удалось выявить похитителя данных. Им оказался сотрудник банка 1991 года рождения, руководитель сектора в одном из бизнес-подразделений Сбербанка, который имел доступ к базам данных в силу выполнения служебных обязанностей.
• В "Сбербанке" произошла крупнейшая утечка базы данных клиентов
  3 октября 2019 года стало известно, что в интернет утекла база данных клиентов Сбербанка, содержащая информацию о нескольких десятках миллионов владельцев кредитных карт. Объявление о продаже базы данных появилось в Рунете в последних числах сентября 2019 года и было обнаружено основателем компании DeviceLock по вопросам защиты информации Ашотом Оганесяном. По мнению экспертов, ознакомившихся с данными, утечка стала самой крупной в российском банковском секторе.
• Данные 900 тыс. клиентов российских банков оказались в открытом доступе
  9 июня 2019 года стало известно об утечке данных 900 тыс. клиентов российских банков. В открытом доступе оказались паспортные данные, номера телефонов, места проживания и работы граждан РФ.
  Как пишет "Коммерсантъ" со ссылкой на службу DeviceLock, пострадали клиенты Альфа-банка, ОТП-банка и ХКФ-банка, а также около 500 сотрудников МВД и 40 человек из ФСБ.
  Эксперты обнаружили две базы данных клиентов Альфа-банка: в одной содержатся данные о более чем 55 тыс. клиентов от 2014-2015 годов, во второй - 504 записи от 2018-2019 годов. Во второй базе также есть данные об остатке на счете, ограниченном диапазоном 130-160 тыс. руб. Газета ознакомилась с первой базой данных и установила, что клиенты из нее в основном являются жителями Северо-Западного федерального округа, а их телефоны по большей части действующие.
  По данным DeviceLock, информация о клиентах Альфа-Банка могла появиться в сети из-за массового увольнения регионального IT-отдела в 2014 году. Данные долгое время распространялись на черном рынке.
  Как отмечают специалисты, люди, чьи данные оказались в открытом доступе, могут подвергнуться спаму или столкнуться с мошенничеством.
  По всей видимости, человек, целенаправленно собравший эти базы, был или инсайдером, или же находил тех, кто их может украсть, полагает гендиректор Zecurion Алексей Раевский.
  
  Судя по тому, что базы являются устаревшими, скорее всего, они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности. Теперь же люди, фигурирующие в этих базах, могут стать жертвами широкого круга банковских мошенников, - считает эксперт.
  
  В Альфа-банке и ХКФ-банке сообщили "Коммерсанту", что изучат информацию об утечке. ОТП-банк не зафиксировал пропажи данных.
• Данные клиентов-физлиц Бинбанка оказались в открытом доступе
  После объединения с "Открытием", принадлежащим ЦБ РФ, персональные данные клиентов Бинбанка оказались в открытом доступе. Об этом 15 апреля 2019 года сообщили в компании DeviceLock.
  Данные 120 тыс. банковских клиентов-отказников утекли в интернет 12 апреля 2019 года стало известно, что база данных отказников банков появилась в интернете на специализированных форумах. Речь идет об информации о примерно 120 тыс. клиентов (такая цифра заявлена в описании базы), которым отказали в обслуживании финансовые организации по закону о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ).
  Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть - юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП - ФИО и ИНН, про компании - наименование, ИНН, ОГРН. В одном из банков неофициально подтвердили, что в списке реальные клиенты-отказники. Опрошенные эксперты в области информационной безопасности не смогли вспомнить другого случая, когда утечка данных о клиентах банков имела отношение к ЦБ.
  Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года. Именно с первой даты Банк России начал рассылать черный список клиентов в соответствии с положением 550-П. Механизм рассылки выглядит примерно так: банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь,- Росфинмониторингу. Последний обрабатывает полученные от банков данные, передает их обратно в ЦБ, а ЦБ в агрегированном виде - банкам. Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора. Утекшая база начала распространяться несколько месяцев назад, но об утечке не знали ни в ЦБ, ни в Росфинмониторинге.
  В Росфинмониторинге заявили, что исключают возможность утечки информации от них. В пресс-службе Банка России заявили, что регулятор доводит информацию об отказниках до участников рынка в зашифрованном виде по защищенным каналам связи с использованием сертифицированных средств криптографической защиты информации.
  Ответственность за сохранность информации и непередачу ее третьим лицам несет финансовая организация, которая ее получила,- считают в ЦБ.
  В ЦБ не уточнили, планирует ли регулятор предпринять действия, исключающие подобные утечки в будущем.
  Утечка могла произойти множеством способов, указывают эксперты.
  Из ЦБ, Росфинмониторинга, любого банка. База должна была быть только у ЦБ, а банки - направлять ему запросы для проверки клиентов. В таком варианте, по крайней мере, было бы проще локализовать утечку, понять, где она произошла. Теперь это, вероятно, невозможно сделать.
  Алексей Раевский, гендиректор разработчика систем защиты информации Zecurion
  Таким образом, по мнению эксперта, ошибка с точки зрения информационной безопасности была допущена при проектировании системы.
  Для клиентов утечка опасна не только из-за раскрытия данных, но самим фактом присутствия в базе. Попасть в черный список банков клиенты могут случайно, отмечают юристы.
  
  Часто банки вносят добросовестных клиентов в черные списки по халатности или в связи с технической ошибкой. Распространение этих сведений для лиц из списка помимо сложностей с банковским обслуживанием может обернуться проблемами со службами безопасности при устройстве на работу, отказами контрагентов от заключения договоров и иными рисками.
  Амина Аппаева, юрист FMG Group
  
  Подобные утечки могут приводить к самым неожиданным негативным последствиям вплоть до разоблачения гостайн. В качестве примера, случай с "Петровым и Бошировым", настоящие имена которых были скомпрометированы с помощью утекших баз, в том числе ГИБДД.
  Алексей Раевский, гендиректор разработчика систем защиты информации Zecurion
  Распространение подобных баз данных в первую очередь посягает на неприкосновенность личной жизни. Уголовный кодекс предусматривает за это наказание до пяти лет лишения свободы в случае использования служебного положения и распространения данных через интернет. Такие действия также могут быть квалифицированы как неправомерный доступ к компьютерной информации (лишение свободы до семи лет).
  Алексей Гавришев, партнер BMS Law Firm
  Амина Аппаева считает, что преступление также подпадает под статью о незаконном получении и разглашении сведений, составляющих банковскую тайну (до пяти лет лишения свободы, а если деяние повлечет тяжкие последствия - до семи лет). По ее словам, оно носит публичный характер, поэтому правоохранительные органы должны в обязательном порядке начать проверку. Распространение подобных баз данных относится к подследственности Следственного комитета России.
  
  2018
• Масштабная утечка данных о сотрудниках Сбербанка
  В октябре 2018 года в Сбербанке произошла масштабная утечка информации. Была выложена база данных, содержащая подлинную информацию 421 тыс. сотрудников банка.
  В слитой базе хранятся данные о фамилиях и именах персонала, подразделениях, в которых они работают, адресах электронной почты, а также логинах для доступа к рабочим компьютерам.
  База представляет собой простой текстовый файл объемом около 47 МБ. Под удар попали сотрудники не только самого Сбербанка, но и его дочерних организаций, в том числе и зарубежных. По сообщениям тех, кто уже ознакомился с содержимым файла, в нем есть три адреса электронной почты Германа Грефа, главы Сбербанка.
  Как сообщает пресс-служба Сбербанка, источником утекшей информации мог стать один из нынешних или бывших сотрудников банка в результате его злонамеренных действий. Пока это всего лишь версия, и на 29 октября 2018 года истинная причина утечки и ее источник официально не раскрывается. Руководство Сбербанка уже осведомлено о сложившейся ситуации.
  Выложенная в сеть база с данными о сотрудниках Сбербанка актуальна на 1 августа 2018 г. Иными словами, содержащаяся в ней информация еще не успела устареть, и даже если часть людей, чьи имена и адреса электронной почты числятся в ней, уже сменили место работы или e-mail, то их явное меньшинство.
  Достоверность сведений в утекшей базе уже подтвердили некоторые сотрудники банка, чьи адреса почты и имена были в этом списке. Подтверждение также поступило от представителя одной из сторонних организаций, связанной с информационной безопасностью банка.
  Для информационной безопасности Сбербанка даже столь крупная утечка информации не станет проблемой. База не содержит чувствительную информацию: адрес почты и логин для доступа к компьютеру можно сменить за пару минут, а доступ к телефонам сотрудников и адресам их проживания источник утечки получить не смог.
  Но все же столь крупная утечка информации может нанести удар по репутации Сбербанка. Герман Греф в своих интервью нередко упоминал о максимальной защите любой информации, хранящейся в базах данных Сбербанка, и появился реальный повод усомниться в его словах. Клиенты банка, как нынешние, так и потенциальные, могут утратить доверие к нему, ведь если он не смог защитить данные сотрудников, то нет гарантии, что не произойдет утечка личных данных владельцев счетов и депозитов.

2010

• Утечка данных клиентов заставила Альфа-банк заменить тысячи пластиковых карт
  В 2010 г в России среди утечек можно отметить крупную утечку персональных данных из Альфа-банка, после которой банк принял решение об оперативной замене более 7 тысяч банковских пластиковых карт.
• Были в 2010 году и позитивные события: так, ФСБ и Генпрокуратура закрыли несколько сайтов, дававших любому желающему доступ к обширным базам персональных данных россиян. Также весьма показательны примеры судебных исков, предъявленными в нескольких российских регионах гражданами, пострадавшими от утечек их персональных данных.
  
  Источник: https://www.tadviser.ru/Статья:Утечки_данных_из_банков_России