Суд опубликовал подробности утечки персональных данных клиентов Сбербанка в 2019 году

tiy8vf-haiez2inferw-z5drrxw.jpeg

Красногорский городской суд Московской области опубликовал на своем портале приговор сотруднику Сбербанка, который смог похитить персональные данные клиентов банка в 2019 году. В данном документе подробно описаны действия злоумышленника, а также показания свидетелей и представителей пострадавшей финансовой организации.

Подсудимый по этому делу получил срок 2 года 10 месяцев с отбыванием наказания в колонии-поселении по ст. 183 ч. 3 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Также он должен выплатить Сбербанку ущерб от репутационных потерь в размере 25 856 157 рублей.
Злоумышленник под личиной сотрудника имел рабочий доступ к одному из каталогов закрытого сетевого сегмента Сбербанка. Он, используя корпоративные ПК и ноутбук, смог скопировать персональные данных клиентов банка, в том числе информацию о счетах, реквизитах платежных средств, номерах телефонов и учетных записях, составляющих банковскую тайну.

Как происходила кража данных:

  • сотрудник с помощью системы предварительной обработки операций с банковскими картами ПАО Сбербанк сформировал единую выгрузку за некоторый промежуток времени и сохранил в виде архива под именем »2019–08–24-svod.rar» в доступном ему сетевом каталоге;
  • потом сотрудник скопировал архив с выгрузкой себе на рабочий ПК, предварительно, размер файла был 5,7 ГБ;
  • на следующий день сотрудник переименовал файл »2019 08 24-svod.rar» в файл «мундиаль.mp4», чтобы скрыть настоящее содержимое архива, и переархивировал его, разбив на 187 частей. У него на ПК появились файлы «мундиаль.partXXX.rar», где XXX — порядковый номер фрагмента с 001 по 187. Архив имел части по 30 МБ, зашифрованные паролем;
  • на следующий день сотрудник скопировал многотомный архив из 187 частей из закрытой сети с одного своего ПК в сеть общего корпоративного сегмента сети Сбербанка, доступную более широкому кругу сотрудников. Для копирования сотрудник использовал корпоративный сетевой файловый перекладчик, установленный на своем рабочем компьютере. Далее он выполнил копирование многотомного архива из 187 частей в почтовый ящик своей корпоративной электронной почты;
  • потом сотрудник с помощью корпоративной электронной почты произвел копирование многотомного архива из 187 частей на свой корпоративный ноутбук. С этого ноутбука он скопировал архив на личный флэш накопитель объемом 8Gb. Далее эти данные были им скопированы на личный ноутбук, который находился по месту его жительства. После копирования сотрудник, с целью сокрытия следов преступления, попытался уничтожить флэшку (написано, что он мог сжечь ее);
  • вечером из дома сотрудник с помощью личного ноутбука на теневой торговой площадке сети Интернет «HYDRA» под псевдонимом «kr33pm41» cвязался с покупателем, чтобы продать содержимое ранее скопированной информации по цене 5 рублей за строку;
  • на следующий день сотрудник выложил в сети Интернет файл с данными о не менее 200 клиентах банка, произвольно скопированных из общего архива. Ссылку на этот файл он передал неустановленному лицу;
  • далее сотрудник с помощью сервиса мгновенного обмена файлами «DropMeFiles» на теневой торговой площадке сети Интернет «HYDRA» разместил сведения о счетах, реквизитах платежных средств, номерах телефонов и учетных записях в отношении не менее 5 000 клиентов банка, произвольно скопированных из общего архива;
  • позже сотрудник получил оплату в Bitcoin за этот архив от покупателя, на тот момент сумма составляла 25 тыс. рублей.

Специалисты отдела кибербезопасности Сбербанка, совместно с правоохранительными органами, в ходе расследования инцидента изъяли рабочую технику подозреваемого сотрудника, а также его личный ноутбук и всю подозрительную электронику у него дома, вызывающие у них сомнение. Флэшку они не нашли.

Эксперт дочернего предприятия Сбербанк компании BI.Zone, которая занимается функцией разведки в интернете и белым хакингом, пояснил, что в ходе расследования он изучал данные с конфискованных дисковых накопителей из ПК и ноутбуков подозреваемого сотрудника, включая логи и журналы событий ОС. Он подтвердил, что файлы с архивом действительно были украдены описанным ранее сотрудником образом, а части архива были переданы по электронной почте внутри компании с помощью Outlook, причем на ноутбуке им были обнаружены и восстановлены удаленные сообщения электронной почты без указанного адресата. Эксперты выяснили, что подозреваемый перенес части архива на корпоративный ноутбук, не пересылая их по почте, а используя почтовый сервер, как хранилище, создав на ПК черновики 187 писем с вложением. Потом эта информация была скопирован на USB накопителя Silicon Power.

Вдобавок эксперты пояснили, что на всех ПК других сотрудников отдела, которым временно руководил подозреваемый сотрудник, был заблокирована возможность подключения внешних носителей, кроме ПК руководителя, у которого этот порт не был заблокирован, так как он служил для передачи данных, полученных у клиентов, во внутреннюю систему банка. Вдобавок у подозреваемого сотрудника был доступ к трем новым корпоративным ноутбукам, на которых также не были заблокированы USB-порты.

После внутреннего расследования представители Сбербанка пояснили, что в организации сделали серьезные выводы и кардинально усилили контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.

2 октября 2019 года Сбербанк рассказал об утечке данных клиентов. Банк признал, что пострадали не менее 200 клиентов, их карты были перевыпущены.

4 октября Сбербанк отчитался, что подозреваемый в утечке данных задержан. Им оказался сотрудник кредитной организации, который руководил сектором в одном из бизнес-подразделений банка и имел доступ к базам данных.

© Habrahabr.ru