В сети был обнаружен зарубежный сервер Elasticsearch с базой СМС-сообщений, якобы, с номера 900, сейчас данные стерты +24






По информации телеграм-канал «Утечки иформации», в сети Интернет с 12 июня 2021 года находится в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения, предположительно, отправленные с номера 900.

Комментарий от «Сбера» для Хабра: «компания провела проверку и выяснила, что это фейковые данные и они не имеют отношения к клиентам банка».

Сервер обнаружила российская система поиска утечек и мониторинга даркнета DLBI. Ее специалисты обнаружили в базе данных сервера Elasticsearch более 1,5 млн записей об СМС-сообщениях с номера 900 (короткий номер информационной рассылки «Сбера» — системы «СберБанк Онлайн»).

Телеграм-канал «Утечки информации» пояснил, что в базе данных сервера содержатся такие строки:

  • номер мобильного телефона получателя СМС;
  • текст СМС в формате: ФИО делавшего перевод, сумма снятия/перевода, баланс банковской карты и последние 4 цифры карты;
  • дата отправки СМС — c 29.05.2021 по 15.06.2021;
  • сумма на счету — положительная при пополнении, отрицательная при снятии и пусто, если операция не связана с движением средств.

Специалисты DLBI рассказали, что этот открытый сервер Elasticsearch размещается за пределами России. Также информация на сервере постоянного добавляется. За время наблюдения с 12 июня в его базе появилось более 51 тыс. новых записей.

Представители DLBI не смогли связаться с владельцами сервера, но предупредили «Сбер» о факте обнаружения этого инцидента безопасности.

Что было на сервере.

Телеграм-канал «Утечки информации» рассказал, что после обнародования этой информации 17 июня все индексы Elasticsearch на сервере, включая все данные по СМС, были стерты. При этом доступ к самому серверу Elasticsearch по прежнему остается открытым. А сам сервер располагается в Нидерландах.
После проверки всей информации из статьи официальная позиция «Сбера»: «Данные размещенные на сервере Elasticsearch являются фейковыми, они не принадлежат клиентам Сбербанка».

16 апреля 2021 года «Сбер» опроверг утечку данных 500 тыс. клиентов программы «СберПремьер». 14 апреля на форуме в даркнете появилось объявление о продаже данных клиентов «СберПремьер» — специальной программы Сбербанка для обслуживания постоянных клиентов на привилегированных условиях.

2 октября 2019 года Сбербанк рассказал об утечке данных клиентов. Банк признал, что пострадали не менее 200 клиентов, их карты были перевыпущены. Ранее сообщалось, что персональные данные 60 млн клиентов Сбербанка утекли в сеть.

4 октября Сбербанк отчитался, что подозреваемый в утечке данных задержан. Им оказался сотрудник кредитной организации, который руководил сектором в одном из бизнес-подразделении? банка и имел доступ к базам данных. После внутреннего расследования по этому инциденту Сбербанк сделал серьезные выводы и кардинально усилил контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.

В феврале 2021 года Красногорский городской суд Московской области опубликовал на своем портале приговор сотруднику Сбербанка, который смог похитить персональные данные клиентов банка в 2019 году. В данном документе подробно описаны действия злоумышленника, а также показания свидетелей и представителей пострадавшей финансовой организации. Сотрудник смог скопировать из банка архив с выгрузкой данных по клиентам себе на рабочий ПК, а потом перенести его на домашний компьютер, размер файла выгрузки составил около 5,7 ГБ.




Комментарии (19):

  1. vis_inet
    /#23159008 / +2

    Да…
    Такое впечатление, что чем больше законов и прочих регулировок, тем больше данных утекает.

    • knaje
      /#23159124

      Просто пока их толком не регулировали никто и не раскручивал эту тему… как вспомню начало 2000х и базы данных с паспортами и домашними адресами распространяемые просто зачастую бесплатно по принципу — «дай списать»… Сейчас на это внимание пристальное, отсюда и ощущение роста таких случаев. Ну и конечно количество различных онлайн баз выросло — соответственно и больше их утаскивают, просто статистически.

      • grmood
        /#23159180 / +1

        Если вы думаете, что базы с паспортами, адресами, телефонные базы, базы розыска, операторов, ГИБДД и прочие базы, которые можно было легко скачать по принципу «списать», остались в 2000х, то это не так =)

        • knaje
          /#23159232

          я подозреваю что кое где и кое кто это может сделать. Но по крайней мере «на рынке» их так просто уже не купить. Т.е. обычный средний пользователь к ним доступ вряд ли получит легко. Кому надо то полагаю что справятся да )

    • tvr
      /#23159268 / -1

      Такое впечатление, что чем больше законов

      Минут десять назад в новостях
      Председатель ГД рассказал об итогах законотворческой деятельности:
      «Мы ставили перед собой задачу повысить качество законотворчества, увеличив число законов прямого действия»

      • vis_inet
        /#23159314

        Известная поговорка: «Чем больше — там лучше».

        • tvr
          /#23159416

          Количество которое перейдёт в качество?
          Имхо, это совсем не тот случай.

      • vvzvlad
        /#23159326 / +1

        А вы слово «прямого» специально предпочитаете не замечать?

        • tvr
          /#23159372

          Да, я забыл кавычки в определении «прямого».
          Ваша трактовка определённо мне нравится больше.

    • Moondown
      /#23159468

      Все верно. Потому-что законы только придумывают, вводят, а соблюдение их самих остается на откуп "никому"
      И по этому на бумаге у нас получается "красиво", а по факту, как всегда.

  2. kaljan
    /#23159070

    Видимо в Сбере все настолько плохо с ИБ и DevSecOps (если он там есть, ха-ха), что разрабам легче развернуть самостоятельно сервак с логами вне России

    • gsaw
      /#23159212

      Это даже нарушение закона вроде, пользовательские данные должны храниться на територии РФ. А судя по всему это правда, сервак банка. В записях на скриншоте номер операции, айди карточки. Остальные данные тоже на зарубежных серверах хранятся?

      И timestamp от первого июня. Так что наполняться начал еще раньше, просто 12-го наружу торчащим оказался.

      • Misteg
        /#23163156

        Не совсем так, первичная обработка должна происходить на территории РФ. Бэкапы можно хранить за пределами РФ, сами данные тоже можно там хранить.

  3. pae174
    /#23159280 / +5

    Просто это Сбер приступил к реализаии стратегии «9 с половиной правил ведения бизнеса в России».

  4. unC0Rr
    /#23160004 / +1

    Подозрительно круглые цифры баланса на карточках на скриншоте, что наводит мысли на фейк.

  5. BubaVV
    /#23160914

    Не утечка данных, а unintended off-site backup

  6. diakin
    /#23161086

    «Количество действующих банковских карт Сбербанка по итогам III квартала 2018 года составило 123,5 млн»
    «За время наблюдения с 12 июня [по 17 июня] в его базе появилось более 51 тыс. новых записей.»
    Не маловато, не?
    Исследователи могли бы свои данные поискать и сравнить с фактическими. Тогда стало бы понятно.

  7. UltraMax
    /#23164060 / -1

    У меня другая трабла (сам из Беларуси)
    На работе закрыли возможность использовать VPN в Opera :( При попытке включения, тупо висит и ни один сайт не доступен. Понять бы как они это сделали, ибо без него куча сайтов не открывается (