Клиенты Сбербанка обеспокоены появлением в сети сообщений об очередной утечке персональных данных, оказавшихся в открытом доступе на зарегистрированном в Нидерландах сервере Elasticsearch. Вскоре после того, как информация об этом появилась в СМИ и телеграм-каналах, ранее размещенные индексы оказались удалены, а в руководстве кредитного учреждения заявили, что речь шла о «фейковых» данных. Топ-менеджеры Сбера, включая его главу Германа Грефа, предпочитают скрывать возможность «утечек» какой-либо информации о вкладчиках, однако это удается далеко не всегда. Так, в октябре 2019 года был установлен факт «слива» интернет-мошенникам базы, содержавшей данные как минимум о 5 тыс. клиентов, обслуживаемых Уральским территориальным банком Сбербанка. Тогда виновным в утечке был признан начальник сектора одного из управлений Сергей Зотов. Размах его деятельности мог быть гораздо большим, ведь изначально речь шла о базе, содержащей сведения о более чем 60 млн кредитных карт Сбера. Этот и последующие похожие инциденты нанесли удар как по репутации самого Грефа, так и по усиленно продвигаемым им идеям кибербезопасности и цифровизации. Между тем, игнорируя вопросы должной охраны персональных данных вкладчиков, глава Сбербанка предпочитает тратить финансы кредитного учреждения на такие сомнительные проекты, как покупка компании-разработчика «Ё-мобиля» или широко анонсированная сделка по приобретению прав на коллекцию фильмов Уолта Диснея. В самом Сбере Греф усиленно продвигает идеи сомнительного индийского «мудреца» Садхгуру, которого даже пытался вывести на федеральный уровень.
Базу Сбербанка «слили» на Elasticsearch
Российские СМИ и телеграм-каналы сообщают об очередной утечке персональных данных клиентов Сбербанка: речь идет об обнаружении системой DLBI базирующегося в Нидерландах незапароленного сервера Elasticsearch, в индексе которого содержатся SMS-сообщения, предположительно отправленные с номера 900.Телеграм-канал «Утечки информации» уточняет, что на момент обнаружения сервер насчитывал более 1,5 млн записей с информацией следующего характера: телефоном получателя SMS; текстом сообщения, содержащим ФИО лица, делавшего перевод и объем перевода или снятия денежных средств; балансом банковской карты и последними четырьмя цифрами ее номера и суммой, оставшейся после проведения операции.
Все сообщения были отправлены совсем недавно: в период с 29 мая по 15 июня текущего года. В открытом доступе данные появились 12 июня, причем все это время они периодически обновлялись: за несколько дней сервер пополнился более чем на 51 тыс. новых записей.
Установить владельца Elasticsearch не удалось, но специалисты уведомили команду господина Грефа об ошеломляющей находке. Показательно, что уже 17 июня телеграм-канал «Утечки информации» сообщил: все индексы, доступные еще накануне, оказались удалены, однако доступ на сам сервер оставался открыт.
Куда за это время могли «уйти» персональные данные клиентов банка и информация о проведенных ими денежных операциях – вопрос открытый. Так же неизвестно, использовался ли сервер кем-либо из руководства Сбербанка в нарушении действующего российского законодательства или кто-то (возможно, из окружения Грефа) решил подзаработать на формировании и продаже актуальной базы.
Что за «компиляции» «гуляют» в Интернете?
В конце минувшей недели СМИ озвучили официальную позицию учреждения:«Данные размещенные на сервере Elasticsearch являются фейковыми, они не принадлежат клиентам Сбербанка».
Заметим, что на официальном сайте подконтрольной Герману Грефу кредитной организации на сегодняшний день подобного заявления не содержится. Зато предостаточно «глянцевых» сообщений «об успехах и достижениях»:
«Перезапущена программа СберРядом в поддержку малого бизнеса», «Сбер запустил личный кабинет для клиентов в мобильном приложении», «Сервисы Сбербанка признаны лучшими для МСП» и т.д.
Одним словом, не банк, а просто картинка! Вот только информация о том, что данные клиентов Сбера попадают в третьи руки, все чаще появляется в прессе. Параллельно с глубокомысленными рассуждениями Грефа о цифровизации и кибербезопасности. В частности, на прошедшем в начале июня Международном экономическом форуме в Санкт-Петербурге он снова оседлал своего любимого «конька».
«У России есть шанс сохранить свою технологическую независимость в цифровом мире, потому что мы – одна из трех стран, у которой есть свои поисковики, социальные сети и картографические бизнесы. Практически полный набор технологий, который есть у России, позволяет нам развивать свои экосистемы и успешно конкурировать с глобальными экосистемами», – растекался мыслью по древу глава Сбербанка.
Мыслить в мировом масштабе, это, конечно, замечательно. Вот только даже если абстрагироваться от недавних сообщений о голландском сервере Elasticsearch, возникает достаточно сомнений безопасности данных вкладчиков вверенного заботам Грефа кредитного учреждения и их недосягаемости для интернет-мошенников. А оснований для опасений такого рода предостаточно.
Напомним, что в середине апреля портал РБК писал о появлении в сети объявлений о продаже данных «СберПремьер» – специальной программы для обслуживания постоянных клиентов на привилегированных условиях. Как утверждал продавец, в его распоряжении имеются порядка 500 тыс. записей, полученных от сотрудника банка. Издание проверило предоставленный «пробник» из 20 клиентских записей, содержавших ФИО, номер телефона и адрес электронной почты, номер счета без одной цифры, банковское подразделение, номер отделения и порядковый номер клиента в базе. Полученные данные оказались подлинными.
И как же отреагировали в Сбербанке на появление «в продаже» информации об обслуживаемых VIP-персонах?
«Данный семпл – это компиляция из данных, которые гуляют в сети интернет уже достаточно давно, и эти данные не содержат банковской тайны» – сообщил РБК представитель учреждения, исключивший возможность какой-либо «утечки».
Интересно, многие ли вкладчики Сбера в курсе того, что некие «компиляции» их персональных данных, причем, как выяснилось, актуальных, оказались доступны в Интернете? А тот факт, что они «гуляют» в глобальной сети «уже достаточно давно», не только не успокаивает, скорее наоборот, еще больше усугубляет ситуацию. Но Герман Оскарович, как известно, мыслит в планетарном масштабе и такие «мелочи», видимо остаются за рамками его внимания.
Виртуальная «пощечина» Герману Грефу
Пожалуй, самый громкий скандал с утечкой персональных данных клиентов Сбербанка на черный рынок, произошел в начале октября 2019 года. Тогда «Коммерсант» со ссылкой на основателя DLBI Ашота Оганесяна проинформировал читателей о выставленной на продажу на специализированном форуме базе, содержащей сведения о более чем 60 млн кредитных карт (как действующих, так и уже закрытых). Тогда выставленный «продавцами» ознакомительный фрагмент содержал данные о 200 вкладчиках, обслуживаемых Уральским территориальным банком Сбербанка.С целью проверки интернет-сообщений на подлинность, журналисты предложили анонимному владельцу базы найти в ней свои данные.
«Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их», – констатировали авторы «Коммерсанта».
Вот только несмотря на всю серьезность ситуации, в первых сообщениях для прессы Герман Греф, не моргнув глазом, объявил о том, что утечка коснулась данных всего-навсего 200 клиентов Уральского банка, причем она, якобы, не затронула зарплатные и социальные карты. Но дальше события стали развиваться совсем по иному сценарию, нежели рассчитывал глава Сбербанка: спустя всего несколько дней стало известно, что 200 человек превратились уже в 5 тысяч и банковское руководство должно было скрипя зубами признать этот факт, добавив в свое оправдание, что большинство учетных записей «являются устаревшими и неактивными» и «угрозы для средств клиентов нет».
А ведь тот же Ашот Оганесян отмечал:
«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка. Набор полей действительно поражает».
Инцидент стал настоящей моральной «пощечиной» господину Грефу и его приверженности к «продвинутым IT-технологиям». Ведь незадолго до скандала, выступая на пленарной сессии Московского финансового форума, он подверг жесткой критике российские экономические реалии, говорил о фактическом провале нацпроектов и об отсутствии у России «бизнес-модели будущего и модели прорыва».
Что и говорить, в России многие аспекты экономической жизни действительно оставляют желать лучшего, вот только главе Сбербанка неплохо было бы навести порядок в своей собственной вотчине. А то ведь, как выяснилось, его подчиненные шустро «подрабатывают» на стороне, сливая криминальным элементам из интернета информацию о клиентах.
Когда кибербезопасность трещит по швам
Примечательно, что в итоге Греф все-таки взял на себя всю ответственность за произошедшую утечку данных клиентов. Говоря о вине сотрудника, организовавшего «слив», он подчеркнул:«Мы сделали серьезные выводы и кардинально усиливаем контроль доступа к работе наших систем сотрудников банка, чтобы минимизировать влияние человеческого фактора».
Дальше все произошло как в известном высказывании: «никогда такого не было, и вот опять...» Дело в том, что спустя всего несколько месяцев, в феврале 2020 года, «Известия» сообщили о появлении в DarkNet информации о продаже «свежей базы клиентов Сбербанка», содержащей 20 тыс. записей, оцененных в 35 руб. каждая. Более того, продавец пообещал еженедельно выгружать в базу 10 тыс. строк. Авторам издания удалось установить, что появление новой базы никак не связано с массовой утечкой, имевшей место в октябре 2019-го. Высказывалось предположение, что данные попали на «черный рынок» через инсайдера – банковского сотрудника, имеющего доступ к информационной системе или серверу, откуда и произведена выгрузка.
Выходит, что снова всему виной пресловутый человеческий фактор? Но в таком случае грош цена глубокомысленным рассуждениям Грефа о кибербезопасности, если, по его собственным словам, он и его команда снова «приложили недостаточно усилий для защиты от внутреннего предательства». Какой смысл в новейших технологиях, если они раз за разом оказываются в руках потенциальных «предателей», которых в окружении главы Сбербанка просто пруд пруди? И даже угроза уголовного преследования их не останавливает.
Напомним, что подробности утечки персональных данных, имевших место в 2019 году, стали известны только в минувшем феврале. Виновным в хищении был признан бывший начальник сектора управления прямых продаж Московского банка ПАО «Сбербанк» Сергей Зеленин, которого Красногорский городской суд Московской области приговорил к 2 годам десяти месяцам колонии-поселения за незаконное получение и разглашение сведений, составляющих банковскую тайну.
Что ж, если Зеленин действительно «умыкнул» информацию пусть не о 60 миллионах, а всего лишь о 5 тыс. клиентов Сбера, то ему удалось обвести вокруг пальца всю хваленую систему безопасности Грефа с его IT и прочими ноу-хау.
Уолт Дисней, «Ё-мобиль» и мантры Садхгуру
Впрочем, Господину Грефу давно пора спуститься с небес на грешную землю и обратить внимание на то, что происходит вокруг. Но нет, вместо этого он планирует реализацию каких-то невразумительных, но весьма дорогостоящих проектов. Например, в январе стало известно, что руководство Сбербанка рассматривает вопрос приобретения эксклюзивных прав на коллекцию фильмов Уолта Диснея, стоимость которой оценивается в 100 млн долларов.Покупка планировалась для принадлежащего кредитному учреждению онлайн-кинотеатра «Okko». И баснословная сумма уже была бы заплачена, если бы сделку не затормозил законопроект, внесенный на рассмотрение депутатов Госдумы парламентарием Сергеем Горелкиным, в соответствии с которым доля иностранных фильмов в отечественных кинотеатрах не должна превышать 20%.
И если вопрос с картинами Диснея временно «завис» в воздухе, то в феврале Греф смог порадовать себя таким приобретением, как компания «Ё-инжиниринг» – разработчик того самого «Ё-мобиля», проект которого обошелся в 150 млн евро, но был закрыт еще до начала серийного производства. Напомним, что некоторое время идею создания гибридного автомобиля продвигала группа ОНЭКСИММихаила Прохорова, но миллиардер отказался от ее реализации еще в 2014 году, видимо поняв всю бесперспективность начинания. И вот теперь Греф решил использовать сомнительные наработки «Ё-инжиниринг» в работе Сбербанка.
Все бы ничего, все эти и другие инициативы Герман Оскарович реализует отнюдь не за собственный счет: Сбербанк все-таки не его частная лавочка (хотя, возможно, он уже и уверен в обратном). А значит подобного рода сделки оплачиваются за счет вкладчиков, чья финансовая безопасность, как мы можем убедиться, давно стала для топ-менеджеров Сбера вопросом даже не второго, а десятого плана.
Здесь будет уместным вспомнить о том, что Греф регулярно привозит в Россию индийского мистика-йогина Садхгуру, который не только читает лекции сотрудникам кредитного учреждения, но в 2018 году даже умудрился засветиться на одной из сессий Петербургского международного экономического форума, где Греф выступал модератором.
«Идея национальных границ станет бессмысленна. Это и будет будущее всего мира – не знать в какой стране вы находитесь», – проповедовал Джагги Васудев, известный также как Садхгуру.
Что и говорить, чудит глава Сбербанка со страшной силой, вот только отнюдь не себе в убыток! Возможно и за кибербезопасность в его ведомстве теперь тоже отвечают божества индуистского пантеона? В таком случае, с возложенными на них обязанностями они явно не справляются.