Привет, друзья мои. С 12 февраля 2020 года в даркнете опять появились новые объявления о продаже Б.Д. (базы данных) , в каждой строке содержащих такую информацию о клиентах Сбербанка: название банковского подразделения, полное ФИО, номер счета, паспортные данные, дата рождения и номер телефона, короче говоря вся личная информация.
Мне удалось связаться с одним из продавцов и он рассказал, что у него есть информация о двадцати тысячах клиентах Сбербанка, в эти цифры можем и мы с Вами попадать, он оценивает каждую строку из этой базы по тридцать пять рублей. Из разговора с продавцом стало понятно что, у него есть возможность выгружать еще по десять тысяч новых строк о клиентах банка еженедельно.
Основная часть продаваемых данных относится к клиентам финансового учреждения, проживающих в регионах с часовым поясом +5 UTC — в субъектах Уральского и Приволжского федеральных округов РФ. А в полученном ими на проверку пробном фрагменте данных были клиенты банка, которые имеют счета или карты в Республике Башкортостан.
С высокой долей вероятности, это действующие клиенты Сбербанка технический директор компании DeviceLock. Также Оганесян уточнил, что новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают по словам директора банка.
Судя по незакрытой информации из таблицы выше (по годам рождения и типу карт VISA Electron), большинство пострадавших от этой утечки являются пенсионерами. В Сбербанке про момент новой утечки не подтвердили и не прокомментировали никакую информацию об этом инциденте.
Вдобавок специалисты отвечающие за безопасность и сохранность личной информации предположили, что у злоумышленников есть ограниченный доступ (через сотрудников) к базе данных учреждения, который, возможно, ограничен лимитом скачивания в системе ИБ. Например, им нельзя сохранить на внешний накопитель более двух тысяч записей информации в сутки.
В октябре 2019 года были официально подтверждены два случая утечки персональных данных клиентов в Сбербанке. Первая утечка произошла из-за целенаправленных умышленных действий сотрудника самой кредитной организации, а вторая утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым к сожалению сотрудничал Сбербанк, где так же сотрудник агентства смог скопировать данные клиентов из общей базы.
В начале ноября 2019 года сообщалось о появлении в интернете данных примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Представители Альфа-банка подтвердили утечку данных только пятнадцати своих клиентов, но не кто точно не может быть уверен в этом.
7 ноября 2019 года стало известно, что Роскомнадзор планирует ввести административную ответственность за незаконное распространение персональных данных и за их покупку и хранение. К весне 2020 года регулятор подготовит и вынесет на общественное обсуждение поправки об ответственности за покупку баз данных, утечек украденных персональных данных.
В начале декабря 2019 года Герман Греф рассказал, что к 2023 году Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано».