ПриватБанк: Учебная тревога или кража данных
Вчера, 28 ноября, в сети появились скриншоты якобы внутренней переписки сотрудников департамента IТ-безопасности ПриватБанка. В «сливе» речь идет о том, что 12 сентября серверы банка были взломаны, и на протяжении полутора часов сотрудники решали, что делать со взломом и выкачкой данных о клиентах.
InternetUA пытался разобраться в «сливе о сливе» и ситуации в целом.
Насколько реальна переписка
Спикер Украинского киберальянса, скрывающийся под ником Sean Brian Townsend, не исключает, что переписка является подлинной:
– Утечка, думаю, реальная. И чат выглядит убедительно, и инсайдерские слухи ходят. Но не поручусь.
Эксперт, основатель «Украинской группы информационной безопасности» Константин Корсун также отмечает, что переписка может быть подлинной:
– Из того, что я видел, выглядит вполне вероятно. Но остается невыясненным вопрос, была ли эта утечка несанкционированной, – считает Корсун. – Вопрос лишь в том, сообщали ли техническим работникам в случае санкционированного отправления базы данных аудиторам.
Что не так со скриншотами
Первоисточник опубликованной переписки – портал vse.media не может похвастаться ни посещаемостью (в среднем – 1000 хостов в сутки), ни известностью. Большинство материалов портала перепечатаны из других изданий, или являются дословными копиями фб-постов т.н. «лидеров общественного мнения».
Крупные ресурсы «постеснялись» указывать этот сайт первоисточником информации: издание Finbalance, ранее публиковавшее сведения якобы о расследовании Генпрокуратурой утечки в Привате, ссылается на Дмитрия Тымчука, который цитирует vse.media, а УНИАН – на sprotyv.info, также цитирующего vse.media.
InternetUA попытался найти редакцию vse.media, якобы расположеную в Киеве на Большой Васильковской, 136, однако по этому адресу никакого издания не оказалось.
«Скриншотами» опубликованные документы также назвать довольно трудно, поскольку это снимки не ленты чата, а документа, куда вроде бы скопирована переписка сотрудников департамента IT-безопасности. Возможно, таким способом источник пытался себя обезопасить.
Интересно и то, что все опубликованные «скрины» этого документа сделаны больше недели назад – 20 ноября в 8-44 утра.
Почему информация не публиковалась 8 дней – вопрос. Скриншоты были сделаны раньше, чем вышла публикация в издании Finbalance о расследовании ГПУ утечки данных «Привата» в Москву, и всего на два дня позже заявления в ФБ журналиста Александра Дубинского об этом инциденте.
В ответе на запрос InternetUA, редакция vse.media сообщила, что «форма и сроки подачи материалов определяются исключительно редакционной политикой издания и журналистами, которые с ними работают».
Что говорят в Привате
В Приватбанке полностью отрицают слив данных своих клиентов. Руководитель PR-службы ПриватБанка Олег Серга рассказал InternetUA, что все действия с базами данных были санкционированы руководством банка:
– Никаких утечек или несанкционированного копирования информации из баз данных клиентов банка не было, – говорит руководитель PR-службы ПриватБанка. – В сентябре, в рамках проводимых в течении 2017 года процедур Сyber-аудита банка, то есть специального исследования уровня безопасности информационных систем, специалистами международных компаний проводилась аналитика безопасности баз данных банка.
По словам Серги, не все сотрудники Привата были предупреждены о методах проведения аудита:
– Если говорить о специальном расследовании, не все сотрудники банка были поставлены в известность о деятельности, о ходе и методах аудита, которые являются конфиденциальными. – утверждает представитель ПриватБанка. – Все действия в рамках аудита безопасности были санкционированы руководством банка, информация не выходила за пределы серверов банка и использовалась исключительно для проведения аналитики в рамках аудита.
Эксперт по кибербезопасности, доцент кафедры информационной безопасности ФТИ НТУ «КПИ» Алексей Барановский считает это объяснение вполне логичным:
– Такой вариант возможен. Однако я считаю, что слайды демонстрируют отсутствие отлаженного процесса обработки инцидентов. Хотя мне неизвестно достоверно, как развивалась ситуация в самом банке и других службах.
Опубликованный в переписке московский IP-адрес вполне может принадлежать банку, считает эксперт. В противном случае, по словам Алексея Барановского, «если адрес им не принадлежит, а файл действительно содержал персональную информацию пользователей, то их заявление в этом постулате ошибочно».
На момент публикации в ГПУ официально не подтвердили и не опровергли информацию о расследовании утечки данных из Привата. Между тем, НБУ уже второй раз отложил публикацию результатов Forensic Audit крупнейшего банка Украины. Вопрос о том, кому выгодны «неофициальные» данные об утечках и проблемах финучреждения остается открытым.