Данные 60 миллионов клиентов Сбербанка выставлены на продажу
На российском банковском рынке произошла по всей видимости самая большая утечка данных в истории: продавец черного рынка утверждает, что владеет данными о 60 млн кредитных карт клиентов Сбербанка - как действующих, так и закрытых, пишет «Коммерсант». Это может означать, что в сеть утекли данные вообще всех владельцев кредитных карт крупнейшего банка страны. В банке говорят о возможности слива данных одним из сотрудников, однако отрицают миллионный масштаб учетки.
Что случилось. На одном из специализированных форумов в даркнете в прошлые выходные появилось объявление о продаже «свежей базы крупного банка»: продавец предлагал купить данные о более 60 млн кредитных карт россиян.
Изучив пробный фрагмент базы в 200 человек, «Коммерсант» пишет, что в таблице содержатся детальные персональные данные клиентов Сбербанка, подробная финансовая информация о кредитной карте и операциях. Датой утечки может быть 24 августа 2019 года.
Корреспонденты издания попросили продавца базы найти свои данные (данные одного человека стоят 5 рублей). Владелец базы предоставил информацию: совпали даже номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Об этом говорят. Судя по характеру файла, утечка с большой долей вероятности произошла из самого банка, считают опрошенные «Коммерсантом» эксперты. Похоже, что эта была полная «выгрузка базы» Сбербанка, взятая из хранилища данных всех систем, говорят собеседники издания. Даже если слил данные один сотрудник банка, то явно не на рядовой должности: информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы».
Первым утечку заметил основатель DeviceLock Ашот Оганесян. По его мнению, масштаб утечки таков, что будет заметен для всей отрасли. Ей придется заняться не только российским регуляторам и правоохранительным органам - если среди клиентов есть граждане ЕС, банку придется уведомить Еврокомиссию.
Реакция. Пока «Коммерсант» готовил статью к выпуску, Сбербанк выпустил пресс-релиз, сообщив в нем о возможной утечке персональных данных «как минимум 200 клиентов» и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано, а главной версией называет возможные преступные действия одного из сотрудников. Сейчас банк намерен провести внутреннее расследование. В банке заверили, что угрозы списаний денег у клиентов нет.
Почему это важно. Это не первый скандал с утечкой данный в крупнейшем госбанке страны: в октябре прошлого года в даркнет была выложена база данных сотрудников Сбербанка, где были указаны логины и пароли для входа в банковскую систему. Тогда говорилось, что о проблеме утечки знает предправления банка Герман Греф, который «выразил свое недовольство». Как и сейчас, утечка тогда произошла из самого банка. Случаи таких масштабных сливов данных из госбанка вызывают серьезные вопросы к организации в нем доступа к данным.
В Сбербанке заверили, что даже такая подробная база данных не угрожает средствам клиента: чтобы списать с карты деньги, необходимо вводить CVV-коды (в базе они не указаны), а также подтверждать действия одноразовым SMS-паролем. При этом подобные утечки полезны мошенникам: большинство хищений осуществляется с помощью методов социальной инженерии и преступники стали намного чаще покупать подобные базы. Статистика показывает, что борьба банков все еще неэффективна, а мошенники в это время монетизируют купленные данные. Так, в Курганской области число преступлений выросло вдвое, до 372 хищений за первое полугодие 2019 года, а в Смоленской области - в пять раз, с 60 до 289 преступлений.
ОТСЮДА