Несколько дней назад на спецфоруме, который заблокировал Роскомнадзор, всплыло объявление с предложением приобрести «свежую базу крупного банка».
Торговец данными заверял, что у него есть информация по более чем 60 млн «кредиток». Это объявление попало в поле зрения основателя Device Lock Ашота Оганесяна. Для потенциальных покупателей есть возможность «попробовать» товар – там же опубликован 200-строчный фрагмент базы.
Издание «Коммерсант» ознакомилось с предложением и пришло к выводу, что в данном фрагменте содержится персональная информация о 200 клиентах Уральского территориального банка Сбербанка, проживающих по разным городам.
Помимо детализированных сведений личного характера, там указаны подробные финданные о кредитной карте и проводимых с ней операциях. О времени утечки информации может свидетельствовать «дата опердня» — 24 августа 2019 года. Кроме того, там указаны буквы и цифры way4 или w4. Есть вероятность, что они имеют отношение к процессинговой платформе Way4. Именно она используется Сбером на протяжении вот уже десятка лет.
Чтобы проверить данные журналисты нашли клиентов из «пробного» фрагмента в социальных сетях, а также пропустили телефонные номера и номера карт через мобильное приложение Сбербанка. Оно дает возможность видеть ФИО получателя во время проведения транзакции.
Поскольку продавец заявил о продаже информации в 60 млн строк, можно сделать вывод, что утечка касается данных обо всех банковских «кредитках».
В объявлении уточняется, что база разделена на 11 частей (такое количество тербанков у Сбера), стоит каждая строка 5 рублей. Чтобы проверить гипотезу корреспонденты издания попросили разыскать в базе данных свои. Торговец предоставил сведения о «кредитках» журналистов вкупе с прежними местами работы, которые сменились за последние три года. Полное совпадение и по части номеров договоров, подписанных при открытии кредитных карт и ФИО тех, кто поставил под ними свои подписи.
Приближенный к Центробанку собеседник издания уверен в том, что это не «пробив» Сбербанка, полученный путем подкупа кого-то из сотрудников, а «выгрузка базы». Другие собеседники, специализирующиеся на теме банковской информбезопасности, считают, что утечка могла произойти из финучреждения, учитывая характер «пробника».
Один из источников предположил, что данные могли быть взяты из общего системного хранилища, содержащего полную клиентскую информацию. В том, что это мог сделать кто-то из партнеров, эксперт сомневается, опираясь на набори объем данных. Другому собеседнику сведения кажутся похожими на выгрузку данных, совершенную тем, кто имел к базе админдоступ, учитывая, в том числе, тот факт, что номера карт в перечне не замаскированы. Третий специалист отметил, что в теории такой список мог бы получиться в результате объединения информации с точки выдачи карт и процессинга, но, судя по объему, это маловероятно. Еще один эксперт заявил, что если эта база поддельная, то сделано все слишком качественно.
По словам Ашота Оганесяня, его компанией было проанализировано около 240 записей из 60 млн, и результаты проверки указывают на то, что все это реальные персональные данные клиентов Сбера. Специалист считает, что база может быть сохраненным дубликатом базы данных платформы Way4.
Оганесян отметил, что такого большого и подробного списка, предлагаемого на черном рынке,DeviceLockеще не видела, и размах просто поразительный.
Эксперт уверен, что последствия утечки прочувствует вся отрасль. Ею будут заниматься ЦБ РФ с Роскомнадзором и, скорее всего, правоохранительными структурами. Если в списке окажутся резиденты или граждане Евросоюза, то Сбербанку придется заявить об инциденте в Еврокомиссию, как этого требует закон GDPR, говорит Ашот Оганесян.
У регулятора на запрос от издания пока не отреагировали. В Роскомнадзоре пообещали сделать все, что в их компетенции для проверки информации о потенциальном нарушении закона о персональных данных.
Тем временем, Сбербанк распространил пресс-релиз о возможной утечке информации о 200 клиентах и старте внутреннего расследования. В банке утверждают, что случившееся стало следствием не хакерских атак, а объясняется умышленными преступными действиями одного из работников.
Кроме того, в финучреждении заверили пользователей сервиса в отсутствии угрозы незаконного списания средств с кредитных карт неизвестными, поскольку в базе данных нет кодов CVV. Помимо этого, для проведения каждой транзакция без предъявления карты система требует одноразовый СМС-пароль.