В Сбербанке подтвердили, что данные 200 клиентов, обладающих «кредитками», попали в сеть.
Это подробные персональные и финансовые сведения, к примеру, лимиты по кредитным картам, дата запланированного платежа и его сумма. В банке заявили, что эти данные принадлежат уральскому филиалу Сбера. Им о случившемся уже сообщили, карты перевыпустили. Вместе с тем в финучреждении заверили, что ни пин-кодов, ни CVV карт в выложенном в интернет списке не было, так что ни о каких атаках на пострадавших не уведомлялось, передает РБК.
Поскольку в СМИ появилась информация о том, что утечка куда масштабнее, в Сбербанке проверяют, какое количество сведений могло попасть в сеть на самом деле, но отрицают, что у торговца данными есть записи о 60 млн клиентах. Как пояснили в Сбере, банк всего успел выпустил около 40 млн «кредиток», 18 млн из них действуют на данный момент.
В утечке информации финорганизация подозревает одного из сотрудников, который, скорее всего, имел доступ к банковским ОС. Такова основная версия, однако, допускается, что кто-то мог физически разобрать компьютер, хранивший соответствующую информацию, и вынуть жесткий диск. Сбербанк находится в поиске виновника и даже подозревает, кто это мог быть. Проверяются и другие версии типа фотографирования экрана и компиляции цифр. Предположение о том, что это могла быть атака хакеров и взлом, финорганизация полностью отвергает.
Утечка Сбербанком была зафиксирована до того, как новость о ней распространилась в СМИ. В финучреждении создали спецштаб для расследования случившегося, об инциденте были предупреждены правоохранители, ЦБ РФ, Роскомнадзор, который направил Сбербанку рекомендацию провести проверки, но при этом отметил, что утечка данных замечена не была.
Во многих крупных компаниях, занимающихся вопросами информбезопасности, не стали ничего комментировать на официальном уровне, поскольку состоят со Сбером в коммерческих отношениях.
Однако, по словам источника из этой отрасли, «тестовый кусок», выложенный продавцом в качестве примера и содержащий данные о 200 людях и служебные поля W4, свидетельствует о том, что из банка физическим образом была вынесена полная резервная копия базы с клиентскими данными. По словам специалиста, дубликат мог быть перенесен на ленту.
Возможной данную версию считает и замгендиректора компании Zecurion Александр Ковалев. При этом он отмечает, что окончательную ясность в случившееся должно внести расследование. Эксперт напоминает о том, что полную базу, в которой якобы содержится 60 млн имен, не видел никто. Так что в реальности может оказаться, что все это слухи, и у продавца есть только «тестовый кусок», на котором он хочет заработать сотни миллионов рублей.
Учитывая характер данных, списать деньги с карт напрямую у злоумышленников не выйдет, говорят специалисты. Зато они смогут пустить в ход инструментарий современной инженерии и начать обзвон, к примеру, группы клиентов старше 50, которые считаются самой уязвимой для мошенников категорией.
В случае, если клиент переживает из-за бреши в своей финансовой безопасности, ему стоит попросить банк о перевыпуске карты, советуют эксперты. Однако, тут есть нюанс, пластик может и смениться, а вот номер на нем нет. Не будет при перевыпуске ни смены счета, ни изменений в условиях кредитного договора, если дело касается кредитки.
Поэтому в первую очередь клиентам нужно опасаться «социальных инженеров», то есть мошенников, которые могут предпринять попытки вызвать к себе доверие при помощи имеющихся у них персональных и банковских данных. Нужно помнить о том, что ни в коем случае нельзя никому сообщать свой CVV-код, нанесенный на обратную сторону карты, также в секрете нужно хранить пароль от своего кабинета в интернет-банке или приложении для мобильного телефона. К такой же конфиденциальной информации относятся пин-код карты и спецкоды из СМС-сообщений. Банковские сотрудники, общаясь с клиентами никогда не спрашивают ни о чем подобном. Если же вдруг поступит звонок, и собеседник поинтересуется секретными данными, нужно уведомить об этом банк, позвонив по номеру, который указан прямо на карте или же на официальном портале финорганизации.