Утекли данные владельцев кредитных карт

На черном рынке оказались персональные данные клиентов Сбербанка. По заверениям продавцов, они владеют данными о 60 млн действующих и закрытых кредитных карт (у банка сейчас около 18 млн активных карт). Утечка скорее всего произошла в конце августа. Ознакомившись с данными, эксперты признали их подлинными, а утечку назвали самой масштабной в российском банковском секторе. В Сбербанке пообещали проверить подлинность базы, а также заверили, что средствам клиентов ничего не угрожает.

В минувшие выходные на специализированном форуме, заблокированном Роскомнадзором, появилось объявление о продаже «свежей базы крупного банка», содержащей данные о более 60 млн кредитных карт. Первым, кто заметил это объявление, и обратил на него внимание “Ъ”, был основатель DeviceLock Ашот Оганесян.
Для подтверждения подлинности реализуемой базы, продавец предлагает возможным приобретателям ее фрагмент из 200 строк. “Ъ” изучил предлагаемый фрагмент.
Фрагмент включает в себя данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
Данные, состоящие из детальных персональных данных, подробной финансовой информации о кредитной карте и операциях, представлены в виде таблицы. 24 августа 2019 указано как «дата опердня», что может говорить о дате утечки. Кроме того, встречаются слова way4 или w4, наверняка относящиеся к процессинговой платформе Way4, которую Сбербанк использует уже около десяти лет. С целью проверки данных, корреспондент “Ъ” нашел в соцсетях клиентов из «пробного фрагмента» и изучил сведения о номерах карт и телефонов в мобильном приложении Сбербанка, которое, при переводе средств дает возможность ознакомиться с частью информации о ФИО получателя.
Объем информации, которые предлагает продавец (60 млн строк), может говорить о том, что утечка коснулась данных о всех кредитных картах банка.
Продавец поясняет, что база поделена на 11 частей (именно столько территориальных банков у Сбербанка), цена каждой строки 5 руб. Корреспонденты “Ъ”, проверяя предположения, попросили продавца найти в базе данные об их кредитных картах. Информация была предоставлена, в том числе, по прежним местам работы, которые за последние три года изменились. Номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их, совпадают.

Близкий к ЦБ Источник “Ъ”, уверен, что «пробный фрагмент» - это «выгрузка базы» Сбербанка, а не, например, «пробив», полученный в результате подкупа сотрудников.
Другие собеседники “Ъ”, специалисты по информационной безопасности крупных банков, изучив «пробный фрагмент», не исключили возможности утечки информации из банка.
Собеседник “Ъ” в крупном банке говорит: «Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах. Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных». Другой источник указывает на то, что информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы». Другим экспертом было отмечено, что чисто теоретически такие данные могут быть получены путем склеивания данных с точки выдачи карт и данных из процессинга, но в данном случае это маловероятно, учитывая объем данных. «Если это и подделка, то очень качественная»,— сказал эксперт.
По словам Ашота Оганесяна DeviceLock проверила 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». Он считает, что база может являться сохраненной копией (полной или нет) базы данных продукта Way4.
«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка. Набор полей действительно поражает» - отмечает господин Оганесян. Он так же рассказал о том, что последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, наверняка, правоохранительные органы.
Господин Оганесян так же указал на то, что если среди клиентов есть резиденты или граждане ЕС, то в соответствии с законом GDPR, банку придется уведомить об инциденте Еврокомиссию.
В ЦБ на запрос “Ъ” не ответили. В Роскомнадзоре заявили: «Меры реагирования будут приниматься после установления признаков нарушений», и пообещали, «в рамках своей компетенции», проверить информацию о возможном нарушении требований законодательства о персональных данных.
За время подготовки статьи к выпуску, Сбербанк выпустил пресс-релиз, в котором сообщается о начатом внутреннем расследовании по факту возможной утечки персональных данных 200 клиентов. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников и утверждают, что никаких внешних кибератак не зафиксировано.
Еще в Сбербанке пояснили, что подлинность информации об утечке изучается, ясности в этом вопросе пока нет. По заявлению представителя Сбербанка все базы данных клиентов полностью изолированы от внешней сети, поэтому утечка данных через внешний взлом систем невозможна в принципе. Утечка могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка, и в случае подтверждения такой информации «Будет проведено скрупулезное расследование, о его итогах будет сообщено» - заверили в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объём активных кредитных карт в несколько раз меньше».

По заверениям Сбербанка, угрозы несанкционированных клиентами списаний средств с карт нет.

Там также объяснили, что если транзакция осуществляется без предъявления карты в Сбербанке, то она подтверждается одноразовым смс паролем, и к тому же похищенная информация не содержит коды CVV и поэтому не позволит преступникам списать деньги с карт клиентов.

Источник: Газета "Коммерсантъ"