Суд опубликовал подробности утечки персональных данных клиентов Сбербанка в 2019 году

0
6

Суд опубликовал подробности утечки персональных данных клиентов Сбербанка в 2019 году

Красногорский городской суд Московской области опубликовал на своем портале приговор сотруднику Сбербанка, который смог похитить персональные данные клиентов банка в 2019 году. В данном документе подробно описаны действия злоумышленника, а также показания свидетелей и представителей пострадавшей финансовой организации.

Подсудимый по этому делу получил срок 2 года 10 месяцев с отбыванием наказания в колонии-поселении по ст. 183 ч. 3 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Также он должен выплатить Сбербанку ущерб от репутационных потерь в размере 25 856 157 рублей.

Злоумышленником оказался действующий сотрудник банка, который имел рабочий доступ к одному из каталогов закрытого сетевого сегмента Сбербанка. Он, используя корпоративные ПК и ноутбук, смог скопировать персональные данных клиентов банка, в том числе информацию о счетах, реквизитах платежных средств, номерах телефонов и учетных записях, составляющих банковскую тайну.

Как происходила кража данных:

  • сотрудник с помощью системы предварительной обработки операций с банковскими картами Сбербанка сформировал единую выгрузку за некоторый промежуток времени и сохранил в виде архива под именем «2019-08-24-svod.rar» в доступном ему сетевом каталоге;
  • потом сотрудник скопировал архив с выгрузкой себе на рабочий ПК, размер файла выгрузки составлял около 5,7 ГБ;
  • на следующий день сотрудник переименовал файл «2019 08 24-svod.rar» в файл «мундиаль.mp4», чтобы скрыть настоящее содержимое архива, и переархивировал его, разбив на 187 частей. У него на ПК появились файлы «мундиаль.partXXX.rar», где XXX — порядковый номер фрагмента с 001 по 187. Архив имел части по 30 МБ, зашифрованные паролем;
  • на следующий день сотрудник скопировал многотомный архив из 187 частей из закрытой сети с одного своего ПК в сеть общего корпоративного сегмента сети Сбербанка, доступную более широкому кругу сотрудников. Для копирования файла сотрудник использовал корпоративный сетевой файловый перекладчик (так указано в приговоре), установленный на своем рабочем компьютере. Далее он выполнил копирование многотомного архива из 187 частей в почтовый ящик своей корпоративной электронной почты;
  • потом сотрудник с помощью корпоративной электронной почты произвел копирование многотомного архива из 187 частей на свой корпоративный ноутбук. С этого ноутбука он скопировал архив на личный флэш накопитель объемом 8Gb. Далее эти данные были им скопированы на личный ноутбук, который находился по месту его жительства. После копирования данных сотрудник, с целью сокрытия следов преступления, попытался уничтожить флэшку (написано, что он мог ее сжечь);
  • вечером из дома сотрудник с помощью личного ноутбука на теневой торговой площадке сети Интернет «HYDRA» под псевдонимом «kr33pm41» связался с покупателем, чтобы продать содержимое ранее скопированной информации по цене 5 рублей за строку;
  • на следующий день сотрудник выложил в сети Интернет файл с данными о не менее 200 клиентах банка, произвольно скопированных из общего архива. Ссылку на этот файл он передал неустановленному лицу;
  • далее сотрудник с помощью сервиса мгновенного обмена файлами «DropMeFiles» на теневой торговой площадке сети Интернет «HYDRA» разместил сведения о счетах, реквизитах платежных средств, номерах телефонов и учетных записях в отношении не менее 5 000 клиентов банка, произвольно скопированных из общего архива;
  • позже сотрудник получил оплату в криптовалюте биткоин за этот архив от покупателя, на тот момент сумма составляла 25 тыс. рублей.
ЧИТАТЬ ТАКЖЕ:  За CD Projekt Red принялся польский регулятор по защите прав потребителей

Специалисты отдела кибербезопасности Сбербанка, совместно с правоохранительными органами, в ходе расследования инцидента изъяли рабочую технику подозреваемого сотрудника, а также его личный ноутбук и всю подозрительную электронику у него дома, вызывающие у них сомнение. Флэшку они не нашли.

Эксперт дочернего предприятия Сбербанк компании BI.Zone, которая занимается функцией разведки в интернете и белым хакингом, пояснил, что в ходе расследования он изучал данные с конфискованных дисковых накопителей из ПК и ноутбуков подозреваемого сотрудника, включая логи и журналы событий ОС. Он подтвердил, что файлы с архивом действительно были украдены описанным ранее сотрудником образом, а части архива были переданы по электронной почте внутри компании с помощью Outlook, причем на ноутбуке им были обнаружены и восстановлены удаленные сообщения электронной почты без указанного адресата. Эксперты выяснили, что подозреваемый перенес части архива на корпоративный ноутбук, не пересылая их по почте, а используя почтовый сервер, как хранилище, создав на ПК черновики 187 писем с вложением. Потом эта информация была скопирована на USB накопитель Silicon Power.

ЧИТАТЬ ТАКЖЕ:  В минском офисе PandaDoc идут обыски

Вдобавок эксперты пояснили, что на всех ПК других сотрудников отдела, которым временно руководил подозреваемый сотрудник, была заблокирована возможность подключения внешних носителей, кроме ПК руководителя, у которого этот порт не был заблокирован, так как он служил для передачи данных, полученных у клиентов, во внутреннюю систему банка. Вдобавок у подозреваемого сотрудника был доступ к трем новым корпоративным ноутбукам, на которых также не были заблокированы USB-порты.

После внутреннего расследования представитель Сбербанка пояснил, что в организации сделали серьезные выводы и кардинально усилили контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.

ЧИТАТЬ ТАКЖЕ:  26 сентября приглашаем на оффлайн-митап HOT Backend&Web в Краснодаре

2 октября 2019 года Сбербанк рассказал об утечке данных клиентов. Банк признал, что пострадали не менее 200 клиентов, их карты были перевыпущены.

4 октября Сбербанк отчитался, что подозреваемый в утечке данных задержан. Им оказался сотрудник кредитной организации, который руководил сектором в одном из бизнес-подразделений банка и имел доступ к базам данных.