Цифра в России №41 от 19/02/2020

Произошла очередная утечка данных из башкирского филиала Сбербанка. Пока она не локализована. С другой стороны исследования показывают, что утечки из банков могут идти и по техническому каналу, в том числе через Backdoors в ПО.

На прошлой неделе корреспондент «Известий» обнаружил в DarkNet  объявление о продаже «свежей базы клиентов Сбербанка». Продавцы утверждали, что обладают базой в 20 000 записей, однако можно в неделю «догружать» 10 000 строк за отдельную плату. Данные продавались по цене 35 рублей за одну запись. Каждая из них содержала название банковского подразделения, ФИО клиента, номер счета, паспортные данные, даты рождения и телефоны. Все подразделения относились к Башкортастану.

«Известиям» удалось проверить некоторые данные из пробного файла. Часть телефонов, имен и другой информации из нее оказалась подлинной. Очевидно и то, что возможность пополнять базу имеют только злоумышленники, которые имеют к базе Сбербанка оперативный доступ либо лично, либо через прямую «прокладку».

В Сбербанке сообщили РБК, что данные клиентов, которые появились в продаже, «могли раньше уже выставляться на продажу. Они относятся к периоду 2015–2016 годов». В октябре 2019 года Сбербанк признал утечку данных учетных записей кредитных карт 5 тысяч клиентов из 7 000 000. Банк установил, что к этому был причастен один из сотрудников банка, который имел доступ к информации. Также в октябре стало известно об утечке базы данных клиентов Сбербанка, где были накоплены сведения о заемщиках с 2015 года. В Сети оказались данные 11,5 тыс клиентов. Выяснилось, что в утечке виноват сотрудник одного из коллекторских агентств, с которым работал Сбербанк.


Специалисты компании в сфере информационной безопасности Positive Technologies пришли к выводу: чтобы проникнуть в сеть российского банка, хакерам нужно в среднем 5 дней. Это показали тесты в 10 банках из Топ-50 российских кредитных учреждений.

Проникновение осуществлялось за счет уязвимостей приложений и ПО, а также подбора паролей. В ряде случаев был получен доступ к банкоматам. Во внутренней инфраструктуре каждого второго банка использовались различные словарные комбинации для паролей, например, admin123, или пароли, состоящие из соседних клавиш, такие как QAZ2wsx. В рамках одного домена могло быть множество, вплоть до нескольких сотен, пользователей с одинаковым паролем, так в одном из банков было подобрано более 500 учетных записей с паролем qwerty123 для доменных учетных записей.

В четырех банках специалистам удалось скомпрометировать учетные записи сотрудников, т.е. подключиться к почтовому ящику этого сотрудника, читать его почту и отправлять письма от его имени, еще в четырех – установить контроль над веб-приложением, в трех – провести атаки на посетителей сайтов, в двух – установить контроль над веб-сервером. Это не считая возможностей BackDoors в ПО, которые оставили западные производители.