На российском банковском рынке произошла, по всей видимости, самая большая утечка данных в истории: продавец черного рынка утверждает, что владеет данными о 60 млн кредитных карт Сбербанка — как действующих, так и закрытых, пишет «Коммерсант». Не исключено, что в сеть утекли данные вообще всех владельцев кредитных карт крупнейшего банка страны. В банке говорят о возможности слива одним из сотрудников.
Что случилось. На одном из специализированных форумов в минувшие выходные появилось объявление о продаже «свежей базы крупного банка»: продавец предлагал данные более 60 млн кредитных карт россиян.
- «Коммерсант» изучил пробный фрагмент (200 человек) базы. В таблице содержатся детальные персональные данные клиентов Сбербанка, подробная финансовая информация о кредитной карте и операциях.
- Корреспонденты издания попросили продавца базы найти их данные (данные одного человека стоят 5 рублей). Тот предоставил информацию: совпали в том числе номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
- Дата утечки, вероятно, 24 августа 2019 года.
Об этом говорят. Судя по характеру файла, утечка с большой долей вероятности произошла из самого банка, считают опрошенные «Коммерсантом» эксперты. Похоже, что это была полная «выгрузка базы» Сбербанка, взятая из хранилища данных всех систем, говорят собеседники издания. Если данные слил сотрудник банка, то он явно занимает не рядовую должность: информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы».
- Первым утечку заметил основатель DeviceLock Ашот Оганесян. По его мнению, масштаб утечки таков, что будет заметен для всей отрасли. Ей придется заняться не только российским регуляторам и силовикам — среди клиентов есть граждане ЕС, банку придется уведомить Еврокомиссию.
Реакция. Пока «Коммерсант» готовил статью к публикации, Сбербанк выпустил пресс-релиз о возможной утечке персональных данных «как минимум 200 клиентов» и начале внутреннего расследования. «Основная версия инцидента — умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети», — сообщила пресс-служба госбанка.
Почему это важно. Это не первая утечка данных в Сбербанке: в октябре 2018 года на хакерский форум была выложена база данных сотрудников Сбербанка с логинами и паролями для входа в банковскую систему. Председатель правления банка Герман Греф «выразил свое недовольство» утечкой.
Даже такая подробная база данных, какую слили в конце августа, не угрожает средствам клиентов банка: чтобы списать с карты деньги, необходимо вводить CVV-коды (в базе они не указаны), а также подтверждать действия одноразовым SMS-паролем. При этом подобные утечки