Все говорят об утечке данных миллионов клиентов Сбербанка. Как такое вообще возможно?

«Не уверен, что можно говорить о данных 1 млн человек, — говорит основатель компании DeviceLock (разрабатывает софт для защиты корпоративной информации) Ашот Оганесян, исследовавший вторую украденную базу по просьбе «Коммерсанта». — Продавец слился в середине общения. Мне он говорил о 37 тысячах, «Известиям» — об 11,5 тысячах, «Коммерсанту» — об 1 млн. Цены тоже называл разные: мне — 50 рублей, журналистам — около 30 рублей».

«Таких масштабных утечек из банков обычно не бывает. Я могу поверить в утечку в несколько десятков тысяч — то есть в размер среднестатистического регионального отделения, но не в 60 миллионов», — говорит один из специалистов на рынке кибербезопасности. Выгрузить даже 1 млн данных одному человеку было бы сложно: системы безопасности банков обычно оценивают объем выгрузки и блокируют работу сотрудников при нестандартных операциях. Масштаб утечки вызывает вопросы, даже с учетом того, что во взломе участвовал сотрудник самого банка, соглашается топ-менеджер другой крупной компании из той же сферы. Но инсайдерские атаки действительно — большой фактор риска, добавляет он. Возможные способы профилактики: машинное обучение, слежка за сотрудниками, разграничение прав доступа, но абсолютной защиты от человеческого фактора это не дает.

Все люди в слитых базах — реальные: как это можно проверить?

Данные из Сбербанка и других банков появляются на профильных форумах регулярно. Чаще объявления выглядят как поиск сотрудника банка или его колл-центра, а уже в личной переписке пользователи договариваются о продаже данных. Например, на форуме «Пробив», одном из крупнейших, только за последний год Сбербанк упоминается в сообщениях о продаже данных больше 20 раз.

Есть несколько способов проверить подлинность информации в подобных базах:

• Журналисты обычно покупают несколько строк и проверяют на подлинность их. Этот метод, конечно, не позволяет даже примерно оценить ни реальный объем базы, ни ее качество (достаточно допустить, что продавцом может быть сотрудник банка, который на рабочем месте ищет информацию по запросу и выдает ее за данные из украденной базы).
• Второй способ — его используют преступники, регулярно покупающие данные из подобных баз — основан на оценке надежности продавца. Такую оценку дают администраторы крупнейших форумов для торговли личными данными, таких как «Пробив», «Даркмани» или «ВВХ Клуб». На форуме «Дубликаты» тоже есть раздел «Проверка продавца». Чтобы подтвердить статус, продавец должен заплатить администрации форума (на форуме «Дубликаты» администратор работает под ником «Гарант») от 15 до 150 тысяч рублей — в зависимости от уровня. В процессе продавец должен подтвердить доступ к данным, которые он продает. Считается, что продавцам с высоким статусом можно доверять. Если данные окажутся недостоверными, покупатели пожалуются администратору и он заблокирует продавца.
• Самый надежный способ — покупка всех данных. Но, учитывая, что одна строка в базе стоит, как правило, от 5 до 40 рублей, это непрактично.

Все предыдущие крупные утечки либо компоновались из разных источников и баз, либо были сфабрикованными: то есть данные внутри выглядели как настоящие, но такими не являлись, говорит сотрудник компании на рынке кибербезопасности. Проверять их достаточно сложно, подтверждает он: вы можете запросить выборку из десятка строк — и вам выдадут 10 наборов реальных свежих данных о пользователях, которые получили методом пробива. Они будут достоверными, но это не сделает всю остальную базу реальной.

28-летний сотрудник банка и коллектор из Волгограда: кого обвинили в сливе данных?

В случае с обеими утечками Сбербанк заявлял, что раскрыл преступников в «течение считанных часов». Нарушителем в случае с утечкой «на 60 млн» оказался 28-летний менеджер среднего звена, имевший доступ к базе данных и решивший на этом «заработать». Другой информации о нем не последовало.

Второй злоумышленник, как обнаружил в четверг The Bell, разместил объявление о продаже данных клиентов Сбербанка на форуме «Дубликаты», зарегистрировавшись там под ником «Антон 2131» еще в 2018 году. Ранее он публиковал объявления о продаже устройств для взлома автомобильных сигнализаций (грабберов), но про банки ничего не писал.

После выхода статьи в «Коммерсанте» «Антон 2131» удалил объявление и свой контакт на форуме. Также был удален контакт в Telegram с ником gogosber. Удаленное объявление на форуме выглядело так:

Уже в середине того же дня, когда появилась публикация в «Коммерсанте», полиция объявила, что задержала человека, который скрывался именно за таким ником («Антон 2131»). На сайте МВД сказано, что в его отношении возбуждено уголовное дело: часть 3 статьи 183 УК. На следующий день в суде выяснилось, что это уроженец Волгограда Антон Бутурлакин.

Мужчина оказался сотрудником ООО «Национальная служба взысканий» (НСВ), сказано в пресс-релизе. Хотя в посте на форуме «Дубликаты» речь шла только о Сбербанке, МВД пишет, что «Антона 2131» подозревают в хищении персональных данных клиентов сразу нескольких «кредитно-финансовых организаций».

На следующий день после задержания НСВ подтвердила информацию об аресте своего сотрудника. Сегмент клиентских данных, к которым получил доступ сотрудник, в компании назвали «ограниченным», а количество записей, которые он пытался реализовать, — «незначительным». Общедоступными никакие персональные данные не стали, утверждают в компании. Задержанный сотрудник работал «на выделенном проекте партнера с ограниченным набором клиентских данных», утечек у других банков-партнеров в НСВ не обнаружили, сообщила пресс-служба.

НСВ — одно из крупнейших коллекторских агентств России. В числе клиентов, помимо Сбербанка, на его сайте указаны ВТБ, «Открытие», ОТП-банк, Райффайзенбанк, «Тинькофф банк» и т.д.

ООО НСВ зарегистрировано в 2013 году на кипрский офшор A.J. Prospect Capital Ltd, «дочку» нидерландской FCB Holding Cooperatief U.A. (по данным кипрского реестра). Этой же компании принадлежит коллекторское бюро ПКБ, известное по «делу Калви» и занимающее, по оценке S&P, 30% рынка. Из отчетов S&P следует, что FCB Holding Cooperatief U.A. контролируют Baring Vostok Capital Partners и фонд Da Vinci. Также кипрскому офшору, на который зарегистрирована НСВ, принадлежит сеть колл-центров «Вербоконнект» с офисами в Волгограде, Новосибирске и Смоленске. Она специализируется на коллекторских услугах. «Антон 2131» проживал как раз в Волгограде.

«Если речь о коллекторском агентстве или его колл-центре, возможно, задержанный — сисадмин или другой технический человек, — рассуждает основатель компании DeviceLock Ашот Оганесян. — То, что это мог быть колл-центр, я предположил сразу. Возникает только вопрос, как его смогли так быстро поймать? Неужели он делал все прямо с рабочего места?»

Во всех громких материалах об утечках (и в этом тоже) фигурирует предприниматель Ашот Оганесян: почему?

О крупных утечках из Сбербанка и других крупных банков в последнее время первым сообщает, как правило, «Коммерсант». И почти во всех его материалах в качестве основного эксперта выступает основатель компании DeviceLock Ашот Оганесян.

Это Оганесян обнаружил утечку данных о 60 млн кредитных карт Сбербанка в начале октября. В июне он комментировал «Коммерсанту» утечку данных 900 тысяч клиентов ОТП-банка, Альфа-банка и ХКФ-банка, в апреле и августе — утечки данных десятков тысяч владельцев карт Бинбанка.

В начале октября «Известия» рассказали, что некоторые банки (в тексте упомянуты, в частности, «Открытие», Альфа-банк и «Тинькофф банк») видят «коммерческий интерес» Оганесяна в статьях об утечках. Якобы они выходят, когда кто-то из банка отказывается от предложений о сотрудничестве с его DeviceLock.

Альфа-банк получал от DeviceLock предложение рассмотреть вопрос закупки системы предотвращения утечек данных, сопровождавшееся оповещением об обнаружении в открытом доступе данных, якобы принадлежащих клиентам банка, рассказали The Bell в его пресс-службе. Банк отказался — и вскоре СМИ написали об этой утечке. При этом проверка, которую провел Альфа-банк, по словам его представителя, факт утечки не подтвердила. Историю с предложением от DeviceLock, отказом и последовавшей вскоре за ним публикацией подтвердили и в пресс-службе банка «Открытие».

«Мы несколько раз контактировали по коммерческим вопросам с представителями DeviceLock, которые предлагали нам свои продукты, в последний раз — летом этого года. Но мы предпочли продолжить использовать другие решения на рынке, с которыми уже успешно работали на тот момент», — рассказал представитель «Тинькофф банка».

Оганесян подтвердил The Bell, что коммерческий отдел его компании делал информационную рассылку по крупнейшим банкам России с предложением рассмотреть решения DeviceLock. «Через год вышел мой отчет о нескольких базах на черном рынке — «Тинькофф банка», Бинбанка, Сбербанка и других — и они решили попытаться связать это с той нашей рассылкой», — считает предприниматель. Обвинения банков он опровергает, а по поводу своего общения с журналистами говорит, что они сами постоянно обращаются к нему за комментариями.

Что такое DeviceLock Ашота Оганесяна:

• Компания основана в 1996 году. ООО «Девайслок» зарегистрировано в 2007 году. Товарный знак DeviceLock и сайт компании зарегистрированы на АО «Смарт линк инк», созданное Оганесяном в 2013 году. Компания предлагает купить у нее «разработанный для предотвращения утечек данных с корпоративных компьютеров полнофункциональный набор контекстных и контентно-зависимых механизмов контроля». 
• Также эта компания подавала заявку на регистрацию товарного знака Firewall One USB Flash in the wrong hands and your firewall is useless. Кроме того, с осени 2018 года она администрирует домен магазина канцтоваров, следует из данных WhoIs. «Около десяти лет назад мы ставили решение DeviceLock, которое защищает компьютер от сторонних флешек и не дает ничего скачать на внешние носители. Потом нашли более выгодное решение, и с тех пор за DeviceLock не следили, сейчас это просто одна из множества компаний на рынке», — вспоминает вице-президент по безопасности банка из первой сотни.
• Выручка АО «Смарт лайн инк» в 2018 году составила 101 млн, чистая прибыль — 15 млн рублей. Годом ранее было 56 млн и 5 млн рублей соответственно. В 2016-м — 98 млн и 30 млн рублей. 
• ООО «Девайслок» закончило 2018 год с выручкой 18 млн рублей и чистым убытком почти 2 млн рублей. В 2015 году его выручка была 20 млн рублей, в 2014-м — 46 млн.  

Утечки есть, а реакции нет: почему не действуют ЦБ и Роскомнадзор?

Роскомнадзор заявлял, что потребовал от Сбербанка предоставить информацию, касающуюся первой утечки. ЦБ дополнительных проверок Сбербанка не объявлял. Артем Сычев, отвечающий в ЦБ за информационную безопасность, называл случай с первой утечкой «очень непростым», но говорил, что проверять банк в связи с этим регулятор планирует только в начале 2020 года в рамках плановой надзорной проверки. В ЦБ считают, что данные, которые можно было бы отнести к банковской тайне, не были скомпрометированы, а значит, реагировать на утечку должны скорее в Роскомнадзоре, говорит один из собеседников The Bell.

Никаких предписаний по поводу безопасности от ЦБ в связи с утечками в другие банки не поступало и об ужесточении мер в этой области со стороны регулятора тоже пока не говорят, рассказывает собеседник The Bell в одной из крупнейших компаний в области кибербезопасности. «От ЦБ не было никаких предписаний ни по поводу первой утечки, ни по поводу второй, — подтверждает вице-президент по безопасности банка из первой сотни. — Обычно они как-то коммуницируют в таких случаях, но не сразу: скорее всего, какая-то инструкция для банков для предотвращения таких угроз появится уже до конца года».