Издание «Коммерсант» обнаружило, что на днях в открытом доступе была опубликована информация об именах и email-адресах сотрудников Сбербанка, а также их логины для входа в ОС, которые в большинстве случаев совпадают с адресами почты. Текстовый файл размером 47 Мб содержал данные примерно 421 000 сотрудников и был выложен на форуме phreaker[.]pro. Сейчас он уже недоступен публично.

По данным «Коммерсанта», опубликованная информация позволяла узнать, в каком подразделении работает сотрудник. В файле содержались данные о сотрудниках дочерних организаций Сбербанка, в том числе зарубежных. Проведенная журналистами проверка показала, что информация в базе актуальна на 1 августа 2018 года (то есть найти сотрудников, трудоустроенных позже, не удалось).

При этом издание отмечает, что, по данным МСФО по итогам первого полугодия 2018 года, количество всех сотрудников группы Сбербанка составляло около 300 000 человек. То есть в опубликованной базе содержались данные и о некоторых уволенных сотрудниках. Также сообщается, что в файле удалось обнаружить три email-адреса президента Сбербанка Германа Грефа.

Подлинность опубликованной неизвестными информации подтвердили один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка.

Также утечку подтвердили и в пресс-службе Сбербанка, назвав ее публикацией части адресной книги, которая доступна всем сотрудникам. В банке заверили, что эти данные «не представляют никакой угрозы автоматизированным системам и клиентам».

4 комментария

  1. LinO_dska

    29.10.2018 at 22:39

    >Email адреса сотрудников
    >не предоставляют угрозы
    Судя по том, что логины совпадают с адресами, то я сомневаюсь, что они обучили всех сотрудников защите от социальной инженерии

    • Kakoluk

      31.10.2018 at 19:45

      LinO_dska, ну вы же не думали что сбербанк держит у себя лучших(«чёрно-белых») IT-шников? 🙂
      Туда дорога(к этой кормушке) только через кумовство(на собственной шкуре знаю).
      Нет, не считаю себя «лучшим».

  2. Atos4444

    05.11.2018 at 13:59

  3. emeliyanov

    06.11.2018 at 22:14

    Судя по заголовку файла, это просто get-aduser | export-csv. Все пользователи домена могут получить такую инфу, ничего секретного тут действительно нет.

Оставить мнение