https://habr.com/ru/news/t/469903/

Как-то нехорошо получилось :((( А вы уверены в том, что ваши персональные данные надёжно защищены? Уверены, что раскрытие персональных данных вам ничем не угрожает?

(0) Утекли данные по кредиткам, хорошо что кредитками не пользуюсь)
В защищенности персональных данных не уверен, даже наоборот, уверен что невозможно на 100% что-то защитить в нашем мире. Предполагаю, что раскрытие персональных данных мне ничем существенным не угрожает.

(1) Нынче читать не принято?

(0) Уверен, не уверен, какая разница? Это объективная реальность. Персоналка утекает легко и свободно. Надо приспосабливаться к этой реальности. Теперь, например, можно взять кредит по биометрии и сказать что это не ты сделал, т.к. утекли персоналки были. Пусть Сбер доказывает что это ты взял кредит, а не кто-то воспользовался утекшей информацией.

(0) Интересно на сбер штраф за нарушение 152-ФЗ выпишут? И прочие санкции вплоть до посадок и приостановки деятельности...

(3)ойвсе

(5) Кто ж его посадит? Он же памятник.
Максимум выпишут штраф тысяч на 100-200. Погрозят пальчиком и все. Это международная норма.

(6) Адназчна.

(5) Сбер уже сказал, что никаких утечек не было) а база стало быть фейковая. Как за такое штрафовать)

(2) Ну вот жене впарили при выдаче дебетовки кредитку, она не пользуется, конечно, но данные то утекли. И что теперь делать, блокировать все сберовские карты и перевыпускать?

(9) Сбер таки признал утечку, но не в таких масштабах. Так как база эта выложена за 5 р/кредитка, а не бесплатно в общий доступ, проверить их заявление пока невозможно.

"Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором."
Блокировка Шредингера?

(5) Найдут стрелочника, может даже показательно дело заведут. А саму сберу что будет, пока им клиентскую базу государство нагоняет...

(11) Ну все - теперь можно оплачивать покупки через интернет и утверждать, что это кардеры.

Трижды Ха!... Активных пользователей интернета удивляет факт попадания персональных данных в открытый доступ...
Тут надо удивляться "чё так долго...".

(15) +1

У нас (в Краснодарском крае) очень "чтут" "детский" закон (№ 1539-КЗ от 21 июля 2008 года - кому интересно).
Кратко: спасение утопающих - дело рук самих утопающих; контролировать правонарушения не очень получается - пусть родители отвечают.
Я к тому, что раз инет контролировать не можем - надо (минимум) ограничить. Ну, а лучше всего - закрыть.

(15) То есть, ничего страшного, всё нормально в Сбербанке? А если у вас мошенники деньги сопрут с карты воспользовавшись этими данными - так это вы сами виноваты?

(17) Ограничить и закрыть - это самое простое. Сложнее сделать хорошо.
Если "прикрутить" к данной ветке, то как минимум начать с анализа произошедших нарушений и принятия мер к исправлению ошибок.
Это трудно сделать, но пытаться нужно.
Главное не поддаваться панике.

(18) Речь не об этом.

(20) А о чём, простите?

(19) Когда у нас вводили этот закон - тоже были волнения в массах... Тем не менее, ввели. Рейды проводят...

(19) Ну вот сейчас внесен законопроект об единой государственной БД россиян, и если такая база будет создана, то неизбежно утечёт?

(21)О том,что утечка данных это уже не какое-то удивительное событие,а уже часть современности.Тебе может нравиться или нет,но вот так дела обстоят

(23) Конечно,вся сразу.

Мне интересен набор "личных данных", который утек. Одно дело паспортные данные, они и так слишком многим доступны.
А другое дело - ник, пароль входа в ЛК, номер телефона, на который передается SMS c разовым паролем. Боюсь, что умельцы умеют уже не только звонить с квази-номера банка, но и перехватывать сообщения.

(18) Вполне нормально. Хуже бы было, если-б они об это умолчали. А ежели говорят - значит уже решают проблему.
А на счет мошеничества - тут см. (19) надо повышать грамотность населения в интернете и финансах.
Ну как можно хранить все свои сбережения на одной карте/счете и активно осуществлять покупки в интернете с неё. Не удосуживаясь "пробить" кому переводят.

(24) И те, кто допустил утечку - не виноваты, и их наказывать огромными штрафами, а то и закрывать, не надо?

(9) (11) Уже признал именно в таких:
"Сбербанк сообщил об утечке данных клиентов"
"Банк утверждает, что изучает подлинность информации, которая была распространена для продажи в интернет-ресурсе. В сообщении сказано, что внешний взлом невозможен, так что это был один из сотрудников. Также представители заверили, что угроз средствам клиентов нет.

В распоряжение «Коммерсанта» попал фрагмент базы данных. Издание сообщает о 60 миллионах данных кредитных карт, среди которых 18 миллионов — действующие. Роскомнадзор уже заблокировал форум, на котором продавалась таблица с персональными данными клиентов банка."
https://lenta.ru/news/2019/10/03/sber/?utm_source=yxnews&utm_medium=desktop&utm_referrer=https%3A%2F%2Fyandex.ru%2Fnews

(27) Пенсионеры получают пенсию на карточку сбрбанка, например, и если их обуют мошенники - то они сами виноваты?

(28) Давай дураком  не будешь прикидываться.Кто слил получит по полной.

(26) Собственно, простые держатели карт нафиг не нужны мошенникам с ихними 10 тыщами на остатке. Тут интерес к "черным/серым" картам.

(31) Пожизненный срок получит (это максимальное наказание за уголовное преступление), или как?

(30) Бред не пиши. Мошенникам пенсы нафиг не нужны, слишком велик риск спалиться за 10 тыр.

(33)Что ты,сразу на зенитку задом посадят.Думаю несколько будет статей

(31) Тот, кто слил получит, безусловно. А та организация, которая допустила слив - не при делах, по-твоему? По хорошему, сберу за каждую единицу утекших данных надо штраф впаять, тысяч 10 рублей, чтобы неповадно было.

(34) Мошенникам с Украины ничего не будет, объявят как трофейное.

(35) Ну значит не по-полной получат.

(36) Лучше безусловное возмещение ущерба по заявлению потерпевших.

(34) Это ты так думаешь, что не нужны. С тысячи пенсионеров по 10 тыс. руб - уже миллион.

(38) Естественно, но это помимо штрафа.

(32) почему вы так думаете? Мне как раз предполагается, что обработать много пенсионеров каким-нибудь автоматизированным способом гораздо проще, выгоднее и безопаснее, чем связываться с владельцем карты на крупную сумму.

(36)У тебя есть волшебный способ предотовращать преступления сотров,думаю нет.А вот как на сбере отразиться вопрос,думаю так же как и на других банках кто допускал утечку.Если есть такой механизм в законах то может быть

десять тысяч рублей, да помножить тысяч на пятьдесят пенсионеров - оно и неплохо выйдет

(42) А есть ли способы - это не проблема тех, чьи данные утекли. Будут существенные штрафы - и способы найдут.

(41) Может шанс запалиться больше,тут только гадать можно.Хотя сколько лет уже звонят мошенники и вытягивают у доверчивых граждан с карт

(42) Аномальная активность при слитии базы должна была быть выявлена системой внутренней безопасности. Нафига, например, делать массовые запросы по закрытым картам?

(44) Глупость,даже расстрел не остановит.Слаб человек

(46) Если разовая то могли и проспать.На перевыпуск например

(47) Я про технические меры, а не про репрессивные по отношению к сотрудникам.

(48) 60 млн. запросов? Проспать?

(49)И что они 100% помогают,можно подумать и ранее не выкладывали базы банков.Естественно это отвественность банка тут кто спорит

(50)А что много и кто сказал,что это не было растянуто на длительный период?Или стырил у коллеги данные уже подготовленные

(0) Я удивлен, что росбанки не несут ответственности за потери средств клиентов, связанные с подобными утечками и мошенничеством. А ведь были попытки обязать законодательно, но не прошли.

(36) Ты либо шпиён, либо "школота" ни фига не знающий русского бизнеса.
Иначе должен знать, что все издержки (в т.ч. и штрафы) ложаться в стоимость конечного продукта, т.е. на конечного потребителя.
Другими словами в стоимость обслуживания тех-же пенсионных карт, за которые ты так переживаешь.

(51) Если не помогли - значит, очередной огромный штраф, и пусть ищут те, которые на 100% помогут. У сбера затраты на ИТ наверняка миллиардами в год исчисляются, пусть их на дело тратят.

(52) Стырил у коллеги - это вообще нонсенс, такой возможности в принципе не должно быть. Для такого количества запросов длительный период - это десятилетия, данные потеряют актуальность раньше, чем будут собраны.

(55) Сначала протащи это законодательно,потом будем рассуждать.

(54) Ага, издержки, конечно. Банковский рынок конкурентен, вырастут значительно издержки - клиенты перейдут в другие банки.

(56) Ага,еще как может быть в реальности.Почему десятилетия?Я же предположил,что сделали выборку на перевыпуск

(58):))))))

(57) У меня в сбере карты нет, и, после этого, не будет уже никогда, так что если государство считает, что банки за такое могут отделаться копеечным штрафом, пусть так и будет.

Банком должны руководить профессионалы,
и это точно не Греф.

(61) Ню-ню,эти хоть признали,а другие промолчат.Но ты можешь верить в обратное,это твой выбор

(59) Сделали выборку по перевыпуску? Вообще-то, это не вручную должно делаться, а автоматом, вручную - только единичные случаи, причем там 2 цифровые подписи нужны - оператора и начальника отделения. И зачем полные персональные данные для перевыпуска? Для перевыпуска нужен только ID в базе и те данные, что будут на пластике.

(64) Я предположил,поскольку мы не знаем как сперли.

(63) А ты можешь верить, что абсолютно из всех банков такие данные утекли, и этим себя успокаивать и дальше сбером пользоваться. Твой выбор.

(66) Нет не из всех,но несколько было случаев.Да,именно это мой выбор

(65) Ага, там, может, вообще ИИ всё слил.

(61) я думаю, не застрахован никакой банк. До тех пор пока есть полунищие работники низового и среднего звена, которые вообще никак не заинтересованы в работе и меняют ее раз в полгода, если на другом месте предлагают на 500 рублей больше - такого плана утечки все равно будут, причем у всех. Потому что если у вас есть сотрудник на зарплату 300 у.е., вы никак не избежите того что к нему подойдут, дадут в руки какое-нибудь спецсредство и предложат "подработать".

(68)Если есть иные версии то с удовольствием почитаю

(69) При чем здесь банк, если разработчик имел доступ к реальной базе с устройства у которого была возможность вывода информации во вне.
Расстрелять надо конкретных технических специалистов, это их работа была.

Учитывая, что уже давно мошенники звонят от имени сбербанка, называют паспортные данные клиента, какие карты открыты, можно предположить, что сбер давно уже слил данные своих клиентов.

(71) безопасников тоже могли подкупить. Те и сказали, в какую розетку и когда воткнуть устройство с эзернетом, чтобы утащить базу.

наверняка ведь не все безопасники в провинции получают атстатыщ. Есть и те, на ком экономят. Им тоже нужно подработать. Кто что охраняет, тот то и имеет.

(71) "разработчик имел доступ к реальной базе с устройства у которого была возможность вывода информации во вне." - Откуда информация? Сбер говорит о сотруднике банка.

(75) Если сотрудник банка, тогда вообще всех под корень ИТ безопасников надо увольнять. Вам не кажется бредом, что обычный сотрудник может слить столько инфы?

меня порадовал сбер .. даже мамонты могут выкручиваться как скользкие гады когда прижмут.
Он сказал что у них увели 200 записей.
Я конечно понимаю, что для бабы мани это достаточный аргумент ..ведь это же сам сбер сказал ..
но есть два но .. базу продают не за 1000 рублей , а за 300 млн .. а это немного другая сумма и другие проверки
и потом насчет 200 записей .. а они то как пропали ? и если пропали они то почему их пропало не 200 млн например

(71) Потому, что это сохранность персональных данных клиентов - это обязанность банка.

(73)(75) И на первых курсах ИТ-институтов учат. Логируйте все, что делает программа. Если база данных отдала с помощью программного обеспечения 60 млн. записей и об этом не осталось логов, по которым вычислить весь путь, то это не зачет короче.

(76) нет, не кажется. Быть провинциальным сотрудником банка, даже в ИТ - отнюдь не мурмелад, работа скучная и не очень денежная. Вполне может быть, что кто-то отправляется во все тяжкие. Возможно, в доле с безопасниками.

В общем , чем больше данных - тем больше воровства.
У меня вот у ребенка пытались снять 280 рублей со сберовской карты .. на шару ли или еще как .. но теперь у нее тиньков (ужас-ужас-ужас, но детей не переспоришь)

(76) А кто сказал про обычного сотрудника? Прежде чем фонтанировать фантазиями, имхо было бы неплохо хотя бы какой-то информацией располагать.

(75) Разработчики там имеют доступ к продуктивной базе? Не думаю, что там настолько идиоты.

никакой сохранности перс данных нет.
все данные пробиваются если нужно
https://habr.com/ru/company/devicelockdlp/blog/430914/

А технические способы построения ИС, в которой никто не может утащить значительный объём данных, существуют?

(77) "Он сказал что у них увели 200 записей." - Не выдумывай. Смотри (29).

(81) А что с тинькофом не так?

(83) Это ты задай вопрос (71). Про разработчиков он придумал.

по логике никакой сотрудник не должен был такое сделать, но если сделал .. то так далеко могут пробраться только админы баз, хранинилищ и т.п. Хотя .. у них же хранилища в разных городах и все по интранету литает .. может просто перехватили.

Вот после таких случаев с недоверием смотрю на современные электронные технологии.
Ладно, вас колонка слушает- честному человеку бояться нечего. Но когда обворовывают, это уже гранью.
Ога, еще и электронное голосование запилить и вообще прелесть будет.

(85) я думаю, что существуют, но скорее всего такая система не устроит самих работников банка. Bulk copy слишком нужная вещь, для того же бэкапа. Это что же, сделать систему которая не умеет делать бэкапы?

(89) По интернету все по https летает. Это не расшифровать.

а всякие идентификации по отпечаткам и биометрии - это вообще дыра в безопасности ППЦ

(88) А какая разница кто. Что это за система, где любой специалист не оставив никаких логов, может из продуктивной базы вытащить 60 млн. записей.

(86)
"Вечером  2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка."

Это конечно не вранье в рамках формальной логики, но это крайне не точная оценка бедствия.
Это как сказать что после удара ядерной бомбой по миллионному городу точно гибнет несколько человек, а может чуть больше.

Можете пояснить как утечка персданных поможет злоумышленникам расплачиваться вашей карточкой в интернете? Опустим сейчас соцальную инженерию и прочие аналзы

(92) интернет приличный банк использует только для общения вовне- с клиентом.
Для сугубо важных и секретных данных- vpn, часто выделенка.

интранет .. у них скорее свои каналы задействованы между главным офисом и цодами ..

Хм...

>Основная версия инцидента – умышленные преступные действия одного из сотрудников

Ага, одного. Как бы тут организованная группа лиц по предварительному сговору.
Сколько штат ИТ в сбере? Тысяч 5-6 сотрудников? А сколько на субподряде контор?

Такой слив, а 60 миллионов это вам не хрен собачий, осуществляется отнюдь не спонтанно. Была длительная и тщательная подготовка. Директор по ИТ, если еще не свалил за границу, то валить бы ему побыстрее. Так просто снимут с должности, а так еще и посадить могут. Не все же ему откаты брать, настала пора нести ответственность. Многочисленные технические директора и ответственные за информационную безопасность оптом скупают валидол и успокоительные, особисты лютуют. Короче говоря, веселое утро в сбере.

(62) А ты у нас, значит, главный эксперт по топменеджементу? Очень жаль, что все, кто точно знает как управлять страной, работают или таксистами, или уборщицами.

P.S. Кстати ПФР заявил что у него такой фигни не возможно, типа у него база сертифицированная, а значит утечь персональные данные из ней не могут.
Это что же получается Сбер сидел на пиратской копии и черный 1С-ник слил базу?

(92) (89) Прежде чем бредить про перехваты, неплохо бы почитать источники:
"В банке уточнили, что проникновение в базу данных извне невозможно в связи с её изолированностью от внешней сети."
https://russian.rt.com/russia/news/673795-sberbank-utechka-dannyh-klienty

(96) весь вопрос в том какой комплект данных там. Пишут об очень большом наборе полей. Может быть, там есть _все_ данные для оплаты картой в интернете.

(100) А ты уверен, что это была база 1С?

(101) вы уж читать научитесь - там слово интранет написано.

Не нужны сегодня программисты. У нас огромное количество программистов, с которыми мы боремся", — продолжил глава Сбербанка.
https://ria.ru/20171020/1507247270.html
И не нужны нам математические школы. По-моему, это пережиток прошлого. Я категорический противник математических школ <…> Так было в Советском Союзе, и мне кажется, что это не очень хороший опыт.
https://tproger.ru/news/german-gref-math-comment/

(96) Так там есть номер карты, имя владельца и срок действия карты. Кое-где этого для оплаты достаточно :))

(103) а причем тут 1С? Легенда о черном 1С-ники появилась очень давно. И он занимался не только 1С

(94) Если один человек включал логи, не исключено, вполне может быть, что другой может их либо отключить, либо сделать бесполезными. Многие люди почему-то полагают, что банк это "высшие сферы", там ангела летают и происходят всякие мегачудеса. На практике место скучное, и работают там такие же скучные затраханные тетки и дядьки, которые также любят бакшиш как и все остальные.

в общем, все ожидаемо .. а виноваты во всем не пойманные хакеры ..
так что все претензии к ним ..
т.е. если вы пострадали, то вы должны пойти в милицию
написать заявление
и если они хакера поймают то они его может посадят ..
(в моей случае хакера не ловили)

(104) И как по-твоему можно перехватить данные из банковского интранета? Разве что безопасности никакой нет от слова совсем и любое устройство сразу получает ИП адрес и полный доступ ко всему.

(109) "в общем, все ожидаемо .. а виноваты во всем не пойманные хакеры .." - Сам придумал про хакера? Может, хватит уже бредить?

(110) ну если не сразу, то почему не договориться с тем кто отвечает за это получение, а потом убрать строчку в логе или подменить мак на другой?

(110) всегда есть супер админы .. а потом на хабре есть статья "как я не работал в сбербанке"
там конечно видно, что все перекрыто .. даже доступы к туалетам .. но когда дело доходит до хитрых ситуаций, то начинается раздача прав побольше .. что бы задачу можно было решить ..
но вообще такое стащить можно только из бд.
тут валят на тех кто витрины делал .. но обычно им обезличенные данные одгружают

(101) Хочешь сказать сбер к каждому банкомату прокладывает отдельный кабель от ЦОДа? Т.е. данные не гуляют через интернет?

(112) Да блин, не важно как утечка произошла, важно, чтобы сбер понёс серьёзное финансовое наказание. Иначе всё так и будет продолжаться.

(110) Конкретные данные можно выгрузить. А уж вынести дело техники.
Конечно, вряд ли это сделает уборщица или операционистка.

(111) у РЖД недавно тоже срезали данные. Они так и сказали, что это хакеры.

(115) Когда твой банк повторит такое же,ждать ли от тебя такой же реакции?

(115) Скорее сбер тебя накажет, если на требование сменить пароль ввиду его косяка ты не отреагируешь.

(112) Зачем выдумывать какой-то идиотический бред с подкупом сотрудника, который подменит мак, отключит реальное устройство, почистит логи, подменить мак, когда есть более простой способ - подкупить сотра, чтобы он сразу слил базу?
Меньше смотрите шпионских боевиков.

(115)  Это как? Ну поднимут тариф и компенсируют расходы, делов то. Вот если Грефа бы отсранили за утечку, тогда да, следующий бы подумал. А так, топам насрать на штрафы

(118) Если повторит - то да, чем другой банк лучше сбера?

(110) ой кто-б там чо перехватывал. админ зашел в серверную, вынул диск из рейда и новый вставил. диск отдал кому надо.

https://www.rbc.ru/business/27/08/2019/5d6544519a79475d51ee7532 вот про РЖД
а пресс релиз я видел по телеку ..но наверное он и на бумаге есть

(117) А каким боком это к текущему топику? Тем более, в СМИ уже озвучена версия банка про сотрудника? Так, чисто ляпнуть невпопад?

(123) тоже вариант, что базу обнаружили случайно так как после плановой замены дисков кто то забыл удалить инфу

(121) Поднимут тариф - потеряют клиентов. Хотя, не факт, что им реально до клиентов есть дело.

(123) Это напиши тем, кто тут бредит про перехваты.

(123) Тогда сбер - это шарашкина контора, а не банк.

(125) ну пока версию про сотрудников сам банк не подтверждает https://www.sberbank.ru/ru/press_center/all

(123) К главному серверу с данными клиентов, может просто приходить админ и без всяких документаций менять диск в рейде? Это еще фантастически перехватов. Там камер в этих серверах наверно на каждый сантиметр.

(130) Смотри (101): "В качестве основной версии произошедшего рассматриваются «умышленные преступные действия одного из сотрудников»."

(130) Основная версия инцидента – умышленные преступные действия одного из сотрудников

То-то с начала осени начался шквал мошеннических звонков от "службы безопасности"

(129) а почему нет? шарашкина контора и есть. сейчас весь мир шарашкина контора.

(129) Тю, удивил. Пару месяцев назад находили в мусорки анкеты клиентов Сбера с персональными данными. Кто то взял и выкинул как есть

(136) а ты думаешь по интернету кучу гигов качали или сотрудник на флешке десять лет выносил каждый день по чутьчуть

https://pikabu.ru/story/sberbank_vyibrosil_anketyi_s_lichnyimi_dannyimi_klientov_na_pomoyku_4259391

(138) не на руках ручкой писали, а потом дома руками переносили в компьютер

(139) Комуто впадлу было их через шредер прогнать :))

Кстати это что же получается. Практически каждый второй включая детей и беременных кошек имеет на руках карту сбера?

(142) да почти у всех есть

(142) Это общее число данных о картах, в том числе о закрытых.

(138) ну 60 млн записей это сотня мегов. Тут проблема в другом - что все прекрасно понимают что есть базы с которыми надо работать и явно есть стена на то какие данные могут получены из базы. Далее есть операции за стеной - там мало людей и у них мало поводов что то хитить .. а еще есть сообщения которые пересекают стену .. всякие запросы от множества приложений ..
вот там могли наклеить .. а уж выносить это дело техники.

Наконец то мы узнает, как нам помогает спокойно жить закон яровой .. ведь негодяя должны найти по сети ..
прям в дом придут по айпишнику .. я ведь правильно понимаю, что все записано для того что бы можно было найти кто и что писал.

(145) гигов 10 то точно будет

(142) Одна карта закончилась, взял вторую. Через 3 года - третью - и вот в базе информация о трёх картах.

(146) кстати, может оттуда и спи..ли, где по закону всё хранилось :)

(149) Конечно. Лично Яровая. Иначе зачем она такой закон принимала? Чтобы у неё все банки базы хранили, а она ими торговала. Это ведь так очевидно. :)))

(147) ну как вынести не важно, важно кто имеет право делать такой жирный селект .. или можно ли наделать много селектов и остаться безнаказным.
Я как то вытаскивал платную базу по рекламе .. типа саму базу не мог взять, но натравить на нужные таблицы селект у меня права были ...

(147) база подобного типа (судя по тому о чем говорят в СМИ) весит около 10-20 терабайт

(138) ручкой писал по паре строчек на коже правой руки под рукавом. и каждый день так выносил по 3-5 записей.

(152) да какие там террабайты. это разве что с транзакциями, фотками и т.п. А если просто номера карт фамилии и адреса то там от силы 20-30 гигов

(153) А я думаю, что у него был искусственный глаз, а в нём - камера :))

(152) смотря сколько полей .. я вот при 4 полях вышел на 500 гиг.

но могу и на порядок ошибаться в большую сторону)

(154) я работал в процессинге где использовался такойде way4 как в сбере, видел такую базу в продакшене живьем, у нас она правда сильно меньше сберовской была гдето 2Тб

(145) (152) 60 млн записей... если мерить екселями
то миллион записей на файл, каждый весом 500-700 МБ.
60 файлов, 30-42 гб. достаточно одной флешки.

(70) Скажем так... пока что неизвестен объем слива. Допустим, может быть и так, что несколько сотен клиентов слили ручками, а остальное сгенерили рандомом. Несколько сотен профилей утащить без возбуждения системы безопасности, в принципе, можно. Ну либо там совсем все плохо с ИБ.

как вариант утащили ИТшники из бекапов или из тестового контура где отключили обезличивание, это запросто может пройти мимо СБ

(160) человеческий фактор роляет.
вроде смотришь на тысячи профилей сотрудников - нормальные труженики, без наклонностей, в ярой любви к шатанию трубы не замечены.
с большей частью из них подписываешь соглашения о допуске и пускаешь их поработать.
однажды одному из них бьет моча в голову и понеслась...

(161) тестовый контур это всегда обезличивание. могли конечно перехватить на пути между бекап->тест. когда обфускацию еще не провели, а таблицы развернули.

(100) "ну так вы тоже говорите" (с)

(163) 'всегда' -- в теории только.

у нас например частенько забивали на это если срочно надо было баг обкатать и оперативно выдергивали в тест копию

но потом наверное компьютер и админа вместе с ним в крематории сжигали ? или нет ?

*а иногда прямо в бой запросы тестовые тыкали
==

это правда было во времена самых первых версий pcidss и вообще гораздо проще к такому относились

(91) Бэкап уже на этапе создания должен шифроваться отдельным одноразовым ключом шифрования, и вообще, сам модуль бэкапа - отдельная железка с доступом по нескольким ключам достаточно высоких руководителей.

а вообще , такие банковские системы как контролируют отдачу данных на сторону ? Т.е. легко ли ограничивать выборки ? Или все зависит от бизнес логики и если она позволяет, то отгружается все на сторону ?

(96) CVV кодов максимум 1000 штук. Т.о., вероятность оплаты покупки даже без знания CVV кода - не менее 0,001.

(168) не модуль бекапа, а криптопроцессор... там еща забавная кнопочка есть, нажимаешь и кирдык ключу...и всем бекапам

(168) там сторажи .. нет там бэкапов в привычном смысле .. данные размножаются в момент создания географически.

(172) по разному бывает, у нас например ленточная библиотека была для бекапов

стораджи это хорошо, но они онлайн....если сломать схему БД то "в момент создания" -- умрут все зеркала.. (у нас так разок уронили базу)

(173) сбер до 14 года купил сторажей на мгого десятков млн баксов и закопал их как минимум в трех городах россии .. у меня товарищ все ходил и удивлялся с кем сбер собирается воевать.

(126) Из рейда нельзя просто так взять и вытащить диск. Сначала надо выполнить определенную процедуру, в ходе которой при должном уровне инф. безопасности исправный диск должен быть полностью стерт.

там ещё такая штука, что значимые поля БД защифрованы (типа номеров карт, пин кодов)...интересно в выгрузке они расшифрованы или нет?

(175) Рейды разные бывают. Из зеркала (в некоторых) можно прямо на горячую вытащить. И вставить новый. Который в онлайне будет проинициализирован, пользователи и не заметят.

(148) Номер же не меняется - только срок действия.

(177) поидее операция замены диска должна порождать инцидент в системе мониторинга, пользователи не заметят, но заметит СБ и все кого это касается

(177) это на маленьких системах .. а на их системах .. когда у них отваливается диск об этом знают в штатах чаще чем местные админы .. а физическое вмешательство - там охрана и прочее .. а диски выносятся через процедуру

(162) Система должна быть построена так, чтобы один человек не мог сделать всё - нужна группа, причем чем критичнее действия - тем более высокопоставленный человек должен быть в группе.

Уже три часа "пинаете" сбер, но до сих пор не прозвучало: "Это сделано преднамерено, что-бы выбить из бюджета триллион баксов на систему безопасности, которые Греф отдаст своей любовнице" :)

(171) Модуль - это не только криптопроцессор, но и все остальное железо - диски, сервер и т.д.

(0) ну это жесть конечно, вот и доборолись с программистами. Курпатов еще этот ))) сбер идет на дно ..

(172) Ну оно же зашифровано... должно быть.

(182) Откуда у Грефа любовница??

(177) Это для некритичных применений типа хранилища прона. Таких там не должно быть.

(182) ну, любая конспирология это хорошо, но надо понимать, что бюджет у сбера достаточный что бы решить свои проблема просто за счет понижения ставки тем вкладчикам которые там держат деньги .. пенсионерам и прочим ..
но вот среди записей могут люди совершенно не простые и когда их начнут топорщить и терзать , то они сразу вспомнят где они ее могли засветить и озлобится могут натурально

(186) да, правильно писать любовник) хотя я помню он целый дворец себе под свадьбу закрыл для посещения.

(189) Ты и в этих кругах тоже свой? :))

(190) в каких этих ?

(191) В узких :))

(0) Допускаю такой вариант, утечка это фейк, база тоже фейк, банки скорее всего захотят купить у него базу чтобы посмотреть что за база и узнать возможные пути утечки, ввозможно на этом и хочет заработать.

(192) не, я просто придавал фразе сказанной от лица третьих лиц большую драматичность - ведь у нее же была цель такая - довести ситуацию до абсурда. Т.е. из вполне серьезной сделать ее не серьезной.

(193) Не, в последнее время активизировались звонки мошенников именно клиентам Сбера. Так что явно не фейк.

(193) Мда... тяжелый случай...

(193) 300 млн рублей за любопытство это слишком дорого. Так можно платить только за что-то конкретное и монетезируемое.

(190) по радио об этом обявляли
Глава Сбербанка России Греф является лицом гомосексуальной ориентации.
(с) https://echo.msk.ru/programs/oni/1081166-echo/

(198) а жена то ему зачем тогда ?

(193) тогда почему журналисту дали его данные? Или журналист тоже фейк?

для разнообразия что ли сексуального или что бы щи вариала ?

(198) Но утечка произошла не через этот канал :)

(199) ну естественно для отвода подозрения

(197) для банка не много

(200) Да нет у них никакой общей базы, а есть возможность дёрнуть по конкретному человеку. Отсюда и получили по журналисту :))))

Сбербанк надо лишить лицензии за распи...йство

(203) ну не знаю .. вот прохоров не женится .. постоянно тусуется среди каких то баб и баскетболистов .. но никто же не называет его .. да и какая разница.

(198) Я как-то не слежу за подобными эфирами и публикациями.

(205) но они продают по 5 рублей за запись .. никто не мешает получать пакетами в обмен на деньги .. и прекратить когда пойдет лажа

(207) Ну да, он сам говорил что он педик. Во время выборов глава его штаба был открытый гей. ИНтересно, почему ты считаешь что его так не называет?

Ну вот и раскрыли почему была утечка)))

http://www.dal.by/news/2/24-01-12-5/

(210) ну, не знаю .. просто никогда не слышал .. про грефа слышал .. но мне кажется любой начальник автоматически становится иносказательно пид-м

(211) потому что
- Пидорасы, сэр. (с) Бэрримор

Да сбер сам сливает инфу аффилированным конторам, вот оттуда и произошёл слив.
Открываешь у себра зп проект и понеслось.
Начинают кредиты предлагать и карты кредитные.
И сразу непонятные конторки типа "Суппер пуппер контора по выбиванию долгов" находит какой нибудь штраф пятилетней давности якобы неоплаченный. И сразу вопрос откуда инфа у Суппер конторы.
из опыта, в 2011 году открыл в сбере з/п проект, через пару месяцев нашлись два штрафа по 50р за 2004 год. Я к приставам раз в год всегда заезжал, где эти два болтались понятия не имею.

(215) Странно,у меня нет такого и у моего круга.А вот после магазов техники странно появились спамеры

(216) У злостных неплательщиков жизнь полна приключений :))

возьмите кредит у потом откройте кредитное досье .. с удивлением обнаружите что любой банк который получил ваши данные и галочку что он имеет ими распоряжаться потом лезет в ваше кредитное досье .. так что одной кредитной карты или кредита уже достаточно что бы открыть портал для обзвонов

например почта банк .. в который я обращался за кредитом, что бы как то скрасить себе жизнь в 14 году после этого ежегода лазил в мое кредитное досье и не меньше 20 раз звонил мне что бы узнать не нужны ли мне еще деньги ..
пока я уже матом не стал ругаться в трубку

(218) Странно. Брал кредиты, и не раз. Никаких порталов для обзвона не открылось. Может, я что-то не так делал?

(218) Мне кредиты по телефону предлагали один раз. Из банка. В котором я кредкарту просрочил с закрытиям на 2 года )))

(220) сбер в ки не включен , если там брал то данные не доступны остальным банкам.
Может ты телефон потом поменял, может не в том банке брал ..
вот рекомендую почта банк ..

(222) Телефон не менял. Один из кредитов как раз был в почта-банке.

(223) значит, ты им неинтересен как клиент .

+(223) Вот с зарплатного банка один раз звонили, предлагали кредит. После моего ответа, что мне это не интересно, больше не звонили.

(224) Нет. Это лишь значит, что ты свои данные засветил где-то в другом месте. Вот и всё.

+(226) Или подписал согласие на обзвон.

(226) Да больше похоже на правду

(226) Чо ? Т.е. мне звонят люди , представляются работнтниками почта банка и предлагают взять кредит .. дальше какие их дейстия ?

(228) похоже на правду что ? Что взял вот и сказал. Ребеят. У меня паспорт такой, зовут меня так .. и мой номер телефона (а их у меня несколько) и номер телефона возьмите .. и еще мне нужны кредиты .

Одно то что у меня есть телефон для внешнего мира и для знакомых и всякие прорывы на него означают, что сливаются данные где-то покруче чем в маркетинговых базах.

(230) Что ты не в банке оставил свои данные,а где-то еще.Или ты будешь говорить,что нигде не подписывал согласие на обработку

(229) "дальше какие их дейстия ?" - Откуда мне знать? Лично мне не звонят по 20 раз с одного банка, я всегда с первого раза могу дать понять, что мне это не интересно.

(232) Я , подписывал в едином окне. Дальше в визовых центрах, но там нет связи на телефоны - я там домашний пишу. Кроме банков и визовых центров больше нигде не подписывал, короче.

(234)Сомнительно,я вот не помню все места,ну да ладно,ваше дело

(233) выводы это все фантазия, из фактов только незаинтересованность банков в звонках вам.
Мне вот из мтс например раз в три месяца звонят, что бы помочь перейти на другой тариф, так как я с их точки зрения не оптимально его использую.

(235) Вы просто попытайтесь вспомнить где вы его еще могли оставить и поймете, что таких мест очень мало.

(236)мне банки звонят,все где были карты,нифига себе нет заинтересованности.(236)Но жара звоноков пошла когда что-то их техники покупал.
Опсосы отдельная песня

(237) То ли эльдорадо это был.

(238) да, я технику и покупал .. типа потреб кредит со страховкой ..

(240) Да,там какая-то была доп.услуга,я прощелкал ее и они брали кучу данных

(236) "из фактов только незаинтересованность банков в звонках вам." - Ну правильно. Откуда у них будет заинтересованность, если я им с первого раза внятно объясняю, что новый кредит мне не нужен? Видимо, ты не можешь им внятно объяснить, раз тебе по 20 раз с одним вопросом звонят.

(241) просто согласия редко просят. Обычно там где работают с документами .. где они берутся в виде копий и т.п. .. так что слил тут дело такое .. обычно без этого не обойдешься .. например визу не получить.

(242) мне кажется если мне не нужен кредит, что я просто не звоню в банк, и если я отвечаю на закрытый вопрос одназназным ответом, то вариантов не так много. Просто их срм считает что прибыль на моем кредите высокая и шансов что я его возьму тоже много, то она его вставляет в лист обзвона. А далее маша, петя , коля просто набирают номер и читают текст. И им совершенно все равно что я отвечу, если это не ответ "Да".
Более того, например у меня лежал в россбанке депозит, так они по своим критериям решили что мне нужен кредит (я догадываюсь по каким) , так мне не только звонили .. меня один раз выловили в отделении когда я в кассе деньги вносил и сделали "персональное " предложение. А вы просто не интересны. Вы скорее всего не брали потреб кредитов и у вас много денег. Так что вы им не интересны.

(244) наличие депозита не отменяет возможность брать кредит.
и люди берут, чтобы проценты по депо не потерять

(245) Ну не до такого же абсурда что бы в одном банке. Я даже попытался выяснить как они себе представляют это .. типа у меня лежат мои деньги под 7 процентов , а они мне дают их же под 18 .. и в чем для меня смысл это этой операции.
Ответ был .. "ну может вы хотите получить дополнительные возможности" .. в общем у меня как раз истекало время депозита там и я их забрал .. кстати сразу перестали мной интересоваться

(246) почему нет? вполне нормально

Если у тебя конечно неснимаемый депозит

(247) вы выше приводите пример краткосрочного кредитования .. для этого есть кредитки , офердравты или заготовки ..
а эти нехорошие люди просто предлагают какой то кредит (да еще со страховкой скорее всего , которая стоит х.з. сколько)

(10) "И что теперь делать, блокировать все сберовские карты и перевыпускать?"

Хранить на карте только ту сумму, которую не жалко потерять. Остальное - на отдельном счете. Перевод в мобильном приложении перед покупкой. Это хоть как-то убережет, от специфики (super)"секретного" и выбитого прямо на карте cvv, которую несомненно придумали идиоты.

(250) Если это зарплатная карта, то не соскочишь со сбера. Только перевыпуск. С правилами безопасности понятно, конечно.

(250) а какие риски ? мне кажется номер и фамилия это не так много .. самое плохое если там кредитный лимит есть.

(244) "Вы скорее всего не брали потреб кредитов и у вас много денег. Так что вы им не интересны" - Я как раз и брал потребкредит в почтабанке. Точнее, брал товар в кредит типа "рассрочка". Только я в договоре, где был пункт что-то там про информирование по телефону, поставил "Нет". Может, в этом всё дело?

(253) может и в этом, я не помню что я ставил в 2014 году .. впрочем мне звонили как минимум из 5 разных банков за эти годы .. и с ними я точно в отношениях не был ..
последнее что получил это был совкомбанк ..правда тот только почту знает..
а так мне и тиньков что-то предлагал
и еще какая-то экзотика ..
единственные порядочные люди ..это райфайзен .. я как то у них карту порезал .. так мне даже письма перестали на почту приходить.

(254) Ну такого у меня вообще ни разу не было - чтобы звонили из банка, с которым у меня не было отношений.
А вот на мыло, бывает, приходят письма, как правило с картинкой Альфа-Банка (но бывает и с другими), но с явно сгенерированных адресов. Я такие, как спам сразу помечаю, но приходят они на почту, которую я везде указываю (на форумах и пр.) - вот она и засвечена.

(255) если потреб кредит в магазине .. то он запрашивается в список банков ..
у меня вот два запроса на потреб кредит
один - 5 банков .. далее 2 из них непрерывно шарили по кредитной истории
второй - 4 банка и с их точки зрения я с ними тоже общался ..
Т.е. по факту я брал кредит в одном банке, а по их мнению я обращался в каждый из них.

(256) "если потреб кредит в магазине .. то он запрашивается в список банков .." - Кстати, да. В некоторых магазинах сейчас сидит один менеджер на всё. Раньше, помнится, в Эльдорадо - их сидела целая грядка - типа у каждого свой банк. А в магазине, где я брал, мне тетка по кредитам сказала, что они только с почта-банком работают. Видимо, ещё от этого зависит, куда твои данные попадут.

(209) 5 рублей за запись маловато... в начале 2000х данные карт с cvv кода по 4 бакса шли

так когда то нет. А что с ними без кода можно сделать .. напрямую же не ощипать .. только если отобрать самых жирных и какими то другими не банковскими способами.

кода нет.

(259) Говорят, ещё есть интернет-магазины, где можно по карте без cvv кода купить. Но мне давненько не попадались такие. Сейчас обычно помимо CVV ещё и код из смс просят.

есть то они есть, но они тут не работают.. т.е. не дадут они скорее всего купить ничего из этого региона потому, что итого для них известен .. товара не будет, денег тоже.
Да и пин сильно не помогает .. тяжело такие суммы протащить через товар .. возвраты сейчас везде на те же карты ..
так что остается только как то иначе добираться до денег .. а для этого нужно что-то еще ..

(261) вчера покупал билеты на сайте АЭРОФЛОТА - 86к списалось без CVV и SMS только в путь
две недели назад на западном сайте - покупали ПО - 136К без CVV и прочего...
в Тайланде , даже если у вас двойная индетификация на карте стоит - просто подносишь карточку к терминалу и все оплачено

(263) Упс...

(261) полно таких сервисов, это в РФ все поголовно на 3DS сидят, а за бугром банки ближе к народу...там на любой чих транзакцию откатят без вопросов

а у нас "срок рассмотрения 180 дней, ожидайте"

(265) Ой, вот давайте не будем про "как у них...". Там "у них" и процент невозврата мизерный, поэтому и ставки на кредит низкий. А у нас ты платишь половину ставки как риск невозврата, коего в России почти четверть от общего количества займов.

(263) "просто подносишь карточку к терминалу и все оплачено" - К терминалу это понятно.

(265) " а за бугром банки ближе к народу" - Не ближе, а тупо более отсталые и небезопасные в техническом плане:
"Россия стала мировым лидером по числу защищенных токенизированных трансакций и крупнейшим в Европе рынком по объему операций с использованием цифровых кошельков, следует из доклада консалтинговой компании BCG. "
https://www.kommersant.ru/doc/4112014?utm_source=yxnews&utm_medium=desktop&utm_referrer=https%3A%2F%2Fyandex.ru%2Fnews

ну у иностранных банков и история побольше ..
например сейчас вся молодежь с телефонами ходит ..я вот вряд ли карту привяжу к телефону .. так и там есть клиенты которым все эти новшества до фени ..

Кстати, по части утечек Сбер не лидер:

"29 июля стало известно о взломе сервера с информацией о клиентах американской банковской холдинговой компании CapitalOne. В результате инцидента произошла утечка персональных данных более 100 миллионов человек."
https://ria.ru/20191003/1559392601.html

Получается, у них системы не изолированы от Интернета? Редкостные идиоты.

Да, но у меня например нет карточки капитал она .. а сберовских две ..

так что меня волнует судьба только наших идиотов ..

кстати , чуть раньше я попал на два инцедента с бритишами и мариотом .. но не пострадал .. а если бы пострадал, то там были какие то компенсации.

(0) Что-то мне подсказывает, что утекли данные злостных должников и не только... похоже сбербанк коллекторам слил личную информацию... как бы случайно :)

(267) а это тут причем? я про опротестовании транзакций, а вы о кредитных продуктах

(269) Это всего лишь следствие нашего менталитета - у нас в порядке вещей получить заказ, а продавцу сказать что не получил (т.к. тот отправил заказ без отслеживания) и стрясти деньги обратно. Более того, наш народ еще и гордится такими поступками.

(276) А это звенья одной цепи... См (277)

(277) Ты китаец, что-ли?

новая утечка в Сбере
https://ria.ru/20191007/1559525640.html
Сбербанк выявил новые утечки данных карт своих клиентов
22:27 07.10.2019 (обновлено: 23:44 07.10.2019)
МОСКВА, 7 окт — РИА Новости. Сбербанк заявил о новых утечках личной информации клиентов. Об этом сообщается на сайте компании.
Служба безопасности банка совместно с правоохранительными органами обнаружила, что сотрудник, причастный к уже известной утечке данных 200 клиентов, совершил еще одно преступление.
"В конце сентября сотрудник продал несколькими траншами одной из преступных групп в теневом интернете в совокупности пять тысяч учетных записей кредитных карт Уральского банка Сбербанка", — говорится в сообщении пресс-службы.
...................
Глава Сбербанка Герман Греф рассказал, как удалось вычислить преступника.
По его словам, изначально в круг подозреваемых входили 35 человек, однако потом он был сужен сначала до двух, а затем до одного сотрудника банка, который впоследствии и дал признательные показания.
Злоумышленник объяснил свой поступок личными причинами, банк проверяет эту информацию."

(280) сотрудника премировать бы не мешало - показал узкое место в организации хранения данных

еще утечка, на этот раз в Билайне. появились новости о первых пострадавших
https://www.banki.ru/news/lenta/?id=10907904
"От утечки персональных данных абонентов «Билайна» пострадали 10 клиентов банка «Точка»
08.10.2019 22:19
Зафиксированы первые пострадавшие от утечки персональных данных абонентов домашнего Интернета сотового оператора «Билайн». Ими стали 10 клиентов банка «Точка», узнали «Известия».
Кредитная организация разослала всем пользователям своих услуг сообщение с просьбой срочно поменять пароль от интернет-банка и мобильного приложения (есть у «Известий»). В пресс-службе «Точки» подтвердили факт кражи денег со счетов из-за слива базы «Билайна» и заявили, что ведут расследование совместно с правоохранительными органами, ЦБ и сотовым оператором.
«По странному стечению обстоятельств у всех пострадавших был один оператор связи — «Билайн», пароль для входа в интернет-банк совпадал с паролем от личного кабинета у сотового оператора, и была настроена переадресация, которую клиенты, как они нас заверили, не включали. Мы проводим серьезнейшее внутреннее расследование и подключаем к этому правоохранительные органы, ЦБ и коллег из «Билайна», — заявил «Известиям» основатель «Точки» Борис Дьяконов."

(281) Сотрудник показал, что он является узким местом?

(283)люди - слабое звено, вывод - по максимуму избавляться от людей, заменяя их искусственным интеллектом. там где что-то доверяется человеку - жди подвоха, слишком уж много у человека как исполнителя потенциальных побочных интересов абсолютно не требующихся для выполнения рабочих задач, а в каких-то случаях и мешающих им.