По данным издания "Коммерсантъ", база данных с подробной информацией о владельцах 60 млн кредитных карт, как действующих, так и закрытых Сбербанка оказалась на черном рынке. Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе.
Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца в объявлении, в базе данных содержится информация о более 60 млн кредитных карт. Потенциальным покупателям продавец предлагал пробный фрагмент выборки из базы в составе двухсот строк. По информации специалистов компании DeviceLock, которые первыми обнаружили такую масштабную утечку, данный фрагмент содержал данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года.
База разбита на 11 частей (именно столько у Сбербанка сейчас территориальных банков). Каждая отдельная строка продается за пять рублей.
Для проверки гипотезы корреспонденты издания “Коммерсантъ” попросили продавца найти в базе свои данные. Вскоре им была предоставлена информация о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Последствия такой большой утечки данных будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию.
Основная версия инцидента – умышленные преступные действия одного из сотрудников
Канал утечки информации о заемщиках Сбербанка был раскрыт почти моментально. МВД отчиталось о задержании подозреваемого в распространении персональных данных, которым оказался сотрудник коллекторского агентства «Национальная служба взысканий». По словам юристов, ему грозит до пяти лет колонии. Однако к официальной версии остается много вопросов.
База данных может быть реальной, а информация выглядит относительно свежей, указывает основатель и технический директор DeviceLock Ашот Оганесян. «С учетом того что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего колл-центра, обеспечивающего работу с должниками»,— предполагает господин Оганесян. По его мнению, злоумышленники могут использовать базу для рассылки спама, а также для проведения мошеннических операций. Например, для звонков должникам с обещанием реструктуризации долга и предложением сделать небольшой первый платеж, реквизиты которого будут подставными. «Аудио может очень помочь мошенникам,— соглашается гендиректор Zecurion Алексей Раевский.— Если они при общении с потенциальной жертвой сошлются на такой разговор, это серьезно добавит доверия»
