ОГО! — «Коммерсантъ»: На черный рынок могли попасть данные с 60 миллионов карт Сбербанка
На черном рынке оказались персональные данные клиентов Сбербанка в количестве, как уверяют продавцы базы, 60 миллионов владельцев как действующих, так и закрытых пластиковых карт. Об этом сегодня, 3 октября, сообщает газета «Коммерсантъ».
По данным издания, о продаже «свежей базы крупного банка» сообщили в прошлые выходные на специализированном форуме, который сейчас заблокировал Роскомнадзор. Его заметил основатель DeviceLock Ашот Оганесян и рассказал о нем журналистам.
«Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк. «Ъ» изучил его. Фрагмент содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка. В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк. Для проверки этих данных «Ъ» нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя», - описали происходящее журналисты.
При этом продавцы сообщали, что база разбита на 11 частей, что совпадает с количеством территориальных филиалов Сбербанка, а каждую строку продают за пять рублей. Сотрудники газеты для проверки заказали в базе свои личные данные, и им предоставили информацию о кредитных картах, в том числе по прежним местам работы за последние три года. У сотрудников совпали номера договоров об открытии кредитных карт и подписи под этими договорами.
Источник газеты, близкий к ЦБ, изучил «пробник» и заявил, что он является «выгрузкой базы» Сбербанка, а не «пробивом», полученным в результате подкупа сотрудников. Также есть версия, что информация является выгрузкой данных из хранилища кем-то, кто имел административный доступ, причем на это «косвенно указывает и тот факт, что номера банковских карт в базе не маскированы». Заметивший объявление о продаже базы Ашот Оганесян заверил издание, что DeviceLock проанализировала около 240 записей из предполагаемых 60 миллионов и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». Это свидетельствует о том, что база может являться сохраненной копией базы данных продукта Way4 и самой большой и подробной банковской базой данных, которая когда-либо попадала на черный рынок. Последствия этой утечки будут заметны для всей отрасли. Ей займутся правоохранители. При этом, если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию.
Представители Сбербанка официально заявили, что вечером 2 октября им стало известно «о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка», и в настоящий момент производится служебное расследование, об итогах которого пообещали сообщить дополнительно.
«Основная версия инцидента - умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу её изолированности от внешней сети. Похищенная информация в любом случае никак не угрожает сохранности средств клиентов», - заверили в банке.
Также они прокомментировали «Коммерсанту», что изучают подлинность информации и пока не понимают, подлинная она или нет. В Сбербанке заявили, что утечка данных через внешний взлом систем невозможна, так как они полностью изолированы от внешней сети. Если информацию об утечке подтвердят, то станет ясно, что она могла быть возможной только в результате умышленных действий одного из сотрудников банка.
Списания средств с карт данная база сделать не позволит, так как в ней отсутствуют коды CVV, а каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым смс-паролем.