Опубликованы служебные файлы DevOps от сотрудника «Сбербанка»
Утечки из «Сбербанка» продолжаются. На этот раз в открытом доступе появились файлы отдела DevOps, которые показывают, каким образом Сбербанк проверяет работоспособность собственных систем, пишет «Коммерсантъ». Эксперты считают, что эти файлы утекли одновременно с адресной книгой сотрудников.
Напонним, что в октябре 2018 года на одном хакерском форуме выложили файл login.csv.zip. Это архив с электронной таблицей login.csv на 47 мегабайт. Поля в базе:
- ФИО
- Логин во внутренней системе (совпадает с адресом электронной почты)
Поверхностная проверка подлинности подтвердила аутентичность базы. В частности, там указаны три правильных адреса электронной почты президента банка Германа Грефа. Подлинность базы подтвердил один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка.
По закону только ФИО не считается персональными данными, так что утечку лишь этой информации нельзя признать следствием ненадлежащей защиты персональных данных. Другое дело, если в связке с ФИО будет другая информация, позволяющая идентифицировать пользователей. Как классифицировать адресную книгу сотрудников «Сбербанка» с указанием логинов и места работы (вплоть до департамента), может решить суд, у юристов мнения расходятся.
Новые файлы — это служебные документы, которые относятся к интеграции процессов разработки и эксплуатации программного обеспечения (DevOps), пояснил гендиректор Zecurion Алексей Раевский. Коллеги из банковской сферы дополнили, что это черновик проекта по конкретной системе «Сбербанка», причём явно незавершенная работа.
Эксперты сходятся во мнении, что имело место не хищение информации, а именно неосторожные действия сотрудника, который, желая поработать дома, отправлял рабочие файлы себе на домашнюю почту.
«Возможность направлять информацию ограниченного доступа на внешний адрес может говорить о невысокой культуре информационной безопасности в конкретной компании, а также об отсутствии качественной защиты от утечек», — отметил Алексей Раевский. Файлы показывают, какие системы использует банк и как проверяется их исправность. Информация может иметь ценность для узкого круга злоумышленников, поскольку указывает на определённые уязвимости системы, что можно использовать при попытке взлома.
«В архиве содержится рабочая техническая документация, обмен которой возможен, в том числе с подрядчиками, через сеть интернет для выполнения производственных задач», — заявили в пресс-службе банка.