Суд раскрыл детали утечки данных клиентов из Сбербанка в 2019 году
Мундиаль.mp4 на 5,7 Гб, десять часов скачивания и сожженная флешка
Красногорский городской суд Московской области раскрыл детали утечки клиентских данных из Сбербанка в 2019 году: данные украл начальник сектора управления прямых продаж Московского банка, он воспользовался правами администратора и скачал файл из внутренний сети Сбербанка, а затем с помощью почты и флеш-карты переправил их на домашний ноутбук. Об этом говорится в материалах суда, которые последний раз обновлялись 29 января 2021 года.
В октябре 2019 года «Коммерсантъ» написал о сообщении в теневом сегменте интернета о продаже данных 60 млн кредитных карт Сбербанка. В бесплатном пробнике содержалось около 200 записей, утечку которых подтвердил Сбербанк. В утечке был обвинен сотрудник кредитной организации. Всего, по сообщению банка, ему удалось продать 5 тыс. учетных записей кредитных карт Уральского банка Сбербанка.
В сентябре 2020 года Красногорский городской суд Московской области вынес приговор бывшему начальнику сектора управления прямых продаж Московского банка ПАО «Сбербанк» Сергею Зеленину за незаконное получение и разглашение сведений, составляющих банковскую тайну. Суд приговорил его к лишению свободы на срок два года и десять месяцев в колонии-поселении и обязал выплатить 25,8 млн руб. Сбербанку за нанесение ущерба деловой репутации.
Преступление экс-сотрудник Сбербанка совершил в связи с имеющимися у него финансовыми трудностями, говорится в приговоре суда.
Как Зеленин скачал данные
Как следует из судебных материалов, Зеленин в связи с выполнением своих должностных обязанностей имел доступ к закрытому сетевому каталогу банка, в котором хранятся сведения, составляющие банковскую тайну. 25 августа 2019 года из этого каталога он выгрузил многотомный архив в общий корпоративный сегмент банка, который доступен более широкому списку сотрудников. Архив содержал записи об операциях по картам, остатках по счетам, сгруппированные по территориальным банкам, а также персональные данные клиентов: фамилия, имя, отчество, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы и остаток собственных средств.
«С 08 часов 31 минуты до 18 часов 43 минут Зеленин С.А. произвел копирование указанного многотомного архива», — говорится в приговоре. В суде не раскрывают, сколько именно данных скачал Зеленин. Указано только, что архив был поделен на 187 частей и весил 5,7 Гб. По подсчетам основателя сервиса разведки утечек данных DLBI Ашота Оганесяна, который ознакомился с пробником базы данных, файл размером 5,7 Гб может содержать 10 258 256 записей, если база архивирована, то в ней число записей еще больше — в два-три раза.
Файл под названием «мундиаль.mp4» (назван как видеозапись для сокрытия текстового содержимого) был отправлен по корпоративной рабочей почте с рабочего компьютера на рабочий ноутбук, скачан на личную флеш-карту объемом 8 Гб и оттуда отправлен на домашний ноутбук.
Из показаний руководителя Зеленина следует, что тот имел доступ к данным, относящимся к банковской тайне, «для решения оперативных задач в период его (руководителя. — РБК) отсутствия». «На всех персональных компьютерах был заблокирован доступ к портам (то есть к ним не имелось возможности подключения внешних носителей), кроме персонального компьютера Зеленина С.А., у которого не был заблокирован порт, так как он служил для передачи данных, полученных у клиентов, во внутреннюю систему банка», — объяснил эту «дыру» в безопасности данных руководитель Зеленина.
Представитель Сбербанка в ответ на запрос РБК пояснил, что Зеленин использовал права администратора для хищения данных 5,2 тыс. клиентов: «В Сбербанке было проведено внутреннее расследование, реализован комплекс мероприятий по предотвращению повторения таких ситуаций в будущем».
По мнению директора департамента информационной безопасности МКБ Вячеслава Касимова, для предотвращения таких утечек банкам нельзя делать доступными выгрузки чувствительной информации из защищенных контуров, необходимо отслеживать обращения сотрудников к конфиденциальной информации и ее копирование на сторонние носители (флешки, диски и т.п.), а также необходимо внедрить адекватную DLP-систему (технологии предотвращения утечек конфиденциальной информации).
Как продавались данные клиентов Сбербанка
Содержимое файлов было выставлено на продажу в теневом сегменте интернета с личного ноутбука и продавалось по цене 5 руб. за данные одного клиента, для бесплатного ознакомления в интернет было закачано не менее 200 записей. Также Зеленину удалось продать данные не менее 5 тыс. клиентов за биткоины, установили в суде.
«Часть из полученной информации в объеме 5000 строк незаконно была реализована Зелениным С.А. третьим лицам за денежное вознаграждение в сумме 25 000 руб.», — приводит суд слова представителя потерпевшего, имя которого в материалах не раскрыто. Также Зеленин направлял бесплатный файл третьим лицам четыре-пять раз.
После попытки продать данные Зеленин был оперативно идентифицирован и задержан, а ущерб клиентам банка не был нанесен, пояснил представитель Сбербанка. «После приглашения ночью в центр кибербезопасности Сбербанка и общения с сотрудниками осознал всю тяжесть своего поступка. Понимая, что любые последующие действия принесут еще больший ущерб, принял решение уничтожить базу данных на всех носителях», — приводит суд содержание обращения Зеленина к главе Сбербанка Герману Грефу. Он сообщил, что данные на ноутбуке уничтожил 3 октября 2019 года, а флеш-карту разобрал и сжег утром 4 октября, выбросив ее остатки на МКАД в районе Путилково.
