tev
Обзор "Рынок ИТ: Итоги 2006" подготовлен При поддержке
CNewsAnalytics Kraftway

TOP 5 российских утечек 2006 года

TOP 5 российских утечек 2006 годаУтечки конфиденциальной и приватной информации, саботаж, мошенничество, промышленный шпионаж — все эти угрозы внутренней ИТ-безопасности преследуют каждую успешную компанию. В число самых громких инцидентов 2006 года вошли утечки баз данных заемщиков, бравших кредиты на приобретение товаров в торговых сетях, абонентов белорусского оператора Velcom и клиентов Valuehost.ru, а также списков физклиентов Банка «Первое ОВК», отказов по кредитам и стоп-листов банков России.


Прежде чем перейти к самим инцидентам, рассмотрим последнюю статистику масштабов потерь в результате реализации внутренних угроз ИТ-безопасности. В 2005 году аналитики ФБР опубликовали результаты очередного исследования «2005 FBI Computer Crime Survey», согласно которому средний ущерб каждой компании вследствие инсайдерских атак составляет 355 тыс. долларов. Однако сегодня эти цифры уже не отражают реальности. По данным последнего исследования «2006 Annual Study — Cost of a Data Breach», средний ущерб всего от одной утечки составляет 4,8 млн долларов. Инсайдерская кража персональных данных всего одного человека в среднем обходится компании в 182 доллара.


Самые крупные утечки 2006 года в России и СНГ

Дата Организация Описание Потенциальный ущерб
Август,
2006 год
Российские банки, занимающиеся потребительским кредитованием

В середине августа в интернете прошла рассылка с предложением купить БД заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Каждая запись базы содержит ФИО заемщика, его адрес, название торговой сети, размер и срок кредита, объем просрочки и т.д. Подозрение в утечке пало на инсайдеров в нескольких российских банках, занимающихся потребительским кредитованием.

Удар по репутации и серьезный подрыв доверия к отечественному финансовому сектору
Август,
2006 год
Банк «Первое ОВК»
(поглощен Росбанком в 2005 г.)

На прилавках Митинского радиорынка появился диск «Банковский черный список физлиц: Москва и Московская область». За 900 руб. продавцы предлагали относительно небольшую базу данных примерно 3 тыс. неблагонадежных клиентов банка «Первое ОВК». Подозрение в утечке пало на инсайдеров — бывших сотрудников банка «Первое ОВК», которые «слили» информацию именно в процессе поглощения компании Росбанком.

Ущерб имиджу, плохое паблисити, отток клиентов
Сентябрь,
2006 год
МЦС (Мобильная Цифровая Связь), владелец -Velcom

В продаже появилась база данных более 2 млн абонентов белорусского сотового оператора Velcom. Компания обвинила в утечке партнерский банк, которому база была передана для проверки правильности указанных реквизитов при оплате услуг связи. Фирма МЦС даже собралась подать на банк в суд, хотя белорусские журналисты отмечают, что приватные базы абонентов Velcom появляются в продаже регулярно.

Удар по репутации, потеря лояльных клиентов, трудности с привлечением новых клиентов
Октябрь,
2006 год
«Вэб Хостинг»
(владелец марки — Valuehost)

Целый ряд интернет-магазинов выложили на свои прилавки «Базу данных Valuehost.ru со всеми логинами и паролями». Всего за 300 долларов любой желающий мог купить базу «реквизитов 70 тыс. пользователей хостинг-оператора».

Массовый отток клиентов, юридические издержки
Декабрь,
2006 год
«Русский стандарт», ХКФ-банк, «Росбанк», «Финансбанк», «Импэксбанк» и др.

Любой желающий мог всего за 2 тыс. рублей приобрести базу «Отказы по кредитам и стоп-листы банков России» с 3 млн записей о просрочках и неплатежах по кредитам, а также отказах в их выдаче. Утечку допустили «Русский стандарт», ХКФ-банк, «Росбанк», «Финансбанк», «Импэксбанк» и др. Характер записей в продаваемой БД однозначно указывает, что украсть ее могли только инсайдеры.

Плохое паблисити, ухудшение репутации всего банковского сектора

Источник: InfoWatch, 2007

База данных потребительских кредитов российских банков. Довольно темный случай — либо в России произошла очередная очень громкая утечка конфиденциальной информации, либо кто-то решил подзаработать на продаже «цифровой куклы». Ясности нет, но потеря репутации всего финансового сообщества уже налицо.

15 августа 2006 года ряд бюро кредитных историй (БКИ) и банков получили по электронной почте предложение купить базу данных заемщиков, бравших кредиты на приобретение товаров в торговых сетях. Размер базы огромен для этого сектора банковских услуг — более 700 тыс. записей. Тем не менее, есть основания полагать, что эта база — всего лишь «кукла». Дело в том, что правоохранительным органам, несмотря на все попытки, купить базу полностью так и не удалось.

В руки журналистов попала выборка из базы, датированная 7 апреля 2006 года. Каждая запись базы содержит ФИО заемщика, его адрес, название торговой сети, где была совершена покупка в кредит, сумма покупки, размер первоначального взноса, размер кредита, срок кредита, размер ежемесячного платежа, объем просрочки и сумма санкций. За всю базу, которая содержит более 700 тыс. записей, продавцы запросили 90 тыс. рублей, что не идет ни в какое сравнение с рыночной стоимостью кредитных историй — одна такая история в кредитном бюро стоит около $0,4. По мнению участников рынка, предлагаемая база скорее напоминает базу данных розничных бэк-офисных банковских программ. В результате главное подозрение в разглашении конфиденциальной информации падает на банки, которых в торговых розничных сетях в России в массовом порядке работает не так много.

База данных неблагонадежных заемщиков банка «Первое ОВК». В конце августа стало известно об утечке базы данных неблагонадежных заемщиков банка «Первое ОВК», получавших кредиты в 2002-2003 гг. Информацию о частных клиентах, которые после слияния ОВК и «Росбанка» оплачивают кредиты в «Росбанке», можно приобрести на черном рынке за 900 рублей. Судя по всему, Росбанк мог стать жертвой утечки в результате недобросовестных действий уже несуществующей службы безопасности ОВК.

Репортеры приобрели диск «Банковский черный список физлиц: Москва и Московская область» в ларьке недалеко от Митинского радиорынка за 900 рублей. В отличие от базы данных, которую предлагали купить банкирам в середине августа, она относительно небольшая и содержит информацию примерно о 3 тыс. неблагонадежных клиентов банка «Первое ОВК». В новой базе указаны заемщики, получившие кредиты в течение 2002-2003 годов, номера их домашних или мобильных телефонов, а в ряде случаев — паспортные данные и домашние адреса. Рядом с каждым именем указана причина и дата занесения в черный список. Отметим, что банковская группа ОВК, созданная Александром Смоленским, была приобретена холдинговой компанией «Интеррос» в середине 2003 года. Информация о неблагонадежных заемщиках собрана как раз в 2002-2003 гг. и имеет отметки сотрудников службы безопасности ОВК. Специалисты предполагают, что утечка произошла именно оттуда в момент интеграции банков.

Официальные представители Росбанка отказались от комментариев, заметив, что «необходимо сначала проанализировать базу и установить подлинность данных». В то же время источник в банке пояснил, что во время слияния бизнесов ОВК и «Росбанка» не все сотрудники были довольны процессом интеграции, и «утечка информации могла послужить своеобразной местью».

Утечка базы данных белорусского сотового оператора Velcom. Белорусские журналисты приобрели текстовый файл с информацией о 2 млн абонентах сотового оператора Velcom. В нем содержатся номера мобильных телефонов и ФИО клиентов сотового оператора. При этом белорусская пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 года вышло как минимум 6 вариантов, причем каждый раз информация дополнялась. Между тем, аналогичные данные компании МТС в белорусском интернете по-прежнему отсутствуют.

Столкнувшись с волной критики, Velcom не стал отмалчиваться и сделал ряд заявлений. Во-первых, компания сообщила, что белорусские законы не защищают персональные данные граждан. Следовательно, никаких юридических претензий к Velcom быть не может. Во-вторых, оператор заявил, что уже вычислил источник утечки. Им оказался белорусский банк, которому была передана база данных клиентов (номер телефона и ФИО каждого абонента) «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». В-третьих, сотовая компания настаивает, что банк должен был сохранять базу в тайне, так как это зафиксировано в договоре. Поэтому теперь Velcom готовит банку претензию и «рассматривает возможность предъявления иска о защите деловой репутации».

База данных логинов и паролей пользователей хостинг-провайдера Valuehost.ru. В конце октября в интернете начали продавать базу данных петербургского хостинг-оператора Valuehost, содержащую логины и пароли к 101 тыс. сайтов. Фирма сейчас проводит внутреннее расследование, но конкуренты уже начали говорить, что если утечка подтвердится, то клиентам компании угрожает опасность.

Товар, представленный в ряде электронных магазинов (www.plati.ru, www.zaplati.net и www.privet.in), называется просто и со вкусом — «База данных Valuehost.ru со всеми логинами и паролями». Информация о размещении базы датирована концом сентября 2006 года. Как уверяет продавец, скрывающийся под псевдонимом Money-monster, всего за 8886 рублей любой желающий получит логины и пароли к 101 тыс. сайтов (70 тыс. пользователей). То есть покупатель сможет изменить содержание сайтов, как ему заблагорассудится.

Между тем, обстановка вокруг питерской компании продолжает накаляться. Многие пользователи решили просто сменить хостинг-оператора, то есть расторгнуть договор с Valuehost и заключить новый с конкурентами. Однако не все так просто, за разрыв договора и смену DNS, старый оператор требует сумму, эквивалентную 30 долл. США. В ответ на это юристы портала LawMix.ru вызвались помочь пострадавшим отстоять свое право бесплатно отказаться от услуг ненадлежащего качества. Ведь предоставление услуг хостинга подчиняется закону «О защите прав потребителей». На LawMix.ru бесплатно помогают оформить иск, а за вознаграждение берутся вести дело в суде. Все заявки принимаются через электронную почту.

База «Отказы по кредитам и стоп-листы банков России». В декабре 2006 года стало ясно, что произошла одна из самых крупных утечек из российских банков. Как всегда, продавцы назвали свой товар незатейливо — «Отказы по кредитам и стоп-листы банков России». База содержит 3 млн записей о просрочках и неплатежах по кредитам, а также отказах в их выдаче. Купить все эти сведения можно за 2 тыс. рублей.

В базе содержалась информация об имени заемщика, телефоне, домашнем адресе, месте работы и причине попадания в базу — просрочка по кредиту, отказ в выдаче кредита и другие компрометирующие обстоятельства (например, наличие судимости). Дополнительно указан банк–источник этих сведений. В базу попала информация из десяти российских банков, в том числе из «Русского стандарта», ХКФ-банка, «Росбанка», «Финансбанка», «Импэксбанка». То есть крупнейших игроков на рынке потребительского кредитования. Более того, наличие в базе информации об отказах в выдаче кредитов, по мнению экспертов, однозначно определяет источник утечки — им являются службы безопасности самих банков.

Интересно заметить, что благодаря этой утечке буквально за несколько месяцев рынок нелегальной банковской информации вырос более чем на 500%. Если августовская база кредитных историй содержала около 700 тыс. записей, а база банка «Первое ОВК» — около 3 тыс., то теперь в общей сложности доступными стали почти 4 млн записей. По мнению самих игроков, нелегальный рынок кредитных историй скоро догонит объемы легального — по данным Банка России, 23 российских бюро кредитных историй (БКИ) за два года работы сумели собрать 10 млн записей о заемщиках.

Особых сомнений в источнике утечки конфиденциальной банковской информации нет. База сформирована службами безопасности самих банков. Так, в ней присутствует информация не только о просрочках и неплатежах по банковским кредитам, но и об отказах в их выдаче. Такой информацией может располагать только банк в лице службы безопасности, либо ИT-департамента. Кроме того, участники рынка прогнозируют аналогичные утечки и в дальнейшем. Ряд банкиров полагают, что подобные базы — попытка недобросовестной конкуренции между самими банками.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS