2018年10月に、 login.csv.zipファイルが1つのハッカーフォーラムに投稿されたことを思い出してください。 これは、47メガバイトのlogin.csvスプレッドシートを含むアーカイブです。 データベースのフィールド:
- 氏名
- 内部システムにログインします(メールアドレスと同じ)
表面認証により、データベースの信頼性が確認されました。 特に、銀行総裁のドイツ語Grefの3つの有効なメールアドレスがあります。 基地の信authentic性は、Sberbankの従業員の1人と、銀行の情報セキュリティに関連するサードパーティ組織の代表者によって確認されました。
法律により、フルネームのみが個人データとはみなされないため、この情報の漏洩は、個人データの不適切な保護の結果としてのみ認識することはできません。 別のことは、名前に関連して、ユーザーを識別することができる他の情報がある場合です。 裁判所は、Sberbankの従業員のアドレス帳をどのように分類するかを、ユーザー名と職場(部門まで)を示すことで決定できますが、弁護士は同意しません。
Zecurion CEOのAlexei Raevsky氏によると、新しいファイルはソフトウェア開発と運用プロセス(DevOps)の統合に関連する公式文書です。 銀行部門の同僚は、これは特定のSberbankシステムのプロジェクトの草案であり、作業が明らかに不完全であると付け加えました。
専門家は、これは情報窃盗ではなく、自宅で仕事をしたいという従業員の不注意な行動が仕事用ファイルを自宅のメールに送信したことに同意します。
「外部アドレスへのアクセスが制限された情報を送信できるということは、特定の企業における情報セキュリティの文化が低いこと、および漏洩に対する高品質の保護の欠如を示している可能性があります」とAlexei Raevsky氏は言います。 ファイルには、銀行が使用するシステムとその機能の確認方法が示されます。 情報は、ハッキングを試みるときに使用できるシステム内の特定の脆弱性を示すため、攻撃者の狭いサークルにとって価値があります。
「アーカイブには実際の技術文書が含まれており、インターネットを介して生産タスクを実行するために、請負業者とのやり取りが可能です」と同銀行のプレスサービスは述べています。