На черном рынке оказались данные 60 млн кредитных карт клиентов Сбербанка. Эксперты считают утечку самой крупной в российском банковском секторе.
Информация о продаже «свежей базы крупного банка» появилось на одном из специализированных форумов, заблокированных Роскомнадзором. Первым объявление заметил основатель программного комплекса для защиты организаций от утечек информации DeviceLock Ашот Оганесян.
Продавец предлагает потенциальным покупателям пробный фрагмент, содержащий данные 200 человек из разных городов – в частности, персональные данные клиентов, подробная финансовая информация о кредитной карте и операциях. Предположительно, утечка произошла в конце августа текущего года.
Источник, близкий к Центробанку, изучив «пробник», выразил уверенность в том, что он является «выгрузкой базы» Сбербанка.
«Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах. Утечка базы от кого-либо из партнеров видится маловероятной, судя по набору и объему данных», - сообщил он. Собеседник предположил, что информацию выгрузил некто имевший административный доступ к хранилищу, на что косвенно указывает то, что номера банковских карт в базе не маскированы.
В беседе с журналистами газеты «Коммерсантъ» Ашот Оганесян заявил, что после того, как DeviceLock проанализировала около 240 записей из предполагаемых 60 миллионов, «можно подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке».
По его мнению, последствия утечки будут заметны для всей отрасли.
Понятное дело, что теперь обнародованными данными займутся и Центробанк, и Роскомнадзор, и, весьма вероятно, правоохранительные органы.
Кстати, данный инцидент далеко не первый у «Сбера»: так, в конце октября прошлого года в сеть попала база с именами и адресами электронной почты более 420 тысяч сотрудников этой финансовой организации. Кстати, подлинность размещенной тогда информации подтвердили сотрудники Сбербанка: «О проблеме доложили Герману Грефу, который уже выразил свое недовольство».
Правда, пресс-служба тогда постаралась ситуацию замять, распространив заявление о том, что украденная информация не представляет никакой угрозы автоматизированным системам и клиентам.
«Эта адресная книга доступна всем сотрудникам банка и не несет угрозы раскрытия их персональных данных», - подчеркнули в пресс-службе.
Впрочем, эксперты и тогда указывали на то, что для банка с серьезной информационной защитой даже подобная утечка данных несет в первую очередь репутационные риски.
Что же говорить о нынешнем ЧП – когда на черном рынке оказались данные именно клиентов?
Однако пресс-служба «Сбера» вновь пытается «изобразить хорошую мину»: на своем сайте представители финансовой организации опубликовали сообщение о том, что им «стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка».
Не правда ли – цифры 200 и 60 миллионов весьма разнятся? Если банк позиционирует себя как честный и надежный партнер для своих клиентов – стоит ли в 300 тысяч раз принижать проблему?
По данным пресс-службы в настоящий момент производится служебное расследование, об итогах которого финансовая организация обещает сообщить дополнительно.
Впрочем, на сей раз Сбербанку вряд ли удастся, точно страусу спрятать голову в песок: если среди пострадавших клиентов есть резиденты или граждане Евросоюза, то, в соответствии с законом GDPR, финансовая организация будет вынуждена уведомить об инциденте Еврокомиссию.