Черный рынок пополнился персональными данными клиентов Сбербанка. По заверениям продавцов, в их руках оказались данные о 60 млн кредиток, причем, это не только действующие кредитные карты, но и уже закрытые (сейчас банк имеет примерно 18 млн активных карт). Данные могли утечь еще в конце августа. По мнению экспертов, ознакомившихся с информацией, - она подлинная, а утечка - самая крупная в банковском секторе России. Представители Сбербанка пообещали провести проверку подлинности базы, при этом утверждая, что средствам клиентов ничего не угрожает.
Новость о том, что продается «свежая база крупного банка» появилась в прошедшие выходные на специализированном форуме, который заблокировал Роскомнадзор. Как сказал продавец, он намерен продать данные, касающиеся свыше 60 млн кредиток. В числе первых объявление попалось на глаза основателю DeviceLock Ашоту Оганесяну. Потенциальным покупателям продавец предлагает ознакомиться с пробным фрагментом базы, состоящим из 200 строк.
В этом фрагменте содержится информация о 200 чел., проживающих в разных городах, в зоне обслуживания Уральского территориального банка Сбербанка.
В частности, таблица состоит из детальных персональных данных, подробной финансовой информации о кредитной карте и операциях. В виде «даты операционного дня», который можно рассматривать как дату утечки, указан день - 24 августа 2019 года. Также в таблице есть слова way4 или w4, относящиеся, возможно, к процессинговой платформе Way4, Сбербанк работает с ней уже почти 10 лет.
По объему данных, о котором заявил продавец (60 млн строк), можно предположить, что утечка коснулась данных о всех кредитках Сбербанка.
Как сказал продавец, база состоит из 11 частей (по количеству территориальных банков Сбербанка), а стоимость каждой строки - 5 руб. Чтобы проверить гипотезу, несколько журналистов “Ъ” попросили, чтобы в базе нашли их данные, что и было сделано продавцом. Он предоставил сведения об их кредитках, в том числе по старым местам работы, с изменениями за истекшие три года. Очевидно было и совпадение номеров договоров об открытии кредитных карт и ФИО сотрудников, которые их подписали.
Одни считают, что «пробник» - это «выгрузка базы» Сбербанка, а не, к примеру, «пробив», полученный от подкупленных сотрудников. Как считают специалисты по информбезопасности крупных банков, если говорить о характере тестового файла, то данные могли утечь из банка. По мнению других экспертов, если это и подделка, то сделана она весьма качественно.
По словам Ашота Оганесяна, специацисты DeviceLock проанализировали примерно 240 записей из озвученных 60 млн и могут подтвердить содержание что в них данных реальных людей - владельцев карточных счетов в Сбербанке. Оганесян считает, что база - это, возможно, сохраненная копия (полная или нет) информбазы продукта Way4. Она является самой большой и подробной банковской базой данных, которую когда-либо мы находили на черном рынке.
Также Оганесян уверен, что последствия утечки ощутит на себе вся банковская отрасль. Она попадет под пристальное внимание специалистов ЦБ и Роскомнадзора и, вероятно, правоохранительных органов. Вслучае нахождения среди клиентов резидентов или граждан ЕС, банку, по закону GDPR, придется сообщить об инциденте в Еврокомиссию.
Пока Сбербанком был выпущен пресс-релиз с сообщением о возможной утечке персональной информации 200 клиентов и начале внутреннего расследования. В банке утверждают об отсутствии каких-либо кибератак извне. Основная версия инцидента, связана с умышленными преступными действиями одного из сотрудников.
Также в Сбербанке пояснили, что там уже изучают информацию, так как пока неясно, подлинна ли она. По словам представителя Сбербанка, данные не могли утечь через внешний взлом систем - это в принципе нереально, ведь все базы данных клиентов хранятся в изоляции от внешней сети. В случае подтверждения информации об утечке, это могло быть возможно только как результат умышленных преступных действий кого-то из персонала банка.
Также в Сбербанке уверили об отсутствии угрозы несанкционированных списаний средств с карт клиентов.
Похитив информацию, преступники не смогут списать деньги с карт клиентов ввиду отсутствия в ней кодов CVV, к тому же, каждую транзакцию без предъявления карты в Сбербанке нужно подтвердить с помощью одноразового смс-пароля.
