Утечка данных о клиентах «Сбербанка» сама по себе новостью не является. В теневом сегменте интернета, куда переехали ребята с Горбушки, можно купить любые данные о любом человеке, благо коррупция, против которой так бодро выступают любители помитинговать, в первую очередь проникла в жизнь простых граждан. Невозможно держать во рту мед и не попробовать, рано или поздно многие сотрудники компаний и организаций, имеющие доступ к персональным и финансовым данным клиентов, принимают щедрые предложения тех, кому очень хочется узнать всякое. Сотрудники салонов сливают переписку и звонки, сотрудники банков сливают список транзакций. При желании и деньгах можно узнать о человеке все. И именно поэтому внезапная утечка данных из крупнейшего банка страны вызывает массу вопросов. Главный из которых — зачем. Зачем продавцу базы данных коммуницировать с журналистами? Зачем владелец и основатель компании, проводящий и торгующий исследованиями о безопасности, сливает журналистам данные о какой-то утечке? Почему продавец базы данных даже не напрягся, когда его начали откровенно проверять? Что за дикая цена 5 рублей за строчку данных при объеме в 60 миллионов строк? Давайте попробуем в этом всем разобраться.
Для начала — сухой фактаж. Основатель компании DeviceLock Ашот Оганесян сообщает журналистам о найденном им объявлении на некоем сайте, заблокированном «Роскомнадзором». В объявлении продавец предлагает базу данных по клиентам «Сбербанка», состоящую из 60 миллионов записей. Для подтверждения достоверности данных продавец предлагает «ознакомительный» блок из 200 записей. Журналисты проверяют эти записи и обнаруживают их достоверность. Выходит статья, и гигантский штат специалистов по связям с общественностью «Сбербанка» выходит из анабиоза. В кратчайшие сроки даются объяснения: да, эти 200 строк достоверны, но в них отсутствуют PIN-коды и коды подтверждения оплаты CVC2, без них денег ни снять, ни перевести, ни занести за покупку в интернете. Попутно выясняется, что «Сбербанк» выпустил 40 миллионов карт и лишь 18 из них являются активными.
Сам «Сбербанк» сейчас проводит расследование, цель которого — понять, кто же именно утащил данные. Пусть не 60 миллионов строк, но хотя бы те 200, которые стали достоянием журналистов. Банк утверждает, что подобный набор данных не мог утечь самостоятельно, так как в таком виде они хранятся в изолированной от сети системе. Скопировать их нельзя, но можно утащить жесткий диск или сделать снимки с экрана терминала. С учетом заявленного объема, фотографирование отпадает. Значит, кто-то утащил диск. Уже понятно, что инцидент произошел на Урале, понятен временной зазор, когда это могло произойти, и, с учетом небольшого количества сотрудников, имевших доступ, виновного определят достаточно быстро.
Теперь, когда мы разобрались с фактами, предлагаем обратить внимание на скромную фигуру Ашота Оганесяна. Именно с его подачи началась вся эта история. Именно Ашот поделился с журналистами своими наблюдениями. Раньше Ашот ими не особо делился, а его компания фигурировала в информационном поле лишь в контексте весьма унылых пресс-релизов. Все бы ничего, но компания Ашота специализируется именно на защите данных от утечек. На сайте компании говорится следующее: «DeviceLock DLP предотвращает утечки информации, используя полный набор механизмов контекстного контроля операций с данными, а также технологии их контентной фильтрации».
Но мы с вами уже выяснили, что ни о какой утечке речи не идет. Технологии могут защитить от доступа к данным из вне, но ни одна технология не сможет справиться с банальной взяткой тому, кто имеет доступ изнутри. Пробить отдельный записи — как мы уже выяснили — можно без всяких баз, это недорого. Так была ли база на 60 миллионов записей, или это просто хитрая маркетинговая акция Ашота?
Уверены, «Сбербанк» разберется. Интересно лишь одно. Прозвучала ли фраза «в каком филиале базу украли, туда и обращайтесь»?