Злоумышленники выкрали крупный архив данных Народного Банка Казахстана. Все данные клиентов Halyk bank оказались в сети и уже нашли покупателей. Очередная волна жалоб от клиентов Халык Банка заставили взяться за работу СБ финучреждения. Не менее тридцати клиентов уже сообщили о последствиях взлома базы персональных данных. Как будет дальше развиваться ситуация вокруг краденного дампа Halyk bank?

Краденые персональные данные держателей карт Халык банка стали предметом торга на крупном сайте кардинга. Кто и зачем «слил» архивы клиентов Halyk bank в интернет и как закончится эта история, размышляет немецкое издание Der Fonds. На данный момент известно, что база данных клиентов продана, тем не менее, нет никакой гарантии, что в одни руки. Ведь не редко такие дампы продаются и перепродаются множество раз.

Итак, один из лидеров банковского сегмента Казахстана стал участником достаточно резонансной, если не сказать позорной истории с утечкой в сеть конфиденциальных данных клиентов. Перед публикацией немецких СМИ журналисты английского специализированного ресурса Talk-Finance обратили внимание на сию новость из Казахстана в силу рекордного объема утечки Halyk банка. Часть базы известного банка Halyk была скомпрометирована и улетела прямым рейсом в даркнет. Даркнет – тёмный лес в мире интернета, существует специальный браузер Tor, который является посредником между покупателем и запрещённых сайтом. Что интересно – на базу данных уже нашёлся неизвестный покупатель.

Почему Halyk bank не повышает уровень безопасности

В 21 веке большую популярность набирают площадки по кардингу, проще говоря кардер – это мошенники, которые забирают данные карт и переводят с них суммы на сторонние ресурсы или такие же карты.

Один из таких сайтов даркнета по кардингу под названием migalki недавно опубликовал на своей площадке около 80 тысяч краденых пластиковых карт. Проанализировав информацию, стало известно, что все эти карты относятся исключительно к банку Halyk. После этого архив был сразу же выкуплен. Пока что не известно, будет ли перепродажи дампов или всё останется на своих местах.

Что касается подлинности утекших данных из Halyk bank, то журналисты не могут однозначно ответить на этот вопрос. Похититель должен как-то доказать подлинность информации архива, а на данный момент этого сделано не было. Была указана только предположительная цена на одну карту, а это около 20-и долларов.

Далеко не первый взлом базы данных Halyk bank

Оказывается, что такой случай в истории Halyk bank уже не первый, но как показывает практика, кража данных пластиковых карт нужна не только для их последующего использования. Помимо мошенничества, площадка могла искать крупного клиента кардера с целью поймать мошенника на крючок. Тем не менее никто не может сказать, что архив не является подлинным.

Есть вероятность, что сама операция была выполнена во внутренней структуре Halyk bank. Это лишь указывает на нечестную работу некоторых сотрудников. Вторая гипотеза заключает в специальном обнародовании информационных данных. Для чего это нужно Народному банку Казахстана, неизвестно, ведь таким способом он лишь ухудшит свою репутацию и потеряет клиентов. А Halyk bank и так переживает нынче не лучшие времена.

На сегодняшний день «расследование» ещё не закончено, но даже если вся эта история правдива лишь отчасти, то обезопасить свои средства не будет лишним. Вопрос безопасности клиентов Halyk bank — дело самих клиентов!

Как утекают данные о клиентах? На примере Halyk Bank

Доступ к данным любого клиента имеет практически все рядовые операционистки и служащие службы поддержки. Это вполне объяснимо и иначе быть не может: эти данные требуются для решения проблем клиентов, их авторизации для проведения нефинансовых банковских операций. Для этого АРМ операционистки имеет средства поиска. Так что конкретно ваши данные может узнать практически кто угодно.

Но смысла в этом для мошенников не много. Для того, чтобы извлечь прибыль нужны большие массивы данных. Доступа к ним операционисты и дамы из поддержки не имеют: слить базу через интерфейс поддержки не удастся. Т.е. удастся, если программу писали совсем уж лица с ограниченными способностями, а служба охраны данных в банке отсутствует или занимается игрой в Тетрис. Кстати, частый случай, особенно в наследниках сберкасс.

Тем не менее почти все операционисты, наравне с работниками салонов связи, паспортистами, работниками документ-центров, полицейскими и особистами имеют возможность продажи сведений о вас. Существуют целые магазины, где таким людям предлагают «весомую подработку» в зависимости от уровня доступа и популярности запрашиваемых услуг. Из законных соображений мы не приводим ссылки на такие ресурсы.

В большинстве случае данные оптом утекают из отдела IT. При «либеральных порядках», друзьях, знакомых, трудоустроенных родственниках, временных решениях по передаче данных в незашифрованном виде, устаревших системах криптозащиты — считай база есть у всех, кому она нужна. В отличии от «розничной утечки» оптовую утечку уже можно продать в Даркнете. И случаи масштабных выбросов баз данных карт и клиентов — обычное дело.

Зная телефон, фамилию, имя, отчество, дату рождения, основные финансовые показатели, даже устаревшие, мошенники сразу получают фору и стараются узнать о потенциальной жертве побольше. Достаточно получить, к примеру CVC-код (записан на обратной стороне карты, три цифры), чтобы попробовать списать произвольную сумму через интернет-аквайринг где-нибудь в Малайзии. И это — наименьшая из бед, которые могут подстерегать жертву мошенничества.

Кто виноват в утечке данных Halyk Bank и не только?

Герман Греф, который руководит «Сбербанком России», совершил едва ли не единственный честный поступок в жизни, признав в интервью «Коммерсанту», что виноват он сам, как руководитель:

«На мой взгляд, когда такого рода вещи происходят, нужно искать вину в себе, всегда виновато первое лицо во всем. Я считаю, что это моя личная вина»,— сказал Г. Греф.
Это признание не слишком ценно, так как маловероятно, что после него он сам себя выпорол. Но даже этого символического жеста не делают его коллеги. Вместо этого пресс-службы сочиняют сказки про злобных хакеров, которые спустились на Землю прямо с вертолета и все украли. Как в фильмах, где молодые люди делают умное лицо, когда сидят перед случайным фрагментом кода на Javascript. Они еще всегда одеты в толстовки с капюшонами, чтобы вы понимали — вот он хакер.

Все утечки данных из банка — личная вина владельцев, руководства, распорядителей банка.

В России, Казахстане при утечке данных банк в лучшем случае разводит руками, публикует пресс-релиз, о том, что «ситуация под контролем» и засыпает смертным сном. В США и Европе банк получает чудовищный штраф. В этом есть смысл. Данные — это то, что клиент доверил банку, также как к примеру, он доверил ему свои деньги. И если банк проворонил эти данные, то пострадал клиент, независимо от того, стал ли он в последующем жертвой мошенников или нет. Пока у нас нет таких законов, ни Греф, ни Шаяхметова не будут пороть себя розгами. Но первый хотя-бы признался, что это того стоит.