Персональные данные клиентов российских банков попали в интернет

Данные из банков утекают редко, но метко: опасность стать жертвой мошенников, получивших доступ к персональной информации, велика. Разбираем правила защиты со специалистом в области расследований Никитой Артемовым.

Персональные данные — спорный термин. Под ним могут подразумеваться базы данных социальных сетей, списки сотрудников организаций, информация о клиентах интернет-магазинов и многое другое. И эти базы данных из разных компаний периодически «утекают».

В связи с этим у обычного человека возникают вопросы:

1. Почему такие утечки случаются?
2. Какая информация может «утекать»?
3. Насколько эти утечки опасны для каждого из нас и что с этим делать?

Разберемся по порядку.

Почему наши данные «утекают»

Утечки персональных данных из банков случаются намного реже, чем из небанковских организаций. Банки могут позволить себе ставить дорогостоящее программное обеспечение, которое сильно снижает риски утечек.

Многие считают, что банки подвергаются только атакам извне и всему виной хакеры. На самом деле обойти защищенный информационный периметр банка сложно и потому безумно дорого.

Особенно когда конечной целью является получение базы данных клиентов.

Результаты расследований самых крупных инцидентов утечек говорят о том, что данные «утекают» именно по вине рядового персонала, который допускает ошибку либо осознанно продает информацию. Поэтому демонизировать «страшных хакеров» не стоит.

Какая информация может быть в утечках

Ценность любой «уплывшей» базы зависит от конкретных данных, которые в ней содержатся. Сведения о номерах карт или счетов клиентов в связке с Ф. И. О. по понятным причинам считаются очень ценными.

Также в базе могут содержаться данные об остатках средств на счетах клиентов, что тоже полезно для реализации многих мошеннических действий в дальнейшем.

А вот ценность базы, которая содержит, например, только контактные данные (почта и номер телефона), название банка и Ф. И. О. клиентов, будет на порядок ниже.

Самую большую опасность несут «обогащенные» базы данных. Предположим, «утекли» данные из какого-нибудь банка и крупного интернет-магазина. Злоумышленник может дополнить общий «цифровой профиль» конкретного человека, используя данные двух баз, так как объект может одновременно находиться в обеих. В этом случае из одной базы можно получить контактную информацию, а из другой — платежную.

В чем опасность

Векторов атак, доступных злоумышленникам после получения на руки базы персональных данных, не так много, как может казаться. Ключевой тип атаки — социальная инженерия. Рассмотрим два самых частых сценария.

1. Массовая фишинговая рассылка. Составляется письмо, внутри которого будет ссылка, ведущая на вредоносный ресурс (например, сайт, который просит ввести данные банковской карты или нечто подобное).

Эффективность этого метода до сих пор составляет порядка 10—12%. Это довольно большая цифра при условии того, что все слышали про такой тип мошенничества.

«Второе дыхание» у фишинга открылось в последний год благодаря пандемии.

2. Вишинг. Это «легендированный прозвон», задача которого — сделать так, чтобы жертва сама сообщила нужную злоумышленнику информацию. Для увеличения доверия к мошеннику используются персональные данные, полученные из той самой утечки. Соответственно, чем больше информации есть у злоумышленника, тем больше вероятность, что жертва поверит в «развод».

Полученные в результате фишинга и вишинга сведения могут быть использованы как для похищения денег со счетов, так и для оформления кредитов на жертву.

Пример из практики. В 2019 году один из моих клиентов случайно обнаружил у себя задолженность по платежам в нескольких кредитных организациях. Общая сумма долга составила более 350 тыс. рублей. Мошенники получили доступ к его персональным сведениям после утечки данных 900 тыс. человек клиентов Альфа-Банка, ОТП Банка и Хоум Кредит Банка в мае 2019 года.

Все кредиты на клиента были оформлены в нескольких микрофинансовых организациях ровно через сутки после той самой утечки, причем он одновременно являлся клиентом ОТП Банка и Альфа-Банка. Примечательно, что кусок базы, относящийся к Альфа-Банку, был составлен по жителям Северо-Западного федерального округа, в котором как раз и проживал мой клиент.

В той утечке были паспортные данные, сведения о месте работы и номера телефонов. Для многих кредитных организаций этих данных вполне достаточно, чтобы оформить кредит дистанционно. В тех организациях, где необходимо прислать фото паспорта, злоумышленники пользуются сервисами, которые генерируют сканы паспортов.

Туда достаточно ввести данные паспорта жертвы.

К сожалению, для моего клиента эта история закончилась печально: доказать, что кредиты были оформлены без его ведома, не удалось, и ему пришлось самостоятельно погашать задолженность.

Как с этим бороться?

Повлиять на уменьшение числа утечек мы с вами не можем никак. Со стороны государства недавно начались подвижки в эту сторону за счет ужесточения ответственности и увеличения штрафов.

Также в Госдуме недавно предложили законопроект, который позволит гражданам заранее отказываться от любых кредитов и не платить по ним, если их все-таки оформят. Правда, об эффективности этого проекта говорить пока сложно.

Например, не ясно, на какие именно финансовые организации будет распространяться запрет. Также всегда остается риск недобросовестных действий со стороны сотрудников этих финансовых организаций.

И наконец, мошенники могут посредством того же вишинга получить доступ к учетным записям граждан на «Госуслугах» и снять запрет. В общем, такая мера может снизить число пострадавших, но полностью проблему не решит.

Что можете сделать лично вы?

Главный способ минимизировать возможный ущерб — быть внимательным. Нужно сразу же вешать трубку в случае звонка из любого банка. Лучше перезвонить самому на официальный номер и спросить, звонили ли вам из банка. В 99% случаев вам скажут, что никто не звонил.

То же касается и писем. Всегда проверяйте ссылки специальными сервисами, хотя бы банальным VirusTotal, а лучше вовсе не переходите ни на какие сайты с подозрительным содержанием. И в целом повышайте свой уровень знаний в области цифровой гигиены.

В современных реалиях это стало одним из важнейших навыков.

Никита АРТЕМОВ для Banki.ru

Персональные банковские данные клиента: зачем они нужны и можно ли запретить их использовать

1. Главная
2. Советы
3. Советы по финансовым услугам

Вы обращаетесь в финансовую организацию, чтобы завести кредитку, открыть депозит или подать заявку на ипотеку, но сотрудники обязательно попросят подписать согласие на обработку персональных данных в банке. Заполняя бланк невольно приходят мысли: зачем нужен подобный документ и не попадет ли информация в руки мошенников. Расскажем, как устроена система хранения и обработки личных данных и что будет, если не подписывать такую бумагу.

Что такое персональные данные, зачем они банку

27 июля 2006 года в России вступил в силу Закон о персональных данных. Его цель — обеспечить каждому гражданину право на неприкосновенность личной жизни. Нормативный документ регламентирует, как именно нужно хранить банковские данные клиента. За нарушение правил работы предусмотрен Штраф — до 18 млн рублей.

В перечень персональных данных клиента входят :

• ФИО человека;
• место и дата рождения;
• адрес постоянной или временной прописки;
• фотография;
• телефон и электронная почта;
• сведения о членах семьи;
• информация о зарплате;
• материалы о судимости или ее отсутствии;
• серии и номера личных документов;
• биометрические данные (отпечатки пальцев, рисунок сетчатки глаза, запись звука голоса).

Финансовой организации персональные данные клиентов необходимы для получения представления о гражданине. Оценить, насколько он благонадежен, подходит ли для сотрудничества.

Вы решили немного схитрить и указать неверный телефон или электронную почту, чтобы избежать рекламных рассылок? Банк узнает об обмане и уровень доверия снизится. Это может негативно повлиять на дальнейшую работу с вами.

Как банк хранит и обрабатывает сведения

Все данные о клиенте поступают в единую базу. Передавать их третьим лицам без согласия человека запрещена законом. Под обработкой информации понимают любые действия, которые совершают сотрудники финансовой организации: сбор, запись, изменение, анализ.

Операторы, имеющие доступ к таким сведениям, обязаны сохранять секретность. Но в Роскомнадзор регулярно поступают жалобы о нарушении конфиденциальности. Недобросовестные сотрудники передают или продают банковские данные клиента коллекторским агентствам или другим заинтересованным лицам.

За подобные правонарушения предусмотрено наказание — до 20 тыс. рублей для должностных лиц.

В то же время неразглашение персональных данных клиентов не касается ситуаций, когда сведения нужны правоохранительным органам. Такое бывает, если гражданина подозревают в коррупции, отмывании денег или других преступлениях, связанных с незаконным обогащением.

Можно ли не подписывать согласие на обработку данных

Закон гласит: человек добровольно выбирает, разрешать кредитной компании использовать сведения о нем или нет. Но как это выглядит на практике? Все зависит от внутренней политики банка. Финансовая организация вправе отказать клиенту в кредите, если он не подпишет согласие. А Гражданин так и не узнает реальной причины отклонения заявки: банк её не озвучивает. 

Вы уже давно пользуетесь услугами учреждения, и сейчас захотели отозвать согласие на обработку своих данных? Напишите заявление на имя руководства банка. Его рассмотрят в течение 30 дней. На почту придет письмо, что сведения удалили из базы. Это обязаны делать по первому требованию частного лица.

Хотите оставить комментарий? Для начала зарегистрируйтесь. В Архангельской области мужчина угрожал взорвать офис банка

В Каргополе Архангельской области полиция задержала мужчину по подозрению в разбое и угрозе взрывов. По версии следователей, он напал на офис финансовой организации. Сотрудники архангельского уголовного розыска задержали местного жителя, подозреваемого в разбойном нападении. 45-летний мужчина работает разнорабочим.

Его считают виновным в угрозе взрыва офиса местной кредитной организации. Официальный представитель МВД Ирина Волк рассказала, что 18 марта в отделение одного из местных банков зашел неизвестный мужчина в очках и одноразовой маске на лице. Он прошел к кассам и дал работнику банка записку с требованием выдать 20 млн рублей.

В противном случае злоумышленник угрожал взорвать здание. На стойке банка он оставил пакет, контуры которого напоминали взрывное устройство. Кассир нажал на тревожную кнопку в соответствии со своими инструкциями.

Налетчик, увидев, что денег ему давать не собираются, скрылся из офиса банка, прежде чем туда прибыли сотрудники правоохранительных органов. Работников банка и клиентов эвакуировали, но в пакете взрывчатки не оказалось: содержимое было всего лишь муляжом.

Полиция изучила записи с камер и осмотрела отделение банка на предмет улик, при помощи которых и нашла налетчика. Использованный для угроз муляж взрывчатки он приобрел через интернет. Мужчину задержали, до суда он будет находиться под стражей. Источник: МВД России.

Цб и visa предупредили банки об утечке данных 55 тыс. карт — рбк

«Подтвердить информацию об объеме в 55 тысяч мы не можем: сперва нам нужно изучить опубликованную базу и проанализировать ее на предмет соответствия нашим данным», — сказал представитель интернет-магазина.

Какие данные попали в Сеть

В базе содержатся сведения о картах и клиентах разных кредитных организаций, в том числе Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, Юникредит Банка, банков «Санкт-Петербург», «Уралсиб», «Зенит», «Ренессанс Кредит», РНКБ, МТС Банка, УБРиРи других российских, а также зарубежных банков.

Сбербанк в курсе инцидента и получил уведомления от платежных систем, однако не зафиксировал данные карт своих клиентов в утекшей базе, сказал РБК представитель банка. В ней были сведения о картах четырех клиентов зарубежных «дочек» Сбербанка, но им ничего не угрожает, добавил он. Райффайзенбанк получил предупреждение ФинЦЕРТ, подтвердил его представитель.

Об утечке также знают «Открытие», Промсвязьбанк, «Санкт-Петербург», Росбанк и МКБ. «Данные, которые в результате допущенной маркетплейсом утечки попали в открытый доступ, не позволяют мошенникам похитить средства с карты», — подчеркнул представитель Промсвязьбанка.

О том, что «речь идет о технических данных, которые не открывают доступ к счетам», говорит и представитель «Санкт-Петербурга».

«Открытие» взяло на дополнительный контроль все операции по картам своих клиентов из базы. Райффайзенбанк заблокировал скомпрометированные карты и сообщил клиентам о перевыпуске карт, Промсвязьбанк намерен это сделать в ближайшее время.

Qiwi заблокировала карты и предложила пользователям их перевыпустить или компенсировать стоимость. МТС Банк, УБРиР и РНКБ предупреждают своих клиентов с картами из базы об их компрометации и необходимости перевыпуска.

«Зенит» оперативно заблокировал и перевыпустил карты.

МКБ самостоятельно выявил утечку еще в июле и принял дополнительные меры безопасности относительно всех карт, данные которых оказалась в открытом доступе.

У большинства карт Абсолют Банка из этой базы уже истек срок действия, а карты активных клиентов будут перевыпущены, сообщил управляющий директор банка Олег Кусеров. Росбанк реализовал «планы противодействия подобным угрозам», отметил его директор по розничному бизнесу Алексей Лола.

«Санкт-Петербург» связывается с клиентами, чья личная информация могла быть скомпрометирована, блокирует их карты и предлагает выпустить новые, сообщили в его пресс-службе.

Что грозит клиентам из базы

«В этой базе нет данных, с помощью которых мошенники могли бы без подтверждения клиента совершить платежные операции», — успокаивает представитель «Открытия».

По словам руководителя направления комплаенса и аудита группы компаний Softline Ильи Тихонова, эти данные могут использоваться только с целью мошенничества путем социальной инженерии, когда мошенники обманывают банковских клиентов, для убедительности используя персональную информацию из баз.

По данным ЦБ, в 2019 году в 69% случаев при хищении денежных средств с банковских счетов граждан использовалась социальная инженерия. Всего за прошлый год преступники украли у банковских клиентов 6,42 млрд руб.

Интернет-магазины традиционно являются одним из самых слабо защищенных сегментов, так как их создатели уделяют недостаточно внимания вопросу защиты от кибератак, продолжает Тихонов: «Исходя из характера данных, я могу предположить, что они были получены путем внешней атаки: использовалось вредоносное ПО, перехватывающее данные в процессе оплаты». Чаще в Сеть попадают данные клиентов интернет-магазинов без платежной информации, с данными карт — всего лишь несколько раз в год, добавляет основатель и технический директор компании DeviceLock Ашот Оганесян.

База находится в свободном доступе в нескольких местах, ее могли скачать сотни человек, поэтому мошенникам будет сложно ее использовать, отмечает Оганесян: «Если клиентов прозвонили по одному разу, то эффективность следующих прозвонов стремится к нулю, так как жертвы телефонных мошенников становятся бдительнее».

Что делать, чтобы данные по вашей банковской карте не утекли в сеть?

3 октября газета «Коммерсант» сообщила, что на специализированном форуме появилось объявление о продаже «свежей базы крупного банка». Речь шла о клиентах Сбербанка, продавцы уверяли, что владеют данными о 60 млн кредитных карт — действующих и закрытых.

Банк сначала подтвердил утечку данных по кредитным картам 200 клиентов, затем после проведения внутреннего расследования сообщил, о том, что «утекли» данные 5 тысяч учетных записей кредитных карт Уральского банка Сбербанка.

Карты были перевыпущены, угрозы для средств клиентов нет, говорилось в сообщении банка. 

Этот случай не единственный. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России сообщил, что за первые шесть месяцев этого года в сети обнаружено 13 тысяч публикации с предложениями о покупке и продаже различных баз данных.

12% из них относились к базам данных кредитно-финансовых организаций.

Дмитрий Песков, специальный представитель президента России по вопросам цифрового и технологического развития, призвал быть готовыми к повторению утечек баз данных и пользоваться «информационной гигиеной», передает РИА «Новости».

Forbes подготовил небольшую инструкцию о том, как обезопасить себя от утечки личных данных. 

Если появились подозрения

Если у вас есть подозрения, что данные вашей карты «утекли» в сеть, лучше перевыпустить карту, сказал Forbes коммерческий директор «Инфосекьюрити» Александр Дворянский. В случае масштабных утечек  банк, как правило, сам принимает решение о перевыпуске карт. Вам также необходимо будет сменить пароли в мобильном банкинге на всех устройствах, советуют в Group-IB. 

Насторожить и заставить задуматься, не утекли ли ваши данные, должны странные смс, похожие на банковские сообщения, например «вы только что перевели 500 рублей, подтвердите операцию», а также отказ в операции, смс о блокировке сим-карты или ее перевыпуске.

Подобные явления могут быть попыткой войти в ваш банковский аккаунт.

Очень важно оперативно реагировать на такие события, поскольку у клиента есть, как правило, сутки на обращение в салон связи и банк, советует антивирусный Эксперт «Лаборатории Касперского» Дмитрий Галов.

Достоверно выяснить, действительно ли данные утекли в сеть, обычному пользователю вряд ли удастся. Сама информация о факте утечки часто непублична, говорит Галов.

Но даже если об утечке известно, скачивать такую базу данных и искать в ней свое имя не стоит, это может привести к взлому аккаунта.

 Единственное, что можевт сделать клиент — проверить свои учетные данные на предмет утечки, например, на сайте https://haveibeenpwned.com, советует Галов.

Если украли деньги

Службы безопасности банков постоянно следят за возможной компрометацией данных их клиентов.

Часто они просто блокируют карты или доступ к онлайн-банку при какой-либо, с их точки зрения, подозрительной активности, говорит  Галов. Если с вашей карты уже исчезли деньги, следует обратиться в полицию и банк.

Банк обязан компенсировать пользователю украденные денежные средства в течение 30 дней, если инцидент произошел по вине банка, замечает Дворянский.

Если вы сами сообщили свои данные мошенникам, оперативно свяжитесь с банком по номеру, указанному на банковской карте или официальном сайте. Им нужно будет сообщить номер телефона, с которого звонили мошенники, советуют в пресс-службе Group-IB. Далее банк будет самостоятельно принимать меры по блокировке вашего счета, перевыпуску карт и блокировке номера мошенника.

Как обезопасить себя в будущем

Самое главное — никогда никому не давать свои данные: как номер карты, так CVV и кодовые слова, говорит Дворянский. Существуют определенные маркеры, чтобы понять, что вам звонят не из банка, основной из которых — вопрос о пин-коде. Банковские работники располагают полной информацией о ваших данных и не зададут такой вопрос, считает он.  

В перечне советов от Group IB говорится, что нужно оставлять как можно меньше персональной информации о себе в интернете, например, клиентом какого банка вы являетесь, какими банковскими услугами пользуетесь. Нельзя выкладывать фотографии, сканы документов и банковских карт в соцсетях. 

Если меняете номер мобильного телефона, сообщите об этом банку — есть риск, что ваши старые данные попадут новому владельцу сим-карты, советует Group IB.

Кроме того, чтобы мошенники не могли перевыпустить вашу сим-карту и перепривязать к ней ваш интернет-банкинг, напишите в отделении у сотового оператора заявление, ограничивающее смену сим-карты без вашего участия (например, по доверенности). 

Утечка на миллион

Данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе. Утечка суммарно затрагивает интересы примерно 900 тыс. россиян, чьи имена, телефоны, паспорта и место работы теперь при желании может узнать каждый.

Базы были выложены в конце мая, данные в них собирались несколько лет назад, но существенная часть информации сохраняет актуальность.

Эксперты считают, что лица из этих баз могут как подвергнуться обычному спаму, так и столкнуться с мошенничеством.

Две утечки данных о клиентах Альфа-банка обнаружила в пятницу DeviceLock. В одной из баз содержатся данные о более чем 55 тыс. клиентов, включая их ФИО, телефоны (мобильный, домашний и рабочий), адрес проживания и место работы. В DeviceLock осторожно датируют ее 2014–2015 годами.

Вторая база содержит всего 504 записи, но она интересна тем, что датируется 2018–2019 годами, а помимо ФИО и телефонов содержит такие данные, как год рождения, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130–160 тыс. руб.

“Ъ” удалось обнаружить первую базу данных и ознакомиться с ней. В открытом доступе она находится по меньшей мере с конца мая.

Судя по адресам, все клиенты из данной базы проживают в Северо-Западном федеральном округе. Телефонные номера по большей части действующие и принадлежат обозначенным лицам.

По месту работы помимо сотрудников частных компаний можно найти около 500 сотрудников МВД, порядка 40 человек из ФСБ.

Эта база была выложена в заархивированном виде с двумя другими, в которых, согласно описанию, содержатся данные о клиентах ХКФ-банка и ОТП-банка. Первая состоит из 24,4 тыс.

клиентов, содержит их ФИО, паспортные данные, телефоны (мобильный и домашний), адрес и столбец «лимит», предположительно кредитный. Большинство физлиц из этой базы проживают в Волгограде и области. Актуальность данных неизвестна.

Но “Ъ” дозвонился до нескольких человек из этого списка, все они подтвердили, что брали кредит в ХКФ-банке, но давно. По словам одного из них, примерно в 2009 году.

База, указанная как OTPbank, содержит данные о 800 тыс. человек по всей России, такие как ФИО, телефоны, почтовый адрес, одобренный кредитный лимит, рабочие пометки о том, как прошел контакт с клиентом. Актуальность базы — осень 2013 года. Несколько человек из этого списка, которым позвонил “Ъ”, подтвердили, что брали кредит в ОТП-банке.

Пресс-служба Альфа-банка заявила, что уполномоченные службы кредитной организации проводят проверку достоверности и актуальности сведений, опубликованных в интернете персональных данных физических лиц, которые могут являться клиентами банка.

В ХКФ-банк, сообщили, что «происхождение данных в указанном файле банку неизвестно, но мы примем меры для его установления». «В нашем банке не зафиксирована утечка информации, и происхождение данной базы нам неизвестно»,— заявили в ОТП-банке.

Основатель и технический директор DeviceLock Ашот Оганесян пояснил предположительное происхождение базы данных клиентов Альфа-банка с 55 тыс. записей. По его словам, осенью 2014 года в банке происходило массовое увольнение регионального IT-отдела. Данные могли утечь тогда, а позже база долгое время распространялась на черном рынке.

«И вот не так давно ее разместили в паблик даже без пароля»,— поясняет господин Оганесян. Что касается свежей (2018–2019 годов) базы клиентов Альфа-банка, то ее мог взять клиентский менеджер, считает сотрудник одного из банков, специализирующийся на борьбе с мошенничеством.

На это, по его мнению, указывает небольшой размер базы (чуть больше 500 человек), а также то, что все клиенты из определенной выборки, ограниченной суммой счета.

По всей видимости, человек, целенаправленно собравший эти базы, был или инсайдером, или же находил тех, кто их может украсть, полагает гендиректор Zecurion Алексей Раевский.

«Судя по тому, что базы являются устаревшими, скорее всего, они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности,— предполагает он.— Теперь же люди, фигурирующие в этих базах, могут стать жертвами широкого круга банковских мошенников».

Последние смогут, например, притворяясь службой безопасности банка, входить к жертвам в доверие, демонстрируя знание персональных данных, или использовать паспортные данные в мошеннических целях.

Виталий Солдатских, Вероника Горячева

Более половины из изученных компанией DeviceLock популярных облачных баз данных в рунете предоставляют возможность неавторизованного доступа. Это особенно распространено в небольших компаниях, считают эксперты. Утечки из облачных хранилищ нередки — только за последнее время попали в открытый доступ данные пациентов скорой помощи и клиентов сервиса «Звонок».

Читать далее

Персональные и доступные. Как мошенники получают доступ к базам данных российских банков | Телеканал 360°

Персональная информация клиентов трех крупных банков оказалась в свободном доступе. В базах доступны номера телефонов, домашние адреса, места работы, паспортные данные и даже остатки денег на счетах около 900 тысяч россиян. Опрошенные «360» эксперты успокоили — тем, кто попал в базу, не стоит паниковать.

Банковские утечки

Первые две утечки с данными о клиентах Альфа-банка обнаружила компания DeviceLock, пишет «Коммерсант». В первой базе приведены телефоны, адреса проживания и места работы 55 тысяч человек. Специалисты считают, что ее собирали в 2014–2015 годах.

Во второй базе, которую датировали 2018−2019 годами, приведены, кроме анкет и номеров телефонов, выписки из паспортов 500 клиентов, а также остатки на счетах с суммами от 130 до 160 тысяч рублей.

По информации издания, первая база Альфа-банка находится в свободном доступе с конца мая. Ее можно было скачать в архиве, вместе с данными о клиентах ХКФ-банка и ОТП-банка.

Во всех последних кредитных учреждениях клиенты брали кредиты. В базе ХКФ-банка приведены данные 24,4 тысячи клиентов из Волгограда и области. Журналисты смогли установить, что деньги брались в этом банке в 2009 году. Актуальность базы ОТП-банка — 2013 год.

Во всех базах есть фамилия, имя, отчество клиента, телефон, почтовый адрес и одобренная сумма кредита.

В пресс-службе Альфа-банка сообщили, что сейчас специальный отдел проводит проверку достоверности и актуальности опубликованных сведений о физических лицах, которые могут быть его клиентами. В ХКФ-банке заявили, что не знают источника появления данных, но обязательно выяснят. В ОТП-банке утечку опровергли.

Роскомнадзор заявил, что заблокирует ресурс, предоставивший открытый доступ к базам банковских клиентов. В беседе с «Интерфаксом» представитель ведомства пояснил, что у «Коммерсанта» уже взяли ссылки, ведущие к персональной информации.

По словам представителя Роскомнадзора, базы данных разместили на платном форуме, зарегистрированном американским хостингом на имя гражданина Украины. Серверы, где хранятся файлы, находятся в Германии. Ведомство намерено обратиться в суд для блокировки этого сайта.

В Роскомнадзоре отметили, что открытый доступ к личной информации россиян может привлечь мошенников. Ведомство начало проверку, чтобы выяснить, появились ли уже пострадавшие от утечек. По итогам проверки всех операторов, допустивших публикацию персональных данных в Сети, ждут особые меры. При этом в ведомстве не исключили, что банки стали жертвами фишинговой атаки.

Источники данных и торговля базами

Заместитель генерального директора компании Zecurion Александр Ковалев в беседе с «360» рассказал, что в основном базы данных появляются в открытом доступе через инсайдеров — сотрудников кредитных учреждений, которые имели или имеют легальный доступ к сведениям о банковских клиентах.

«Они могут скопировать данные себе на флешку и продавать полученную информацию, выкладывать частями или использовать в своих целях», — рассказал он.

Эксперт пояснил, что в любых банках случаются сокращения персонала, а доступ к базам данным имеют множество людей: IT-отделы, подрядчики, топ-менеджеры и люди на местах. Во многих случаях базу можно просто скачать в формате Excel. Этой ситуации можно было бы избежать, если бы такой возможности просто не было, потому что перебивать базы вручную достаточно долго и непродуктивно.

Получить доступ к персональным данным клиентов банков можно через хакерскую атаку. Это происходит в тех случаях, когда сетевая безопасность не настроена в полной мере, а смышленый умелец может ее обойти.

«Обычно это сложные штуки, но если кто-то целенаправленно хочет взломать, то это, конечно, возможно», — заявил Александр Ковалев. Третьим способом, по его словам, являются фишинговые письма. Когда сотрудник банка случайно открывает файл, переходит по ссылке или совершает другие действия, это приводит к заражению компьютера вирусом.

«Например, компьютер банковского аналитика: у него есть доступ ко всем данным. Система безопасности не очень хорошо отработала — и его компьютер заразился. Злоумышленник при помощи этого компьютера под видом аналитика в нерабочее время может просматривать те же базы данных, ключевую информацию, что-то выкачивать», — привел пример Александр Ковалев.

Он особо отметил, что для борьбы со всеми случаями в большинстве банков есть специальные меры защиты. С их помощью можно отследить инсайдеров и заблокировать им доступ или оповестить систему безопасности о злонамеренной активности.

«Второй вариант — когда контролируются привилегированные пользователи. Некоторые банки нанимают сторонние организации. То есть системный оператор, у него есть аналитики, которым дают доступ, и они уже могут специально или за зараженным компьютером слить информацию. Специальные системы анализируют весь сетевой трафик, нетипичные запросы», — рассказал Александр Ковалев.

В беседе с «360» сотрудник департамента защиты информации коммерческого банка Николай Пятиизбянцев заявил, что обычно вся информация с данными клиентов уходит не от самих банков, а от организаций, которые взаимодействуют с ними: подрядчиками и посредниками. «Из самих банков информация уходит крайне редко», — заявил он. При этом он пояснил, что ответственность за утечки персональных данных лежит именно на кредитных учреждениях. Разглашение банковской тайны — это уголовная статья.

Хакер Александр Варской добавил, что безопасность баз данных клиентов — давняя проблема всех банков. В кредитных учреждениях редко закладывают в смету необходимые мероприятия для защиты. Кроме того, крупные компании просто ведут перекрестный обмен базами данных.

Он пояснил, что базы ОТП-банка и ХКФ-банка утекли давно и все, кто хотел, с ними уже ознакомились. «Их можно во „ВКонтакте“ в документах найти. Из-за того, что все это произошло уже давно, ответственность за утечку этих баз уже никто не понесет», — заявил Александр Варской.

Появление в Сети

Если ваши персональные данные появились в Сети, не стоит особо обращать на это внимания, заявил заместитель генерального директора компании Zecurion Александр Ковалев. Он пояснил, что с ними уже ничего не сделать и никто не пойдет из-за этого менять свой паспорт или ИНН.

Выяснить, стали ли личные данные публичными, можно несколькими путями: самый простой — вбить в поисковике полное имя или попробовать найти базу самостоятельно, если она есть в открытом доступе.

«Стоит меньше переживать, потому что и банки, и другие компании безопасность соблюдают, внедряют новые системы, настраивают. Но и хакеры и технологии на месте не стоят. Новые способы будут появляться — и базы новые будут скачивать.

И есть более серьезные атаки на банки, когда переводят миллиарды долларов. И тут уже не до того, что твои персональные данные где-то лежат.

Тут твоих денег нет на счету и твой банк закрывается, потому что у него ушли деньги неизвестно куда», — пояснил Александр Ковалев.

Получив паспортные данные, мошенник теоретически может договориться с нечистоплотным сотрудником банка и оформить кредит просто по номеру документа, без личного участия.

Доказать свою невиновность в этом случае можно только через суд. Но такие случаи достаточно редки.

Чаще базами пользуются не мошенники, а недоброжелатели, то есть бывшие жены или конкуренты, которых интересует состояние банковского счета владельца.

«В целом не то, что это не опасно, но это не критичная утечка — с этим можно жить», — пояснил он.

По его словам, пока единственный способ борьбы с утечками — это внедрение специальных защитных систем, которые будут блокировать работу инсайдеров. Если же банку не удалось защитить данные клиентов, то в срочном порядке нужно обращаться в Роскомнадзор и суд для блокировки и удаления из поисковых систем страниц, где размещены ссылки на скачивание.

Александр Варской считает, что ценность личной информации можно нивелировать, только если сделать ее открытой, чтобы само понятие «персональные данные» исчезло.

«Если они будут открыты, то их ценность обессмыслится. Это очень хороший путь, и наша страна может много что выиграть, если пойдет по этому пути», — подытожил он.

Отзыв персональных данных из банка (заявление)

При оформлении любого банковского кредита или займа от микрофинансовой организации заявитель оставляет свои персональные данные. И кредитная компания может использовать эти сведения по личному усмотрению. Если вы не желаете, чтобы информация была в сторонних руках, необходимо составить заявление на отзыв персональных данных из банка.

Покажем образец отзыва персональных данных из банка и расскажем, как и зачем подавать такое заявление. Есть случаи, когда личными данными клиента могут воспользоваться даже после официального отзыва. Подробности — на Бробанк.ру

Как персональные данные попадают в пользование банка

Это случается при любом заключении договора, не обязательно кредитного. Это нужно компании для работы с клиентом, для получения права на его обслуживание. Если вы откажетесь от обработки персональных данных, то не сможете получить нужную услугу.

Вы передаете личные данные банку при:

Здесь ситуация несколько двоякая. Любой Договор предусматривает согласие клиента на обработку персональных данных. Даже если вы заказываете услугу онлайн, то после формирования анкеты нужно поставить галочку в поле согласия. Вроде как это добровольное действие клиента, но без его выполнения услуга не будет оказана.

Как банки используют персональные данные клиентов

Первостепенная задача — использование их при оказании Услуги. Например, если речь о кредите. Эта информация будет нужна банку в случае просрочки, чтобы передать дело коллекторам или использовать собственные силы для организации процесса взыскания.

Другой момент — реклама. Имея огромную базу персональных данных, финансовая организация получает перечень потенциальных клиентов. Им регулярно шлют информацию о предоставлении персональных кредитов, кредитных карт, просто рекламируют услуги. И хотя это может раздражать, периодически встречаются действительно дельные предложения.

По закону банки не имеют права передать собранные сведения третьим лицам, но проколы случаются. Регулярно появляются новости о том, что в какой-то организации случилась утечка. Виной тому хакеры или сотрудники, которые, пользуясь служебным положением, преступным путем продают данные.

Понятно, что эти сведения мошенники используют для личного обогащения. Например, в последние годы они активно атакуют клиентов Сбербанка, представляясь его службой безопасности. Таким образом они выуживают у граждан сведения, которые помогают им красть деньги со счетов.

Можно ли подать заявление в банк на отзыв персональных данных

Есть закон о персональных данных, которые регулирует все, что связано с этим вопросом. Это ФЗ-152. Статья 9 разъясняет вопросы, связанные с согласием субъекта на сбор и хранение сведений о нем. Здесь же говорится и о его праве отозвать предоставленное ранее согласие.

Если вы придете в банк, чтобы оформить отказ от использования персональных данных, то ссылаться нужно на ФЗ-152 ст 9. Ее второй пункт как раз и гласит о том, что человек может отозвать свои персональные данные. Причем нет указаний ни по срокам, ни по иным условиям. Выполнить это действие можно в любой момент.

Это касается не только банковских клиентов. Сбором информации и их хранением занимаются мобильные операторы, магазины (выдают карты лояльности) и пр.

Как удалить персональные данные из банка

Требуется личное обращение в финансовую организацию и написание соответствующего заявления. Отказать в этом праве банкиры не могут, поэтому принимают запросы без проблем и выполняют просьбу клиента.

Как отозвать личные данные из банка:

1. Посетить офис финансовой организации и выразить свое намерение отозвать данные. Если заявление вы составляли самостоятельно, оно должно быть в двух экземплярах (бланк и образец отзыва обработки персональных данных из банка — ниже).
2. Вас спросят, как вы желаете получить информацию о результате. Можно выбрать отделение банка, почтовую или электронную рассылку.
3. По итогу обработки заявителю сообщают, что его данные отозваны, больше банк их использовать не может.

Самостоятельно составлять заявление не обязательно, так как в банке в любом случае предоставят готовый бланк. А чаще заявление формирует менеджер и просто дает его на подписание клиенту. Но на всякий случай оставляем образец.

Образец отзыва согласия на обработку персональных данных →

Нужны именно два бланка. Один остается у банка для рассмотрения и выполнения требования, другой с отметками финансовой организации — у клиента. Его нужно хранить до момента выполнения банком действия и получения сообщения об этом.

Персональные данные убираются из банка в течение 30 дней после подачи заявления.

Исчезнут ли сведения полностью

Если клиенту просто надоела рекламная рассылка и бесконечные звонки с предложением взять кредит, это подействует. Некоторые банки действительно злоупотребляют спамом, шлют персональные предложения по СМС буквально каждый день. Это действует на нервы. Такая рассылка и обзвон должны прекратиться.

Но закон указывает, что полностью сведения из базы данных не исчезают. Есть основания для продолжения хранения, сбора и распространения данных:

• если договорные отношения с кредитором не прекращены. Например, есть действующий кредит, кредитная или дебетовая карта, вклад и пр;
• если лицо является участником судебных разбирательств;
• обработка необходима для защиты жизни и здоровья гражданина;
• информация может потребоваться для оказания медицинских услуг, установления диагноза, личности;
• сведения потребуются в случае соблюдения законов о безопасности, противодействию терроризма, уголовного и исполнительного законодательства.

Подробное описание всех пунктов — в ст 10 части 2 ФЗ-152. Если вдруг информация понадобится для этих целей, она будет предоставлена финансовой организацией ведомству, которое ее запросило. То есть бесследно данные не исчезают.

Что делать, если заявление не подействовало

На практике банки стремятся соблюдать действующее законодательство. Им важна собственная репутация, и не нужны проблемы с Центральным Банком. Но если вдруг спустя 30 дней после подачи заявления вы не получили уведомление о положительном результате, или вас продолжают заваливать рекламой, нужно обращаться в вышестоящие инстанции.

Куда обращаться:

К сожалению, если произошла утечка данных, вас донимают спамеры и мошенники, ничего с этим не поделать. Единственный выход из ситуации — блокировать входящие номера, помечая их как спам. В итоге телефон просто не будет в следующий раз принимать эти звонки.

Поможет ли отзыв избавиться от коллекторов

Некоторые должники, совершившие просрочку, желают написать отзыв персональных данных, чтобы прекратить действий коллекторов и службы взыскания. Они хотят отозвать персональные данные из банка и прекратить натиск. Но не все так просто.

Так как кредитный договор действующий, отзыв персональных данных по закону будет невозможным.

В этом случае нужно действовать несколько иначе — нужно составлять отказ от взаимодействия с коллекторами. Это можно сделать спустя 4 месяца после фиксирования просрочки.

После написания банк коллекторы не будут правомочны общаться с должником. Подробная информация в материале — как отшить коллекторов.

Источник информации:

1. Consultant.ru: ФЗ 152 О персональных данных.

Об авторе

Ирина Русанова — высшее образование в Международном Восточно-Европейском Университете по направлению «Банковское дело». С отличием окончила Российский экономический институт имени Г.В. Плеханова по профилю «Финансы и кредит».

Десятилетний опыт работы в ведущих банках России: Альфа-Банк, Ренессанс Кредит, Хоум Кредит Банк, Дельта Кредит, АТБ, Связной (закрылся). Является аналитиком и экспертом сервиса Бробанк по банковской деятельности и финансовой стабильности.

rusanova@brobank.ru

Эта статья полезная? Помогите нам узнать насколько эта статья помогла вам. Если чего-то не хватает или информация не точная, пожалуйста, сообщите об этом ниже в х или напишите нам на почту admin@brobank.ru.