Проекты
Email-рассылки
YouTube: «Это Осетинская»
Bell.Club
YouTube: Bell.Club Live
Bell.Professional
IN SCHOOL
РАССЫЛКИ
Утренняя
Вечерняя
Итоги недели
Технорассылка
The Bell in English
СОЦСЕТИ
Facebook
ВКонтакте
Одноклассники
TELEGRAM
The Bell
The Bell Tech
TWITTER
The Bell
The Bell in English
О НАС
О проекте
Команда и контакты
Конфиденциальность
КОММЕРЦИЯ
Партнеры
Рекламодателям
Итоги недели

Все, что надо знать об утечках в Сбербанке, дорогие слухи о «Сургутнефтегазе» и что Россия ищет в Африке

25 октября 2019
Петр Мироненко
Ирина Малкова

Утечки в Сбербанке стали одной из главных новостей октября. Но ни их масштаб, ни достоверность продававшихся баз проверить невозможно

Самыми громкими новостями октября 2019 года стали сообщения об утечках данных клиентов Сбербанка. В начале месяца банку пришлось оправдываться после сообщения об утечке данных 60 млн держателей кредитных карт. Скандал удалось замять, но сразу начал раскручиваться новый: на этот раз речь шла о краже данных 1 млн клиентов. На фоне эпидемии телефонного мошенничества новости об утечках в крупнейшем банке страны, где обслуживаются почти 90% пенсионеров, выглядят пугающе. Но ни масштаб утечки, ни достоверность содержания баз данных проверить невозможно, выяснил The Bell.

Масштаб утечек и реальность данных

Данные из Сбербанка и других банков появляются на профильных форумах регулярно. Чаще объявления выглядят как поиск сотрудника банка или его колл-центра, а уже в личной переписке пользователи договариваются о продаже данных. Например, на форуме «Пробив», одном из крупнейших, только за последний год Сбербанк упоминается в сообщениях о продаже данных больше 20 раз.

  • В начале октября «Коммерсант» рассказал, что на продажу в интернете были выставлены личные данные 60 млн владельцев кредитных карт Сбербанка. Сначала банк все отрицал. Затем признал утечку, но заявил, что она коснулась всего 200 клиентов. Потом их число, по сообщениям банка, выросло до 5200.
  • О новой миллионной утечке «Коммерсант» написал 24 октября. Но в первоначальном объявлении на форуме «Дубликаты» (там можно купить любые личные данные) речь шла лишь об 11,5 тысячах строк данных (цифра 1 млн содержалась уже в следующем сообщении того же автора на форуме).
  • «Не уверен, что можно говорить о данных 1 млн человек, — говорит основатель компании DeviceLock (разрабатывает софт для защиты корпоративной информации) Ашот Оганесян, обнаруживший первую утечку и исследовавший вторую по просьбе «Коммерсанта». — Продавец слился в середине общения. Мне он говорил о 37 тысячах, «Известиям» — об 11,5 тысячах, «Коммерсанту» — об 1 млн. Цены тоже называл разные: мне — 50 рублей, журналистам — 30 рублей».
  • К самому Оганесяну у банков тоже есть вопросы — в начале октября «Известия» писали, что некоторые из них (в тексте упомянуты «Открытие», Альфа-банк и «Тинькофф») видят «коммерческий интерес» Оганесяна в статьях об утечках: якобы они выходят, когда банк отказывается от предложений о сотрудничестве с DeviceLock. Представители Альфа-банка и «Открытия» подтвердили The Bell, что коммерческие предложения были. Сам Оганесян обвинения отрицает — по его словам, банки, упомянутые в одном из его отчетов об утечках, пытались связать этот отчет c разосланной DeviceLock за год до этого массовой рассылкой с коммерческим предложением.
  • «Таких масштабных утечек из банков обычно не бывает. Я могу поверить в утечку в несколько десятков тысяч — то есть в размер среднестатистического регионального отделения, но не в 60 миллионов», — говорит попросивший об анонимности специалист по кибербезопасности. Выгрузить такой объем одному человеку и не привлечь внимание системы безопасности, которая должна блокировать нестандартные операции, сложно, говорит он.
  • Даже если объем данных в базе совпадает с заявленным, способов надежно проверить их полную достоверность нет — если не купить полную базу за миллионы рублей.

Виновники

В случае с обеими утечками Сбербанк заявлял, что раскрыл преступников «в течение считанных часов».

  • Нарушителем в случае с утечкой «на 60 млн» оказался 28-летний менеджер среднего звена, имевший доступ к базе данных и решивший на этом «заработать». Другой информации о нем не последовало.
  • Вторым злоумышленником полиция назвала жителя Волгограда Антона Бутурлакина, скрывавшегося на форуме «Дубликаты» под ником «Антон 2131». Сегодня он был арестован на два месяца.
  • Бутурлакин оказался сотрудником коллекторского агентства «Национальная служба взысканий» (НСВ). В числе клиентов НСВ, помимо Сбербанка, на его сайте указаны ВТБ, «Открытие», ОТП-банк, Райффайзенбанк, «Тинькофф банк» и т.д. Хотя в посте на форуме «Дубликаты» речь шла только о Сбербанке, МВД в своем релизе сообщило, что «Антона 2131» подозревают в хищении персональных данных клиентов сразу нескольких «кредитно-финансовых организаций». В НСВ подтвердили информацию об аресте своего сотрудника, но назвали сегмент клиентских данных, к которым он имел доступ, «ограниченным», а количество записей, которые он пытался продать, — «незначительным». Утечек у других банков-партнеров в НСВ не обнаружили, заявили в компании.
  • Подробно об «Антоне 2131» можно прочитать здесь.

Что делают регуляторы

За банковскую кибербезопасность отвечает ЦБ, за безопасность персональных данных — Роскомнадзор.

  • Роскомнадзор заявлял, что потребовал от Сбербанка предоставить информацию, касающуюся первой утечки. ЦБ дополнительных проверок Сбербанка не объявлял. Артем Сычев, отвечающий в ЦБ за информационную безопасность, называл случай с первой утечкой «очень непростым», но говорил, что проверять банк в связи с этим регулятор планирует только в начале 2020 года в рамках плановой надзорной проверки.
  • В ЦБ считают, что данные, которые можно было бы отнести к банковской тайне, не были скомпрометированы, а значит, реагировать на утечку должны скорее в Роскомнадзоре, говорит один из собеседников The Bell.
  • Никаких предписаний по поводу безопасности от ЦБ в связи с утечками в другие банки не поступало и об ужесточении мер в этой области со стороны регулятора тоже пока не говорят, рассказывает собеседник The Bell в одной из крупнейших компаний в области кибербезопасности. «От ЦБ не было никаких предписаний ни по поводу первой утечки, ни по поводу второй, — подтверждает вице-президент по безопасности банка из первой сотни. — Обычно они как-то коммуницируют в таких случаях, но не сразу: скорее всего, какая-то инструкция для банков для предотвращения таких угроз появится уже до конца года».

Что мне с этого?

То, что информацию об утечках в Сбербанке невозможно достоверно проверить, ни в коем случае не должно успокаивать — современный подход к кибербезопасности предлагает считать, что ваши данные уже украдены, и больше беспокоиться о том, как не дать мошенникам их использовать.

О ЧЕМ ВСЕ ГОВОРЯТ

Дорогие слухи «Сургута»

Акции «Сургутнефтегаза», самой богатой и самой закрытой российской компании, за три дня на этой неделе подорожали на 26%, его капитализация превысила 2 трлн рублей, а обычно скромный объем торгов в один из дней перевалил за 13 млрд, приблизившись к средним значениям для бумаг Сбербанка или «Газпрома». Рынок воодушевили слухи о покупке «Сургутом» доли Вагита Алекперова в «Лукойле», основанные на том, что Алекперов якобы летал в Сургут. 23 октября, когда рынок захватил этот слух, Алекперов был не в Сургуте, а в Сочи, где рассуждал о перспективах африканских проектов своей компании.

Инвесторы ждут от «Сургута» чуда уже много лет подряд: накопления компании почти на триллион больше, чем ее текущая стоимость. При этом почти все свои деньги «Сургут» размещал на валютных депозитах в российских банках, доходность которых стремительно падает. Вероятно, инвесторы надеются, что это подтолкнет компанию к решительным действиям. Но до сих пор «Сургут» рискнул деньгами лишь однажды и то не по своей воле: в 2009 году компании пришлось раскошелиться на акции венгерской MOL. Эта покупка тогда казалась стратегически важной Игорю Сечину, который на тот момент занимал пост вице-премьера и мечтал о стремительной экспансии российских нефтегазовых компаний за рубеж.

BELL CLUB

Закрытый показ «Гражданина Х»

29 октября в BellClub пройдет премьера новой работы выдающегося американского документалиста Алекса Гибни — фильма «Гражданин Х». Картину высоко оценили российские и зарубежные критики. The Bell выпала честь работать с Гибни над рядом проектов, и теперь у нас есть уникальная возможность показать картину и обсудить ее за закрытыми дверями с гостями BellClub. «Гражданин Х» еще не вышел в российский прокат, и пока неизвестно, когда это случится, поэтому читатели и члены клуба станут первыми зрителями картины в России. Это будет закрытое мероприятие — в необыкновенном московском арт-пространстве Cube на территории отеля The Ritz-Carlton соберутся известные журналисты, бизнесмены, политики и друзья The Bell. В продаже совсем немного билетов, а приобрести их можно здесь.

Генеральный партнер — Caméo Moscow Villas. Это камерный проект класса deluxe от девелопера STONE HEDGE, реализованный в формате «городские виллы» и расположенный в центре Москвы, в 3 минутах от «Маяковской». Премиальный сервис заказа автомобиля с личным водителем Wheely предлагает удобный трансфер на мероприятие. Поездку можно заказать для себя или другого пассажира на ближайшее время или оформить предзаказ. Сервис доступен в Лондоне, Москве, Санкт-Петербурге и Париже. Все водители прошли самый строгий отбор, включая сложные тесты на знание местности и правил этикета.

СОБЫТИЕ НЕДЕЛИ

Что Россия ищет в Африке

Африка еще с начала 2010-х стала одной из главных целей российской экономической и внешнеполитической экспансии. На этой неделе «африканский проект» вышел на высший уровень — в Сочи прошел саммит «Россия—Африка» с участием Владимира Путина и 43 африканских лидеров. США и Китай рассматривают Россию как главного конкурента в регионе, но по объему торговли с Африкой к югу от Сахары мы пока отстаем от Китая в 18 раз.

  • Африканский саммит стал самым представительным международным мероприятием в России за годы и одним из самых дорогих. Как выяснил РБК, бюджет потратил на него 4,5 млрд рублей — больше, чем на Санкт-Петербургский экономический форум. Остальная арифметика форума напомнила о том, что российский (как и советский) государственный бизнес с развивающимися странами традиционно велся в минус: на форуме, по данным «Росконгресса», были заключены контракты на 800 млрд рублей ($12,5 млрд), зато Владимир Путин напомнил, что Россия списала африканским странам долги на $20 млрд.
  • Делать выводы о том, будет ли новый «африканский проект» убыточным, рано. Все мировые державы рассматривают Африку как перспективное поле для освоения. В докладе от 2014 года Ernst&Young предсказывал, что к 2030-му Африка по ВВП на душу населения сравняется с развивающимися странами Азии. Лидер по инвестициям в Африку — Китай: с 2005 по 2019 год он вложил в Африку к югу от Сахары больше $300 млрд, а год назад Си Цзиньпин пообещал инвестировать в регион еще $60 млрд. Летом 2019 года новую африканскую стратегию представили США: ее главная цель — опередить в регионе Китай и Россию.
  • Пока, впрочем, Россия отстает от конкурентов. С 2010 по 2018 год объем торговли России с Африкой к югу от Сахары вырос с $1,8 млрд до $4,8 млрд. Тем не менее к 2017 году (к нему относятся самые свежие данные Всемирного банка) мы занимали лишь 20-е место в числе торговых партнеров региона. Лидер по объему торговли с регионом — Китай ($55 млрд), от которого США ($25 млрд) отставали более чем вдвое, а Россия ($3 млрд) — в 18 раз.
  • Одной из главных интриг форума стало формальное отсутствие там Евгения Пригожина, активность которого в Африке все время попадает в поле зрения СМИ, и чьи структуры предположительно уже осваивают местные природные ресурсы. В числе докладчиков он не значился, а журналисты найти его не смогли. Зато одним из главных гостей форума стал бизнесмен Константин Малофеев, который явно претендует на роль нового агента Москвы в Африке. В сентябре он объявил о создании «Международного агентства суверенного развития», которое займется привлечением инвестиций в африканские страны. На сайте саммита агентство указано в числе генеральных партнеров наряду с «Росатомом» и «Фосагро». Сам Малофеев на саммите заявил, что агентство стало консультантом Нигера, Гвинеи и Демократической Республики Конго и поможет им привлечь $2,5 млрд.

РАЗБОРКА

Второй шанс для Дурова и приговор от Тинькова

Инвесторы, вложившие в криптопроект Павла Дурова $1,7 млрд, на этой неделе дали ему еще один шанс: они согласились не требовать обратно свои деньги, а вместо этого дождаться, чем закончатся разбирательства с американскими властями, которые пытаются не допустить начала обращения криптовалюты Gram. Это значит, что запуск блокчейн-платформы переносится с конца октября как минимум на апрель следующего года. За отсрочку проголосовало большинство инвесторов. В отличие от них, Олег Тиньков, который явно не относится к фанатам основателя «ВКонтакте», поспешил объявить о конце эры криптовалют вообще и проекта Дурова в частности, написав об этом сразу два разгромных поста в соцсетях. Мы не смогли пройти мимо  аргументации Тинькова: если коротко, ее суть в том, что криптовалюты и электронные кошельки нужны только мошенникам, а нормальным людям должно хватать банков.