В Сбербанке крупнейшая утечка: на черный рынок попали сведения о владельцах 60 млн кредитных карт

В Сбербанке крупнейшая утечка: на черный рынок попали сведения о владельцах 60 млн кредитных карт

Персональные данные клиентов Сбербанка оказались на черном рынке. Продавцы уверяют, что владеют данными о 60 млн кредитных карт, как действующих, так и закрытых. Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет, пишет «Коммерсант».

Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. Первым объявление заметил основатель DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предложил пробный фрагмент базы из 200 строк с данными 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.

В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк. Заявленный продавцом объем информации (60 млн строк) может свидетельствовать о том, что утечка затронула данные о всех кредитных картах банка.

По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 руб. Для проверки гипотезы корреспонденты «Коммерсанта» попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Источник, близкий к ЦБ, изучив «пробник», выразил уверенность в том, что он является «выгрузкой базы» Сбербанка, а не получен в результате подкупа сотрудников. Судя по характеру тестового файла, утечка могла произойти из банка. По мнению экспертов, это самая большая и подробная банковская база данных, которая когда-либо попадала к ним с черного рынка: утечкой займутся ЦБ, Роскомнадзор и правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку придется уведомить об инциденте Еврокомиссию. В Роскомнадзоре уже пообещали «в рамках своей компетенции» проверить информацию о возможном нарушении законодательства о персональных данных.

Сбербанк между тем выпустил на своем сайте пресс-релиз, сообщив о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников.

В Сбербанке пояснили, что не уверены в подлинности информации: утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети, и утечка могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объём активных кредитных карт в несколько раз меньше». К тому же похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, а каждая трансакция без предъявления карты в Сбербанке подтверждается одноразовым SMS-паролем.

 

Напомним, в апреле в интернете оказались данные примерно 120 тысяч граждан и компаний-клиентов банков, включенных в черный список ЦБ по антиотмывочному законодательству. По оценке экспертов, это первый случай появления в открытом доступе информации, которая связана с Банком России. В октябре прошлого года в интернете появилась база данных сотрудников Сбербанка.

В мае спикер Госдумы Вячеслав Володин предложил создать в нижней палате рабочую группу, которая займется вопросами защиты персональных данных россиян. С такой инициативой Володин выступил, комментируя слова вице-спикера Петра Толстого, который на пленарном заседании Госдумы обратил внимание на проблему с утечками данных граждан страны из государственных баз. Он предложил Толстому возглавить такую группу и подготовить предложения о конкретных шагах для решения проблем в этой сфере.

В июне глава ЦБ Эльвира Набиуллина сообщила, что в результате проверок российских банков на соответствие требованиям кибербезопасности Центробанк нашел нарушения во всех прошедших проверку банках. Тогда же в открытом доступе оказались данные примерно 900 тысяч клиентов «ОТП-банка», «Альфа-банка» и «ХКФ-банка». Базы были выложены в конце мая, данные в них собирались несколько лет назад, но существенная часть информации сохраняет актуальность.

А в августе неизвестные злоумышленники выставили на продажу в сети базу с данными клиентов «Бинбанка», который был присоединен к банку «Открытие» в рамках санации. В общей сложности база содержит 70 тыс. срок, а за данные хакеры просят около 5 руб. за строку.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here