numpass collection 10 2020 что это такое
В Сбербанке снова утечка данных — новая информация о клиентах банка выставлена на продажу
Согласно информации издания «Известия», с 12 февраля 2020 года в даркнете появились новые объявления о продаже базы данных, в каждой строке содержащих такую информацию о клиентах Сбербанка: название банковского подразделения, полное ФИО, номер счета, паспортные данные, дата рождения и номер телефона.
Один из продавцов рассказал журналистам «Известий», что у него есть информация о двадцати тысячах клиентах Сбербанка, он оценивает каждую строку из этой базы по тридцать пять рублей. Согласно дополнительной информации от продавца, у него есть возможность выгружать еще по десять тысяч новых строк о клиентах банка еженедельно.
Как выяснили журналисты, большая часть продаваемых данных относится к клиентам финансового учреждения, проживающих в регионах с часовым поясом +5 UTC — в субъектах Уральского и Приволжского федеральных округов РФ. А в полученном ими на проверку тестовом фрагменте данных были клиенты банка, которые имеют счета или карты в Республике Башкортостан.
Чтобы убедиться в подлинности данных журналисты проверяли мобильные телефоны через приложение «Сбербанк Онлайн», где при введении номера можно увидеть имя, отчество и первую букву фамилии пользователя. Шесть из десяти записей совпали, еще три оказались не привязаны к приложению, и в одном случае телефон продемонстрировал другое имя. По указанным номерам телефонов удалось дозвониться до четырех человек: все они подтвердили свое имя и дату рождения.
«С высокой долей вероятности, это действительно клиенты Сбербанка», — подтвердил «Известиям» Ашот Оганесян, технический директор компании DeviceLock. Также Оганесян уточнил, что «новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают».
Информация по этой утечке из Telegram-канала «Утечки информации». Скриншот фрагмента новой базы данных предоставлен для Хабра Ашотом Оганесяном.
Судя по незакрытой информации из таблицы выше (по годам рождения и типу карт VISA Electron), большинство пострадавших от этой утечки являются пенсионерами. В Сбербанке факт новой утечки не подтвердили и не прокомментировали никакую информацию об этом инциденте.
Вдобавок специалисты по информационной безопасности предположили, что у злоумышленников есть ограниченный доступ (через сотрудников) к информационной системе учреждения, который, возможно, ограничен лимитом скачивания в системе ИБ. Например, им нельзя сохранить на внешний ресурс более двух тысяч записей в сутки.
14 февраля 2020 года Сбербанк начал проверять информацию от СМИ о новой утечке данных клиентов. «Ежедневно в сети появляются десятки сообщений с предложением продать базы данных клиентов различных банков и компаний. Мы проверяем любую подобную информацию, в том числе и ту, о которой идет речь в публикации. Там есть данные, ранее уже предлагавшиеся к продаже на теневом рынке и относящиеся к 2015-2016 годам. Сбербанк не являлся источником утечки этих данных», — говорится в сообщении пресс-службы Сбербанка.
Скриншот с разными объявлениями за начало февраля 2020 года от одного продавца в даркнете, предоставлен для Хабра Ашотом Оганесяном.
Ранее в октябре 2019 года были официально подтверждены два факта утечки персональных данных клиентов в Сбербанке. Первая утечка произошла из-за целенаправленных умышленных действий сотрудника самой кредитной организации, а вторая утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал Сбербанк, где также сотрудник агентства смог скопировать данные клиентов из общей базы.
Пример отрывка из утекшей в 2019 году базы данных. Скриншот предоставлен для Хабра Ашотом Оганесяном.
В начале ноября 2019 года сообщалось о появлении в продаже в интернете данных примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Представители Альфа-банка подтвердили утечку данных только пятнадцати своих клиентов.
7 ноября 2019 года стало известно, что Роскомнадзор планирует ввести административную ответственность за незаконное распространение персональных данных и за их покупку и хранение. К весне 2020 года регулятор подготовит и вынесет на общественное обсуждение поправки об ответственности за покупку баз данных утечек украденных личных данных.
В начале декабря 2019 года Герман Греф рассказал, что к 2023 году Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано».
Утечка данных в Сбербанк Numpass Collection 10 2020: что это такое?
12.02.2020 года появилась информация о том, что в Сбербанке снова произошла утечка персональных данных клиентов. Была составлена специальная таблица, в которой отображались следующие сведения: ФИО, номер паспорта, банковский счет, дата рождения, контактный телефона. Некий продавец даже давал интервью в газету «Известие», где утверждал, что продавал каждую строчку по 35 рублей.
Что произошло
После журналистского расследования стало известно, что в базе содержатся преимущественно клиенты, которые проживают в часовом поясе +5 от московского времени. В списке присутствовали граждане, проживающие на территории Башкортостана, Урале и Приволжского края. 
Проверялись номера мобильных телефонов через приложение банка. При вводе показывались ФИО клиентов. По статистике совпадало 6 из существующих 9 записей. В 2019 года у Сбербанка уже происходила утечка, но данная история не является продолжением. Таблицы имеют совершенно иной, новый формат.
Согласно имеющейся информации, большая часть населения является пенсионерами. Однако сотрудники организации никаким образом не прокомментировали данный факт и подтвердили утечку. Кроме того, сотрудники СБ утверждают, что система безопасности работает таким образом, что сохранить более 2000 строк невозможно.
В 2019 году банк подтвердил, что происходило 2 информационные утечки:
7 ноября этого же года Роскомнадзор сделал официальное заявление, согласно которому будет предусматриваться уголовная ответственность при покупке, распространение или незаконное распространение персональной информации. К 2020 году регулятор подготовил необходимые поправки в законодательство, согласно которым каждый гражданин будет ответственен за утечку украденной информации.
В процессе разбирательства по данному вопросу, глава Сбербанка Герман Граф заявил, что к 2023 году будет создана уникальная и эффективная система, которая не даст вынести из хранилища ни один бит информации без предварительного согласования.
«Сняли все, сижу рыдаю». Как у россиян крадут деньги в «Сбербанк Онлайн»
Клиентка Сбербанка Виктория рассказала Bankiros.ru о том, как чуть не стала жертвой подобной мошеннической схемы. На ее сотовый поступил звонок с московского номера, а вежливый мужчина на другом конце провода представился операционистом банка, назвал свое имя, код сотрудника и сообщил, что беседа ведется по защищенной линии.
После этого мошенник предупредил, что содержание СМС, которые придут на телефон, нельзя никому сообщать. С кодами из сообщений он посоветовал сходить в ближайшее отделение банка на следующий день.
«Вот тут я чуть не поверила, все так правдоподобно звучит и выглядит в целом безопасно: приглашает в отделение банка, говорит, что коды называть никому, даже ему, нельзя. Да и разговаривал он очень профессионально. После того, как коды пришли, он сказал, что его работа выполнена, и он переводит меня на другого сотрудника службы безопасности».
Второй «сотрудник» повторил женщине все, что говорил первый. А потом заявил, что картой пользоваться нельзя, потому что с нее пытаются списать деньги. Он предложил обратиться в отделение банка на следующий день и получить новую карту.
«Скачайте приложение, а мы украдем ваши деньги»
Чтобы защитить свои деньги «здесь и сейчас», мужчина предложил скачать специальное приложение в Play Маркет. Оно якобы должно предотвратить списания.
Найти нужное приложение не сложно, уговаривали злоумышленники, достаточно ввести в поиске слово «поддержка».Тем самым приложением оказалась программа TeamViewer, позволяющая управлять смартфоном с другого устройства. Если дать к нему доступ мошенникам, они смогут беспрепятственно списать все деньги.
Нашей читательнице повезло. Она знала эту программу и не стала ничего устанавливать. Но, судя по отзывам в Play Маркет, многие люди после установки приложения лишились своих денег. Около половины всех негативных отзывов связаны с использованием TeamViewer мошенниками:
Как мошенники снимают деньги
Чтобы получить доступ к чужому мобильному банку, мало знать номер телефона. Преступнику понадобится код из СМС и реквизиты банковской картой. Как минимум – ее номер.
Опасность подобного рода мошенничества в том, что преступники не запрашивают личных данных у своих жертв – они у них уже есть. Базы данные клиентов банка может купить любой желающий, достаточно забить нужные слова в поиск. Особенно таких сделок много в социальных сетях. Цены доступные – от пяти до 40 рублей за одного человека, в зависимости от того, какие клиенты вам нужны. Спецкор Bankiros.ru написал сразу по двум объявлениям, и вот какие ответы получил.
Кто торгует данными россиян
По данным ФинЦЕНТРа Банка России, за первую половину 2019 года на просторах интернета было опубликовано 12 903 предложений о продаже баз клиентов, и только 12% из них относятся к данным кредитных организаций.
В качестве крупнейших продавцов личных данных клиентов (имен, фамилий, телефонов, номеров банковских карт) ФинЦЕНТР назвал многочисленные интернет-ресурсы и онлайн-магазины:
«При оформлении заказов клиенты таких ресурсов часто сообщают о себе данные в объеме, достаточном для их дальнейшей идентификации (ФИО, адрес, номера телефонов). А номера банковских карт, использованных для оплаты, иногда получают в результате скрытого встраивания в код ресурсов вредоносного кода, считывающего, сохраняющего и передающего их взломщикам. В некоторых случаях данные клиентов могут быть проданы самими владельцами или сотрудниками указанных ресурсов».
Как не стать жертвой
Никто не сбережет ваши деньги лучше вас. На кражи через специальные программы и списания после разговоров с преступниками не распространяется ни одна страховая программа банковских карт. Вот несколько правил, которые помогут вам не потерять деньги.
Если вы стали жертвой мошенника, немедленно обратитесь в полицию.
Обнаружили ошибку? Выделите ее и нажмите Ctrl + Enter.
Мои учетные данные попали в Collection #1: что делать?
В сети появилась громадная база скомпрометированных логинов и паролей. Рассказываем, как искать в ней свои данные и что делать, если вы их найдете.
Совсем недавно Трой Хант (Troy Hunt), эксперт в области безопасности, сообщил в своем блоге, что в сети обнаружилась огромная база данных под названием Collection #1. В ней более 700 миллионов уникальных e-mail адресов и более 1,1 миллиарда не менее уникальных наборов логинов и паролей. Рассказываем, как проверить, попали ли в базу ваши данные, и что делать, если беда вас не миновала.
Утечки данных и дыры в системе безопасности — нередкое явление. Но иногда они бывают особенно крупными. Многие киберпреступники собирают слитую в сеть информацию, создавая собственную базу логинов и паролей. Причем некоторые хватаются чуть ли не за каждую утечку, чтобы пополнить свой арсенал. Так и появляются такие гигантские коллекции, как предмет исследования Троя Ханта — Collection #1.
Эта база не сформирована в результате какого-то одного крупного инцидента, как было в случае с кражей аккаунтов пользователей Yahoo, — старательный коллекционер с 2008 года пополнял ее данными из 2000 разных утечек. Некоторые записи появились в Collection #1 совсем недавно.
Странно, что в базу не вошли логины и пароли таких известных утечек, как случай с LinkedIn в 2012 году и обе бреши Yahoo (мы уже писали и про первую брешь в Yahoo, и про вторую).
Как узнать, есть ли мои данные в Collection #1?
Поискать свои данные в Collection #1 можно на сайте haveibeenpwned.com. Чтобы узнать, в каких базах украденных данных (которые известны авторам сервиса, конечно) встречается ваш e-mail, просто введите его в соответствующее поле.
Если ваш адрес электронной почты попал в Collection #1, сайт сообщит вам об этом. Если нет — вам повезло, и вопрос можно считать закрытым. Но если удача изменила вам, то готовьтесь к приключениям.
Что делать, если мой аккаунт есть в базе данных Collection #1?
Итак, ваш e-mail попал в коллекцию украденных данных. К сожалению, haveibeenpwned.com не подскажет, какой именно аккаунт пострадал, ведь вы могли использовать этот почтовый ящик для регистрации на многих сайтах: на форуме криптовалют, в электронной библиотеке, в онлайн-сообществе любителей котиков — да где угодно. У вас есть два варианта действий, и выбор зависит от того, использовали вы один и тот же пароль для нескольких сервисов или нет.
Первый вариант: вы используете один и тот же пароль в нескольких аккаунтах, привязанных к одному почтовому ящику. В этом случае придется попотеть — вам нужно будет сменить пароли везде, где использован этот злосчастный e-mail. Да, на каждом сайте. Не забудьте, что пароли должны быть длинными и уникальными. Понятное дело, если вы привыкли использовать один и тот же пароль на всех сайтах, запомнить кучу новых комбинаций будет трудновато. В этом случае может пригодиться менеджер паролей.
Второй вариант: вы используете уникальные пароли во всех аккаунтах, привязанных к одному почтовому ящику. Спешим вас обрадовать: это сильно упрощает задачу. Конечно, можно поступить как в первом случае — взять и сменить все пароли подряд. Но реальной необходимости в этом нет. Сначала стоит проверить пароли с помощью Pwned Passwords, еще одной полезной функции haveibeenpwned.
Достаточно ввести в поле пароль к одному из ваших аккаунтов, чтобы узнать, хранится ли он в базе данных сервиса — в виде простого текста или хэша. Если haveibeenpwned скажет, что ваш пароль был затронут при утечке данных хотя бы один раз, лучше его сменить. Если нет, то все в порядке и можно приступать к проверке следующего пароля.
Если вы не хотите слепо довериться haveibeenpwned и выдать сайту свои конфиденциальные данные, то вместо пароля вы можете ввести в поисковую строку его хэш SHA-1. Сервис покажет те же результаты. В Интернете есть куча ресурсов, которым можно скормить любую информацию и получить ее хэш SHA-1 (можете не гуглить, вот они). Попробуйте этот способ, если не доверяете haveibeenpwned, — одним поводом для паранойи меньше.
Пара советов о том, как максимально обезопасить себя и не стать жертвой очередной утечки
В последние несколько лет случилась уйма утечек, и нет никаких оснований полагать, что их станет меньше — скорее, наоборот. Аналоги Collection #1 будут периодически появляться в свободном доступе, и кибержулики будут все так же рады заграбастать чужие пароли и логины. Соблюдайте несколько простых предосторожностей, чтобы ваши данные не попали в недобрые руки:
«Самые-самые» утечки в 2020 году
В 2020 году главным событием стала пандемия, которая вынудила многие компании перевести своих сотрудников на удаленку. В связи с этим обострились вопросы безопасности и сохранности конфиденциальных данных, так как удаленные работники – легкая мишень для киберпреступников. Без утечек, взломов и вымогательств не обошлось. Какими из них запомнился нам 2020 год? Аналитический отдел компании Falcongaze собрал самые интересные случаи. Приятного чтения.
Самая актуальная: снова она – пандемия.
В этом году сектор здравоохранения потерпел, наверное, самое большое количество утечек. Сливали информацию как о зараженных коронавирусом, так и о медиках. Не обошли стороной и сотрудников ВОЗ.
В апреле в интернет выложили 25 тыс. адресов электронной почты работников ВОЗ. В сети стали призывать людей найти их домашние адреса и преследовать. Причиной была неэффективность сотрудников в борьбе с коронавирусом.
Также в течение года в сети периодически появлялись адреса людей, зараженных COVID-19. Больные Москвы, московской области, Киева, Пензы, Гродно и многих других городов оказались под ударом.
Утечки случались не только по вине злоумышленников. Как предполагают, сотрудники тоже могли быть причастны к тому, что данные пациентов оказались в открытом доступе. В начале декабря данные 300 тыс. заразившихся жителей Москвы появились в сети. Любой желающий мог посмотреть, где лечились переболевшие, какая у них прописка, ФИО и дата рождения.
Самая скандальная: утечка данных клиентов отеля Marriott International.
Весной этого года на своем сайте компания Marriott опубликовала отчет, в котором сообщала об утечке данных клиентов. Сотрудники компании посчитали, что началась она в середине января. Однако выявили ее только в конце февраля. Компания обнаружила, что кто-то имел доступ к информации большого числа клиентов. А получили его злоумышленники с помощью учетных данных двух работников франшизы. В итоге были украдены данные 5,2 млн гостей.
Информация включала в себя контакты клиентов, данные их аккаунтов (но не пароли), данные о поле, дате рождения, информацию о партнерских отношениях и членствах. Marriott подчеркивает, что преступники не имели доступ к паролям, данным кредитных карт и водительских прав.
Как сообщает Data Privacy Manager, серьезность ситуации усугубляется тем, что это не первая огромная утечка клиентских данных отеля за последние два года. В 2016 году компания приобрела сеть отелей Starwood. Во время самого процесса приобретения у нее не получилось поддерживать должный уровень информационной безопасности, что дало хакерам возможность получить доступ к базе данных компании и скопировать ее. Лишь в конце 2018 года компания раскрыла утечку, в которой пострадали данные 339 млн гостей.
В августе на сайте Skift появилась информация, что в Лондоне компании предъявили коллективный иск с требованием компенсации за утечку данных в период между 2014 и 2018 годами.
Самая громкая: взлом twitter-аккаунтов публичных личностей.
Как пишет Kratikal, один из хакеров сообщил, что они использовали автоматический код. Другой сказал, что они заплатили сотруднику Twitter. Злоумышленники использовали внутренний инструмент, чтобы сбросить адреса электронных почт, к которым привязаны аккаунты. Из-за этого владельцам стало сложнее вернуть контроль. Тем не менее, социальной сети удалось это сделать.
В отчете, составленном Управлением валютного контролера, который является частью Министерства финансов США, сообщается, что компании было известно о том, что их меры безопасности являются недостаточными и ей не удалось исправить это.
Утечка произошла в марте и апреле 2019 года. Однако Capital One узнала об этом только в середине июля, когда компании отправили ссылку на GitHub, где в открытом доступе размещались конфиденциальные данные пользователей Capital One.
Самая смешная: фото премьер-министра Болгарии.
Премьер-министр Бойко Борисов обвинил президента страны, Румена Радева, в шпионаже. Он уверен в том, что президент подослал к нему дрона, чтобы тот сфотографировал его во сне. Также он заявил, что некоторые фото в интернете являются поддельными.
Румен Радев отверг все обвинения, но признал, что беспилотник у него есть. Борисов же заявил, что отныне будет спать с пистолетом.
Самая масштабная: 1.2 ТБ данных.
В июле команда сервиса vpnMentor, которая специализируется на исследовании VPN-сервисов, сообщила об утечке 6 баз данных бесплатных сервисов VPN. Среди них были FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.
Базы данных содержали информацию 20 миллионов пользователей, включая адреса электронных почт, IP-адреса, домашние адреса, незашифрованные пароли, платежную информацию и так далее. В целом утечка насчитывает 1,2 ТБ данных пользователей.
Вместо вывода
По прогнозам экспертов Acronis, в 2021 году: