Blacklist saw white light
Data of 120 thousand banking customers went to the Internet
Newspaper "Kommersant" Number 65 from 04/12/2019, p. 1
As it became known to Kommersant, the data of bank customers from the Central Bank's black list of refuseniks under anti-laundering legislation were on the Internet. We are talking about about 120 thousand citizens and companies. According to experts, this is the first case of publicly available information that is somehow related to the Bank of Russia. Lawyers say that many clients are blacklisted by accident, but in addition to problems with banks, they can now have additional difficulties, for example, when applying for a job. The Central Bank itself and the Federal Financial Monitoring Service insist on the impossibility of leaks. But IT experts believe that the fault lies with the Bank of Russia because of an error in the design of a data transfer security system.
The database of bank refuseniks appeared on the Internet at specialized forums. Kommersant got acquainted with its contents and found out that it was about information about about 120 thousand clients (such a figure is stated in the description of the base) who were denied services by financial organizations under the law on combating money laundering and combating the financing of terrorism (115-FZ).
Most of the base is made up of individuals and sole proprietors (IP), and the majority are legal entities. About individuals, the database contains information about their name, date of birth, series and passport number. About IP - Name and TIN, about companies - name, TIN, PSRN. In one of the banks, unofficially confirmed to Kommersant that the list includes real rejected customers. Interviewed by Kommersant experts in the field of information security could not recall another case where a leak of data on bank customers was related to the Central Bank.
Data leaks threaten more than half of the studied cloud databases in RuNet
Entries are dated from June 26, 2017 to December 6, 2017. It is from the first date that the Bank of Russia began sending out a black list of customers in accordance with regulation 550-P. The mailing mechanism looks something like this: banks identify customers to whom they are denied service because of suspicion of violation of 115-FZ, send information about these customers to the Central Bank, and that, in turn, to Rosfinmonitoring. The latter processes the data received from banks, transfers it back to the Central Bank, and the Central Bank in aggregated form - to the banks. Thus, all banks receive an updated list of suspicious customers, formed by the efforts of the entire sector. The leaked base began to spread several months ago, but, according to Kommersant’s information, neither the Central Bank nor Rosfinmonitoring knew about the leak until yesterday.
Rosfinmonitoring said that they exclude the possibility of information leakage from them. The press service of the Bank of Russia at the request of Kommersant said that the regulator sends information about refuseniks to market participants in encrypted form through secure communication channels using certified cryptographic information protection tools. “The responsibility for the safety of information and its non-transmission to third parties lies with the financial organization that received it,” the Central Bank said. They did not specify whether the regulator plans to take actions to exclude similar leaks in the future.
Leakage could occur in a variety of ways, experts point out. “From the Central Bank, Rosfinmonitoring, any bank,” explains Alexei Raevsky, CEO of Zecurion information security systems developer. In his opinion, the Central Bank should have had the base, and banks should send him requests to check clients. “In this case, at least it would be easier to locate the leak, to understand where it occurred. Now, it’s probably impossible to do, ”the expert adds. Thus, according to the expert, an error from the point of view of information security was made during the design of the system.
How the Central Bank consolidates information about bad customers of banks
For customers, the leak is dangerous not only because of the disclosure of data, but by the very fact of its presence in the database. Clients may be blacklisted by chance, lawyers say. “Often banks add bona fide customers to blacklists due to negligence or due to a technical error,” says Amina Appaeva, FMG Group lawyer. According to Ms. Appaeva, the dissemination of this information to persons on the list, in addition to difficulties with banking services, can result in problems with security services when applying for a job, refusals of contractors to conclude contracts and other risks. Aleksey Raevsky adds that such leaks can lead to the most unexpected negative consequences up to the exposure of state secrets. As an example, he cited the case of “Petrov and Boshirov,” whose real names were compromised with the help of leaked bases, including the traffic police.
Distribution of such databases in the first place encroaches on the inviolability of personal life, says Alexey Gavrishev, partner at BMS Law Firm. According to him, the Criminal Code provides for a punishment of up to five years in prison in case of using official position and disseminating data via the Internet. Such actions can also be qualified as unlawful access to computer information (imprisonment up to seven years), the lawyer adds.
Amina Appaeva believes that the crime also falls under the article on the illegal receipt and disclosure of information constituting a banking secret (up to five years in prison, and if the act entails serious consequences - up to seven years). According to her, it is public in nature, therefore, law enforcement agencies must begin an inspection without fail. The dissemination of such databases relates to the jurisdiction of the Investigative Committee of Russia. Yesterday, the central office of Kommersant’s committee could not promptly report whether they received statements on this subject, noting that they would be dealt with if received.
Vitaly Soldatsky, Nikolay Sergeyev
Blacklist saw white light
Data of 120 thousand banking customers went to the Internet
Newspaper "Kommersant" Number 65 from 04/12/2019, p. 1
As it became known to Kommersant, the data of bank customers from the Central Bank's black list of refuseniks under anti-laundering legislation were on the Internet. We are talking about about 120 thousand citizens and companies. According to experts, this is the first case of publicly available information that is somehow related to the Bank of Russia. Lawyers say that many clients are blacklisted by accident, but in addition to problems with banks, they can now have additional difficulties, for example, when applying for a job. The Central Bank itself and the Federal Financial Monitoring Service insist on the impossibility of leaks. But IT experts believe that the fault lies with the Bank of Russia because of an error in the design of a data transfer security system.
The database of bank refuseniks appeared on the Internet at specialized forums. Kommersant got acquainted with its contents and found out that it was about information about about 120 thousand clients (such a figure is stated in the description of the base) who were denied services by financial organizations under the law on combating money laundering and combating the financing of terrorism (115-FZ).
Most of the base is made up of individuals and sole proprietors (IP), and the majority are legal entities. About individuals, the database contains information about their name, date of birth, series and passport number. About IP - Name and TIN, about companies - name, TIN, PSRN. In one of the banks, unofficially confirmed to Kommersant that the list includes real rejected customers. Interviewed by Kommersant experts in the field of information security could not recall another case where a leak of data on bank customers was related to the Central Bank.
Data leaks threaten more than half of the studied cloud databases in RuNet
Entries are dated from June 26, 2017 to December 6, 2017. It is from the first date that the Bank of Russia began sending out a black list of customers in accordance with regulation 550-P. The mailing mechanism looks something like this: banks identify customers to whom they are denied service because of suspicion of violation of 115-FZ, send information about these customers to the Central Bank, and that, in turn, to Rosfinmonitoring. The latter processes the data received from banks, transfers it back to the Central Bank, and the Central Bank in aggregated form - to the banks. Thus, all banks receive an updated list of suspicious customers, formed by the efforts of the entire sector. The leaked base began to spread several months ago, but, according to Kommersant’s information, neither the Central Bank nor Rosfinmonitoring knew about the leak until yesterday.
Rosfinmonitoring said that they exclude the possibility of information leakage from them. The press service of the Bank of Russia at the request of Kommersant said that the regulator sends information about refuseniks to market participants in encrypted form through secure communication channels using certified cryptographic information protection tools. “The responsibility for the safety of information and its non-transmission to third parties lies with the financial organization that received it,” the Central Bank said. They did not specify whether the regulator plans to take actions to exclude similar leaks in the future.
Leakage could occur in a variety of ways, experts point out. “From the Central Bank, Rosfinmonitoring, any bank,” explains Alexei Raevsky, CEO of Zecurion information security systems developer. In his opinion, the Central Bank should have had the base, and banks should send him requests to check clients. “In this case, at least it would be easier to locate the leak, to understand where it occurred. Now, it’s probably impossible to do, ”the expert adds. Thus, according to the expert, an error from the point of view of information security was made during the design of the system.
How the Central Bank consolidates information about bad customers of banks
For customers, the leak is dangerous not only because of the disclosure of data, but by the very fact of its presence in the database. Clients may be blacklisted by chance, lawyers say. “Often banks add bona fide customers to blacklists due to negligence or due to a technical error,” says Amina Appaeva, FMG Group lawyer. According to Ms. Appaeva, the dissemination of this information to persons on the list, in addition to difficulties with banking services, can result in problems with security services when applying for a job, refusals of contractors to conclude contracts and other risks. Aleksey Raevsky adds that such leaks can lead to the most unexpected negative consequences up to the exposure of state secrets. As an example, he cited the case of “Petrov and Boshirov,” whose real names were compromised with the help of leaked bases, including the traffic police.
Distribution of such databases in the first place encroaches on the inviolability of personal life, says Alexey Gavrishev, partner at BMS Law Firm. According to him, the Criminal Code provides for a punishment of up to five years in prison in case of using official position and disseminating data via the Internet. Such actions can also be qualified as unlawful access to computer information (imprisonment up to seven years), the lawyer adds.
Amina Appaeva believes that the crime also falls under the article on the illegal receipt and disclosure of information constituting a banking secret (up to five years in prison, and if the act entails serious consequences - up to seven years). According to her, it is public in nature, therefore, law enforcement agencies must begin an inspection without fail. The dissemination of such databases relates to the jurisdiction of the Investigative Committee of Russia. Yesterday, the central office of Kommersant’s committee could not promptly report whether they received statements on this subject, noting that they would be dealt with if received.
Vitaly Soldatsky, Nikolay Sergeyev
Blacklist saw white light
Original message
Черный список увидел белый свет
Данные 120 тыс. банковских клиентов выложились в интернет
Газета "Коммерсантъ" №65 от 12.04.2019, стр. 1
Как стало известно “Ъ”, данные клиентов банков из черного списка ЦБ отказников по антиотмывочному законодательству оказались в интернете. Речь идет примерно о 120 тыс. граждан и компаний. По оценке экспертов, это первый случай появления в открытом доступе информации, которая так или иначе связана с Банком России. Юристы отмечают, что многие клиенты попадают в черный список случайно, но помимо проблем с банками у них теперь могут возникнуть дополнительные сложности, например, при устройстве на работу. В самом ЦБ и Росфинмониторинге настаивают на невозможности утечек. Но IT-эксперты считают, что вина лежит именно на Банке России из-за ошибки в проектировании системы безопасности передачи данных.
База данных отказников банков появилась в интернете на специализированных форумах. “Ъ” ознакомился с ее содержимым и выяснил, что речь идет об информации о примерно 120 тыс. клиентов (такая цифра заявлена в описании базы), которым отказали в обслуживании финансовые организации по закону о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ).
Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН. В одном из банков неофициально подтвердили “Ъ”, что в списке реальные клиенты-отказники. Опрошенные “Ъ” эксперты в области информационной безопасности не смогли вспомнить другого случая, когда утечка данных о клиентах банков имела отношение к ЦБ.
Утечки данных грозят более чем половине изученных облачных баз данных в рунете
Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года. Именно с первой даты Банк России начал рассылать черный список клиентов в соответствии с положением 550-П. Механизм рассылки выглядит примерно так: банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь,— Росфинмониторингу. Последний обрабатывает полученные от банков данные, передает их обратно в ЦБ, а ЦБ в агрегированном виде — банкам. Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора. Утекшая база начала распространяться несколько месяцев назад, но, по информации “Ъ”, об утечке до вчерашнего дня не знали ни в ЦБ, ни в Росфинмониторинге.
В Росфинмониторинге заявили, что исключают возможность утечки информации от них. В пресс-службе Банка России на запрос “Ъ” заявили, что регулятор доводит информацию об отказниках до участников рынка в зашифрованном виде по защищенным каналам связи с использованием сертифицированных средств криптографической защиты информации. «Ответственность за сохранность информации и непередачу ее третьим лицам несет финансовая организация, которая ее получила»,— считают в ЦБ. Там не уточнили, планирует ли регулятор предпринять действия, исключающие подобные утечки в будущем.
Утечка могла произойти множеством способов, указывают эксперты. «Из ЦБ, Росфинмониторинга, любого банка»,— поясняет гендиректор разработчика систем защиты информации Zecurion Алексей Раевский. По его мнению, база должна была быть только у ЦБ, а банки — направлять ему запросы для проверки клиентов. «В таком варианте, по крайней мере, было бы проще локализовать утечку, понять, где она произошла. Сейчас это, вероятно, невозможно сделать»,— добавляет эксперт. Таким образом, по мнению эксперта, ошибка с точки зрения информационной безопасности была допущена при проектировании системы.
Как ЦБ консолидирует информацию о плохих клиентах банков
Для клиентов утечка опасна не только из-за раскрытия данных, но самим фактом присутствия в базе. Попасть в черный список банков клиенты могут случайно, отмечают юристы. «Часто банки вносят добросовестных клиентов в черные списки по халатности или в связи с технической ошибкой»,— говорит юрист FMG Group Амина Аппаева. По словам госпожи Аппаевой, распространение этих сведений для лиц из списка помимо сложностей с банковским обслуживанием может обернуться проблемами со службами безопасности при устройстве на работу, отказами контрагентов от заключения договоров и иными рисками. Алексей Раевский добавляет, что подобные утечки могут приводить к самым неожиданным негативным последствиям вплоть до разоблачения гостайн. В качестве примера он привел случай с «Петровым и Бошировым», настоящие имена которых были скомпрометированы с помощью утекших баз, в том числе ГИБДД.
Распространение подобных баз данных в первую очередь посягает на неприкосновенность личной жизни, указывает партнер BMS Law Firm Алексей Гавришев. По его словам, Уголовный кодекс предусматривает за это наказание до пяти лет лишения свободы в случае использования служебного положения и распространения данных через интернет. Такие действия также могут быть квалифицированы как неправомерный доступ к компьютерной информации (лишение свободы до семи лет), добавляет юрист.
Амина Аппаева считает, что преступление также подпадает под статью о незаконном получении и разглашении сведений, составляющих банковскую тайну (до пяти лет лишения свободы, а если деяние повлечет тяжкие последствия — до семи лет). По ее словам, оно носит публичный характер, поэтому правоохранительные органы должны в обязательном порядке начать проверку. Распространение подобных баз данных относится к подследственности Следственного комитета России. Вчера в центральном аппарате комитета “Ъ” не смогли оперативно сообщить, поступали ли к ним заявления по этому поводу, отметив, что в случае их получения будут разбираться.
Виталий Солдатских, Николай Сергеев
Черный список увидел белый свет
Данные 120 тыс. банковских клиентов выложились в интернет
Газета "Коммерсантъ" №65 от 12.04.2019, стр. 1
Как стало известно “Ъ”, данные клиентов банков из черного списка ЦБ отказников по антиотмывочному законодательству оказались в интернете. Речь идет примерно о 120 тыс. граждан и компаний. По оценке экспертов, это первый случай появления в открытом доступе информации, которая так или иначе связана с Банком России. Юристы отмечают, что многие клиенты попадают в черный список случайно, но помимо проблем с банками у них теперь могут возникнуть дополнительные сложности, например, при устройстве на работу. В самом ЦБ и Росфинмониторинге настаивают на невозможности утечек. Но IT-эксперты считают, что вина лежит именно на Банке России из-за ошибки в проектировании системы безопасности передачи данных.
База данных отказников банков появилась в интернете на специализированных форумах. “Ъ” ознакомился с ее содержимым и выяснил, что речь идет об информации о примерно 120 тыс. клиентов (такая цифра заявлена в описании базы), которым отказали в обслуживании финансовые организации по закону о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ).
Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН. В одном из банков неофициально подтвердили “Ъ”, что в списке реальные клиенты-отказники. Опрошенные “Ъ” эксперты в области информационной безопасности не смогли вспомнить другого случая, когда утечка данных о клиентах банков имела отношение к ЦБ.
Утечки данных грозят более чем половине изученных облачных баз данных в рунете
Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года. Именно с первой даты Банк России начал рассылать черный список клиентов в соответствии с положением 550-П. Механизм рассылки выглядит примерно так: банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь,— Росфинмониторингу. Последний обрабатывает полученные от банков данные, передает их обратно в ЦБ, а ЦБ в агрегированном виде — банкам. Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора. Утекшая база начала распространяться несколько месяцев назад, но, по информации “Ъ”, об утечке до вчерашнего дня не знали ни в ЦБ, ни в Росфинмониторинге.
В Росфинмониторинге заявили, что исключают возможность утечки информации от них. В пресс-службе Банка России на запрос “Ъ” заявили, что регулятор доводит информацию об отказниках до участников рынка в зашифрованном виде по защищенным каналам связи с использованием сертифицированных средств криптографической защиты информации. «Ответственность за сохранность информации и непередачу ее третьим лицам несет финансовая организация, которая ее получила»,— считают в ЦБ. Там не уточнили, планирует ли регулятор предпринять действия, исключающие подобные утечки в будущем.
Утечка могла произойти множеством способов, указывают эксперты. «Из ЦБ, Росфинмониторинга, любого банка»,— поясняет гендиректор разработчика систем защиты информации Zecurion Алексей Раевский. По его мнению, база должна была быть только у ЦБ, а банки — направлять ему запросы для проверки клиентов. «В таком варианте, по крайней мере, было бы проще локализовать утечку, понять, где она произошла. Сейчас это, вероятно, невозможно сделать»,— добавляет эксперт. Таким образом, по мнению эксперта, ошибка с точки зрения информационной безопасности была допущена при проектировании системы.
Как ЦБ консолидирует информацию о плохих клиентах банков
Для клиентов утечка опасна не только из-за раскрытия данных, но самим фактом присутствия в базе. Попасть в черный список банков клиенты могут случайно, отмечают юристы. «Часто банки вносят добросовестных клиентов в черные списки по халатности или в связи с технической ошибкой»,— говорит юрист FMG Group Амина Аппаева. По словам госпожи Аппаевой, распространение этих сведений для лиц из списка помимо сложностей с банковским обслуживанием может обернуться проблемами со службами безопасности при устройстве на работу, отказами контрагентов от заключения договоров и иными рисками. Алексей Раевский добавляет, что подобные утечки могут приводить к самым неожиданным негативным последствиям вплоть до разоблачения гостайн. В качестве примера он привел случай с «Петровым и Бошировым», настоящие имена которых были скомпрометированы с помощью утекших баз, в том числе ГИБДД.
Распространение подобных баз данных в первую очередь посягает на неприкосновенность личной жизни, указывает партнер BMS Law Firm Алексей Гавришев. По его словам, Уголовный кодекс предусматривает за это наказание до пяти лет лишения свободы в случае использования служебного положения и распространения данных через интернет. Такие действия также могут быть квалифицированы как неправомерный доступ к компьютерной информации (лишение свободы до семи лет), добавляет юрист.
Амина Аппаева считает, что преступление также подпадает под статью о незаконном получении и разглашении сведений, составляющих банковскую тайну (до пяти лет лишения свободы, а если деяние повлечет тяжкие последствия — до семи лет). По ее словам, оно носит публичный характер, поэтому правоохранительные органы должны в обязательном порядке начать проверку. Распространение подобных баз данных относится к подследственности Следственного комитета России. Вчера в центральном аппарате комитета “Ъ” не смогли оперативно сообщить, поступали ли к ним заявления по этому поводу, отметив, что в случае их получения будут разбираться.
Виталий Солдатских, Николай Сергеев
Черный список увидел белый свет