Осенью 2019 было заявлено об утечке данных клиентов Сбера, банк заявил тогда о несущественном инциденте. Через год начальник сектора управления прямых продаж Московского банка Сбербанка Сергей Зеленин, который и допустил утечку, получил срок почти 3 года и иск на выплату штрафа более 25 млн руб.
Ниже история про то, как он скопировал на флешку базу данных 60 млн клиентов, о том, как преуменьшалась утечка информации, а новыми красками история заиграла после того, как судебное решение в отношении Зеленина пропало с сайта суда, а иск на 25 млн руб был отклонён ввиду того, что «материальный ущерб клиентам банка не был причинен», а «деловая репутация относится к нематериальным правам».
Пропавшее дело с Красногорского суда: https://krasnogorsk—mo.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=142605937&case_uid=03ac451d-aafe-448b-b9e6-fa620e52afda&delo_id=1540006&new=
Копия судебного решения по делу №1-222/2020 от 08.09.2020 находится здесь: http://судебныерешения.рф/53900773 и здесь. А сама суть раскрытого дела такая.
Сергей Зеленин, сотрудник Сбербанка, 25.08.2019 со своего корпоративного компьютера заархивировал данные ориентировочно 60 млн клиентов Сбербанка — получился архив «2019 08 24-svod.rar» объёмом 5,7 Гб. На скачивание ушло почти 7 часов.
Почему число 60 млн — это догадка — в решении суда о точном числе строк не говорится, эксперты приводят мнение: по расчетам, основанным на находящемся в открытом доступе фрагменте похищенных данных (5200 строк, 81 колонка в каждой), текстовый файл размера 5,7 Гб может содержать более 10,2 млн. строк.
Для сокрытия текстового содержания архив был переименован в «мундиаль.mp4» (мундиаль — чемпионат мира по футболу) и был поделён на 187 частей, затем каждая часть была прикреплена к письму в стандартном офисном почтовом клиенте Outlook. Письма Сергей не отправлял, они автоматически сохранялись в черновиках.
Далее под своим корпоративным аккаунтом уже через ноутбук он вошёл в почту и из «черновиков» сложил обратно весь архив и скопировал его на флешку. Разумеется, usb-порты у сотрудников банка обычно заблокированы, но у Сергея и его начальника они были открыты, т.к. были нужны для передачи данных, полученных у клиентов во внутреннюю систему банка.
Кто такой Сергей Зеленин? Это региональный менеджер внешней дистрибуции 1991 г.р., в его должностные обязанности входило управление секторами по прямым продажам. Конкретно — продажа розничной банковской продукции на территории предприятий. Сам Сергей не занимался продажами банковской продукции, а лишь осуществлял оперативное управление сектором, наставничеством сотрудников и коммуникациями с контактными лицами предприятий или организаций.
Он решил заработать на сливе данных «в связи с имеющимися финансовыми трудностями», взяв ник kr33pm41 на нелегальной площадке «Гидра» в даркнете и связался с пользователем «SHERLOCK Servise: ПРОБИВ и БАЗЫ ДАННЫХ ПО РФ» для продажи БД, каждую строчку он оценил в 5 рублей.
На домашнем компьютере архив был распакован и пробная база на 200 строк клиентов Уральского региона была выложена в сети.
Выложенный архив содержал записи об операциях по картам, остатках по счетам, сгруппированных по территориальным банкам, а также персональные данные клиентов: ФИО, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы и остаток собственных средств. Всего 81 колонка! Здесь содержатся специфические поля, такие как: Код продукта Way4, Агент по прямым продажам, Уровень загрузки списка, Канал продаж и многие другие, по специфическим названиям понятно, что данная база является сохраненной копией базы данных продукта WAY4 — платформы для электронного банкинга, процессинга платежных и неплатежных карт и удаленного банковского обслуживания.
Сбер проходил все стадии принятия неизбежного: отрицание, гнев, торг, депрессия, принятие 🙂
Официальное заявление Сбера от 03.10.2019:
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка. В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.
Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.
Для понимания о цифре 200 клиентов. Сбербанк получил эту цифру от DeviceLock через журналистов «Коммерсантъ» — это «пробник» базы, который они получили от продавца. И ничего другого на тот момент Сбербанк не видел и не знал.
Г. Греф 6 октября: «От себя лично и всей команды Сбербанка хочу еще раз принести глубокие извинения 200 нашим клиентам за произошедшее и всем нашим клиентам за доставленные переживания»; «Хочу поблагодарить всех наших клиентов за веру в нас и доверие, а также сотрудников Службы безопасности банка, нашего дочернего предприятия «Бизон» и правоохранительных органов за четкую и слаженную работу, которая позволила в течение считанных часов раскрыть преступление».
В это самое время в открытом доступе было уже 350 записей из этой утечки. Еще через два дня количество записей в открытом доступе достигло 2 тыс.
Через 2 недели в паблике уже находилось 5,2 тыс. записей. Напомню, что в этой базе было 81 поле (столбец). Это самая детальная банковская база, которая когда-либо попадалась при анализе утечек (с) @dataleak
Зеленина вычислили, как сообщил банк, 4 октября, и что он делает? Смешно, но пишет письмо Грефу:
«После приглашения ночью в центр кибербезопасности Сбербанка и общения с сотрудниками, осознал всю тяжесть своего поступка. Понимая, что любые последующие действия принесут еще больший ущерб, принял решение уничтожить базу данных на всех носителях. При этом данные на ноутбуке уничтожил 03.10.19, флеш-карту разобрал и сжег утром 04.10.19 и остатки выбросил на МКАД в районе Путилково».
Представитель Сбербанка в ответ на запрос РБК пояснял, что Зеленин использовал права администратора для хищения данных 5,2 тыс. клиентов: «В Сбербанке было проведено внутреннее расследование, реализован комплекс мероприятий по предотвращению повторения таких ситуаций в будущем».
Суд привёл слова представителя потерпевшей стороны: информация объёмом 5000 строк была реализована третьим лицам за 25 тыс. руб. Также Зеленин направлял бесплатный файл третьим лицам четыре-пять раз.
Сбербанк на суде: «права клиентов в количестве 5000 человек не были нарушены, поскольку их карты были оперативно заблокированы службой безопасности Банка» 🙂 Суд с этим не согласился — раскрытие персональных данных свидетельствует о высокой общественной опасности.
В сентябре 2020 года Зеленин получил 2 года 10 месяцев в колонии-поселении (срок был снижен на 2 мес из-за месячного домашнего ареста).
Плюс был заявлен гражданский иск о взыскании с подсудимого в счёт возмещения вреда, причинённого деловой репутации банка, в размере 25 856 157 рублей: странная сумма, не коррелирует с якобы засвеченными 5000 строк. Сам Сбер ни перед одним клиентом, чьи деньги, возможно, и сейчас остаются под угрозой не извинился. Впрочем, апелляция отклонила этот иск, так как Сбер не смог предоставить доказательства уничижения своей репутации, решение суда, дело № 22-6909/2020 от 17.11.2020:
Зеленин С.А. признан виновным и осужден за то, что он совершил незаконное разглашение сведений, составляющих банковскую тайну, без согласия их владельцев, лицом, которому она была доверена по работе, совершенное из корыстной заинтересованности […] вину признал полностью, гражданский иск не признал. […] автор жалобы считает приговор суда несправедливым в вследствие суровости. Гражданский иск удовлетворен незаконно и необоснованно, так как не основан на фактах и законе. Зеленин С.А. не распространял в средствах массовой информации порочащие сведения, не соответствующие действительности в отношении ПАО «Сбербанк», не является надлежащим ответчиком, и материальный ущерб клиентам ПАО «Сбербанк» не причинен, так деловая репутация относится к нематериальным правам и возникает у юридического лица.
Приговор Красногорского городского суда в отношении Зеленина С. А. в части взыскания возмещения вреда, причиненного деловой репутации ПАО «Сбербанк» в размере 25 856 157 рублей 00 копеек отменить, уголовное дело в этой части направить на новое рассмотрение в тот же суд в порядке гражданского судопроизводства.
Резюмируя. Сотрудник банка слил громадную базу клиентов — с персональными данными, с данными карт. Сбер отрицал факт утечки, потом нехотя признавал то, что невозможно было не признать.
Судя по хронологии событий есть логические неувязки и странные действия Зеленина. Странное письмо Грефу; якобы быстрое уничтожение флешки; судя по решению суда у банка были оперативные действия службы безопасности, но они не воспрепятствовали сливу 5000 строк спустя время и вообще откуда взялась сумма иска в 25 млн руб? 5000 строк по 5 руб это 25 тыс. вероятного обогащения.
Думается, Сбер продолжает замалчивать истинное положение раскрытых персональных данных — у нас, к сожалению, отсутствует культура признания своих ошибок.
И вот что-то новенькое, опять: 14 апреля в даркнете появилось объявление о продаже данных 500 тыс. записей клиентов «СберПремьер, 16.04 Сбер опроверг утечку данных.
