Суд раскрыл детали утечки данных клиентов из СберБанка в 2019 году

Красногорский городской суд Московской области раскрыл детали утечки клиентских данных из СберБанка в 2019 году, сообщает РБК. Установлено, что данные украл начальник сектора управления прямых продаж Московского банка, он воспользовался правами администратора и скачал файл из внутренний сети СберБанка, а затем с помощью почты и флеш-карты переправил их на домашний ноутбук.

В октябре 2019 года «Коммерсант» написал о сообщении в теневом сегменте Интернета о продаже данных 60 млн кредитных карт СберБанка. В бесплатном пробнике содержалось около 200 записей, утечку которых подтвердил «Сбер». В утечке был обвинен сотрудник кредитной организации. Всего, по сообщению банка, ему удалось продать 5 тыс. учетных записей кредитных карт Уральского банка СберБанка.

В сентябре 2020 года Красногорский городской суд Московской области вынес приговор бывшему начальнику сектора управления прямых продаж Московского банка ПАО «Сбербанк» Сергею Зеленину за незаконное получение и разглашение сведений, составляющих банковскую тайну. Суд приговорил его к лишению свободы на два года и десять месяцев в колонии-поселении и обязал выплатить 25,8 млн рублей СберБанку за нанесение ущерба деловой репутации.

Преступление экс-сотрудник СберБанка совершил в связи с имеющимися у него финансовыми трудностями, говорится в приговоре суда.

Как следует из судебных материалов, Зеленин в связи с выполнением своих должностных обязанностей имел доступ к закрытому сетевому каталогу банка, в котором хранятся сведения, составляющие банковскую тайну. 25 августа 2019 года из этого каталога он выгрузил многотомный архив в общий корпоративный сегмент банка, который доступен более широкому списку сотрудников. Архив содержал записи об операциях по картам, остатках по счетам, сгруппированные по территориальным банкам, а также персональные данные клиентов: фамилия, имя, отчество, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер кредитной карты, место работы и остаток собственных средств.

«С 8 часов 31 минуты до 18 часов 43 минут Зеленин С. А. произвел копирование указанного многотомного архива», — говорится в приговоре. В суде не раскрывают, сколько именно данных скачал Зеленин. Указано только, что архив был поделен на 187 частей и весил 5,7 Гб. По подсчетам основателя сервиса разведки утечек данных DLBI Ашота Оганесяна, который ознакомился с пробником базы данных, файл размером 5,7 Гб может содержать 10 258 256 записей.

Файл под названием «мундиаль.mp4» (назван как видеозапись для сокрытия текстового содержимого) был отправлен по корпоративной рабочей почте с рабочего компьютера на рабочий ноутбук, скачан на личную флеш-карту объемом 8 Гб и оттуда отправлен на домашний ноутбук.

Из показаний руководителя Зеленина следует, что тот имел доступ к данным, относящимся к банковской тайне, «для решения оперативных задач в период его (руководителя. — Прим. РБК) отсутствия». «На всех персональных компьютерах был заблокирован доступ к портам (то есть к ним не имелось возможности подключения внешних носителей), кроме персонального компьютера Зеленина С. А., у которого не был заблокирован порт, так как он служил для передачи данных, полученных у клиентов, во внутреннюю систему банка», — объяснил эту «дыру» в безопасности данных руководитель Зеленина.

Представитель СберБанка пояснил, что Зеленин использовал права администратора для хищения данных 5,2 тыс. клиентов: «В СберБанке было проведено внутреннее расследование, реализован комплекс мероприятий по предотвращению повторения таких ситуаций в будущем».

Содержимое файлов было выставлено на продажу в теневом сегменте Интернета с личного ноутбука и продавалось по цене 5 рублей за данные одного клиента, для бесплатного ознакомления в Интернет было закачано не менее 200 записей. Также Зеленину удалось продать данные не менее 5 тыс. клиентов за биткоины, установили в суде.

«Часть из полученной информации в объеме 5 тыс. строк незаконно была реализована Зелениным С. А. третьим лицам за денежное вознаграждение в сумме 25 тыс. рублей», — приводит суд слова представителя потерпевшего, имя которого в материалах не раскрыто. Также Зеленин направлял бесплатный файл третьим лицам четыре-пять раз.

После попытки продать данные Зеленин был оперативно идентифицирован и задержан, а ущерб клиентам банка не был нанесен, пояснил представитель СберБанка. «После приглашения ночью в центр кибербезопасности СберБанка и общения с сотрудниками осознал всю тяжесть своего поступка. Понимая, что любые последующие действия принесут еще больший ущерб, принял решение уничтожить базу данных на всех носителях», — приводит суд содержание обращения Зеленина к главе СберБанка Герману Грефу. Он сообщил, что данные на ноутбуке уничтожил 3 октября 2019 года, а флеш-карту разобрал и сжег утром 4 октября, выбросив ее остатки на МКАД в районе Путилково.