ПромТрансБанк
Содержание |
История
2023
Как ошибка подрядчика привела к утечке персданных пользователей Промтрансбанка, а банк и не заметил
Как обнаружил TAdviser в августе 2024 года, в судебных разбирательствах между Промтрансбанком и его бывшим подрядчиком, компанией «Экспресс лаб», приводятся причины и подробности утечки персональных данных пользователей с сайта банка.
Сама утечка имела место в 2023 году. Тогда в одной из хакерских группировок обратили внимание на то, что Промтрансбанк сохраняет полученные из единой системы идентификации и аутентификации (ЕСИА) данные в файл «esia.log», который находится в открытом доступе. Записи в нём начинались с 3 ноября 2022 года и по состоянию на январь 2023-го обновлялись в режиме реального времени. Речь идёт о персданных тех, кто подавал заявки на получение кредита. Банк рекомендует использовать для этого «Госуслуги», утверждая, что это повышает шанс одобрения кредита, а также даёт скидку на процентную ставку.
Из постановления Восемнадцатого арбитражного апелляционного суда, опубликованного в системе «Электронное правосудие» в июле 2024 года, следует, что в связи с утечкой персональных данных ФСБ проводила «обследование помещения» Промтрансбанка, а Минцифры тогда потребовало от банка детальный отчет о причинах утечки и мерах, принятых для противодействия инциденту.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Промтрансбанк возложил ответственность за утечку на «Экспресс лаб», которая оказывала ему услуги по разработке единой формы заявки на кредит для заполнения её на сайте банка. Причём работы были приняты и оплачены без нареканий. А «Экспресс лаб», в свою очередь, указала на своего сотрудника, который создал и выложил журнальный файл. В компании считают, что на самой ней, как на юрлице, за это ответственности нет.
В своём письме в Минцифры Промтрансбанк указал на следующие причины, приведшие к утечке персданных, говорится в опубликованном судебном постановлении:
- работы по созданию сайта и дальнейшей доработке функционала «заявка на кредит онлайн» на сайте осуществлялись по договору с «Экспресс лаб»;
- сервис был протестирован банком и по выявленным замечаниям «Экспресс Лаб» провело работы по исправлению функционала;
- указанный журнальный файл был создан «Экспресс лаб» для отладки функционала «заявка на кредит онлайн», о чем не было известно банку до выявления факта утечки персональных данных;
- создание журнального файла не было прописано в техническом задании и его создание не согласовывалось с банком;
- по завершении работ по исправлению функционала «заявка на кредит онлайн» работник «Экспресс лаб» не удалил свои тестовые процедуры по созданию и ведению журнального файла и не проинформировал банк о данном факте.
Таким образом, в процессе оказания услуг сотрудник «Экспресс лаб» опубликовал журнальный файл, хранящий информацию о персональных данных пользователей, в открытом виде в интернете без использования каких-либо систем защиты. В результате незащищенного доступа к журнальному файлу, установленного работником «Экспресс лаб», произошла утечка персданных заявителей, отправивших в Промтрансбанк заявку на кредит онлайн.
При подписании актов приемки работ Промтрансбанку не было известно о том, что сотрудник его подрядчика опубликовал журнальный файл, хранящий информацию о персданных пользователей, говорится в судебном документе.
В итоге сотрудник «Экспресс лаб», допустивший ошибку, был привлечён к административной ответственности по ч. 6 ст. 13.12 КоАП (нарушение правил защиты информации), а Промтрансбанк — к административной ответственности по ст. 13.11 КоАП (нарушение законодательства РФ в области персональных данных) в виде наложения административного штрафа в размере 60 тыс. руб. Эту скромную сумму в качестве ущерба банк затем взыскал через суд с «Экспресс лаб».
При этом доводы «Экспресс лаб» о том, что она не несёт ответственности за утечку персданных, суд отклонил. Установление вины сотрудника не является основанием для освобождения компании от ответственности как оператора персональных данных, полагают в суде.
Утечка персональных данных пользователей
В январе 2023 года хакеры одной из группировок обратили внимание на то, что Промтрансбанк сохраняет полученные из Единой системы идентификации и аутентификации данные в файл, который находится в открытом доступе. Текстовый файл с говорящим именем esia.log расположен в корне сайта банка. Записи в нём начинаются с 3 ноября 2022 года и обновляются в режиме реального времени[1].
Банк ПТБ погасит 248 млн долгов своей «дочки»
В январе 2023 года конкурсный управляющий АО «ПТБ-Лизинг» Юрий Набиулин сообщил, что башкирский Промтрансбанк (ПТБ), которому принадлежит эта компания, намерен погасить все ее долги, чтобы вывести ее из банкротства[2].
2007: Участник рынка ценных бумаг
В 2007 году ПТБ расширил сферу своей деятельности, став профессиональным участником рынка ценных бумаг.
2004: Развитие розничного блока
С 2004 года ПТБ активно развивает розничный блок. Банк начал целенаправленную работу по выдаче кредитов населению, а также привлечению депозитов физических лиц. Кроме того, в 2004 году ПТБ одним из первых среди банков республики стал участником системы добровольного страхования вкладов.
1998-2001: Смена названия, расширение спектра услуг
В 1998 году была изменена организационно-правовая форма и наименование банка. Он стал называться ООО коммерческий банк «Кембрий» (ООО КБ «Кембрий»). В числе первоначальных учредителей Банка были крупные башкирские предприятия: АО «Кембрий», АНК «Башнефть», РНПК «ЛУКойл- Башкортостан»,АО «Башнефтегеофизика», АОЗТ «Башсельстрой».
В 2001 году наступил новый этап развития, что было связано с приходом новых собственников, давших банку дополнительный импульс движения в сторону построения современной банковской структуры, ориентированной на широкий спектр банковских услуг не только для юридических, но и физических лиц.Тогда Банк и получил свое современное наименование – «ПромТрансБанк» (Банк «ПТБ»). В том же году Банку была выдана расширенная лицензия ЦБ РФ № 2638 от 22.03.2001 на осуществление банковских операций.
1993: Начало работы
Банк ПТБ – один из родоначальников банковского дела в Башкортостане. Банк начал свою работу в конце 1993 года всего с несколькими сотрудниками в небольшом помещении на пятом этаже здания на улице Ленина, 70 в городе Уфе. Тогда он носил название ТОО КБ «Кембрий» и специализировался на обслуживании предприятий народного хозяйства. По данным ПТБ, он единственный банк в г. Уфе, который за всю историю не менял место своего расположения.