IT NewsНовости рынкаБезопасность

Почти миллион клиентов банков под угрозой

Анна Савельева | 10.06.2019

Почти миллион клиентов банков под угрозой

Личные данные клиентов ОТП Банка, Альфа-банка и ХКФ Банка оказались в открытом доступе.

Суммарно утечка затрагивает около 900 тыс. россиян. Имена, телефоны, паспорта и место работы – все это оказалось в Сети и доступно каждому. Базы были выложены как минимум в конце мая этого года. Самая свежая – у Альфа-банка, но самая полная – у ОТП.

DeviceLock, которая в пятницу обнаружила утечку двух баз данных Альфа-банка, датирует первую примерно 2014–2015 годами, а вторую 2018–2019. В первой информация пусть и не сама свежая, однако все еще содержит актуальные данные. Со второй все несколько интереснее: помимо ФИО и телефонов в ней есть год рождения, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130–160 тыс. руб.

Ознакомившись с первой базой, журналистам удалось сделали вывод, что клиенты из нее в основе своей проживают в Северо-Западном федеральном округе, а телефонные номера, в большинстве своем, действуют и принадлежат указанным людям. Органы власти это невольно тоже задело, так как были обнаружены данные около 500 сотрудников МВД и порядка 40 человек из ФСБ.

Вместе с этими двумя базами в комплекте идет еще пара, с клиентами ХКФ-банка и ОТП-банка. В ХКФ-банке могут пострадать 24,4 тыс. клиента, так как их ФИО, паспортные данные, мобильный и домашний телефоны, адрес и столбец «лимит» (вероятно кредитный), теперь у всех на виду. Журналистам также удалось выяснить, что большинство живет в Волгограде и области.

У ОТП-банка под угрозой могут оказаться 800 тыс. человек по всей России. Хоть датируют ее и 2013 годом, несколько человек из базы подтвердили свое отношение к банку.  ФИО, телефоны, почтовый адрес, одобренный кредитный лимит, рабочие пометки о том, как прошел контакт с клиентом – все это содержится в ней.

ОТП-банк утечку не зафиксировал, но и он и Альфа-банк назначают проверки для выяснения всех обстоятельств.

По предположению основателя и технического директора DeviceLock Ашота Оганесяна старая база Альфа-банка могла утечь из компании в результате массового увольнения регионального IT-отдела осенью 2014 года. Вторая – скорее всего дело рук какого-нибудь клиентского менеджера.

Гендиректор Zecurion Алексей Раевский предполагает, что базы оказались в открытом доступе, без паролей, выложенные так спокойно в Сеть, просто потому, что они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности. Теперь клиенты, фигурирующие в них, просто перейдут в руки широкого круга банковских мошенников. Возможно, в ближайшее время им будут звонить под видом служб безопасности банков.

Сложно сказать, клиенты какого банка сейчас в наибольшей опасности. Может, эта ситуация и вовсе пройдет мимо них.

Ранее в своем блоге DeviceLock писала о том, что в рунете обнаружено около тысячи открытых баз данных. Аналитики компании обнаружили «более 1900 серверов, использующих платформы MongoDB, Elasticsearch и Yandex ClickHouse, более половины которых (52%) предоставляли возможность неавторизованного доступа, а 10% при этом содержали персональные данные россиян или коммерческую информацию компаний. Еще 4% уже были до этого взломаны хакерами и уже имели требования о выкупе». Только за последнее время попали в открытый доступ данные пациентов скорой помощи, клиентов сервиса «Звонок» и информационной системы «Сетевой Город. Образование».

В апреле 2019 года, когда была выложена эта запись, Ашот Оганесян привлекал внимание к тому факту, что причиной ситуации являются ошибки конфигурации, вызванные крайне низкой квалификацией их пользователей и отсутствием в компаниях процедур аудита информационной безопасности. Также тогда он писал, что не понимает, кому сообщить о том, что доступ к базе нужно закрыть. Хостеры не выдают данные владельцев, да и в принципе часто считают, что пользовательские ошибки конфигурации не их проблема. А подавляющее большинство самих владельцев реагируют слишком медленно или не реагирует вовсе.

DeviceLock планировала обратиться в Роскомнадзор, чтобы предложить выработать процедуру блокировки открытых баз, содержащих персональные данные.

российский банки, банковские системы, База данных

Журнал: Журнал IT-News, Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
А что IT? А мы работаем, совершенствуемся в популярных технологиях и осваиваемся в новых. И пока до Луны ближе, чем до создания искусственного интеллекта, без работы мы не останемся.
Есть ситуации, когда в ответ на вопрос о том, какие цифровые решения нужны компании, ИТ директор говорит: «А давайте спросим у коллег из маркетинга, продаж или производства, чего они хотят»

Компании сообщают

Мероприятия

Micro Focus Fortify
ОНЛАЙН
26.10.2020
11:30
HI-TECH Building 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Integrated Systems Russia 2020
Москва, Крокус Экспо
27.10.2020 — 29.10.2020
Blue Prism Roadshow Russia
ОНЛАЙН
27.10.2020
11:00
Summit & Award 2020
ОНЛАЙН
5 000 руб
28.10.2020 — 29.10.2020
10:00