Персональные данные клиентов Сбербанка продают на черном рынке

Персональные данные клиентов Сбербанка оказались на черном рынке

Персональные данные клиентов Сбербанка оказались на черном рынке. Продавцы уверяют, что владеют данными о 60 млн кредитных карт, как действующих, так и закрытых (у банка сейчас около 18 млн активных карт).

Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет.

Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. Первым объявление заметил и обратил на него внимание основатель DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк.

Персональные данные клиентов Сбербанка
Персональные данные клиентов Сбербанка

В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.

Для проверки этих данных “Ъ” нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.

База разбита на 11 блоков, равных числу территориальных банков «Сбербанка». Каждая строка продается за 5 рублей. Журналисты «Ъ» попросили продавца найти в базе свои данные, в ответ он предоставил информацию об их картах, ФИО, номера и номера договоров.

Ашот Оганесян утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». По его мнению, база может являться сохраненной копией (полной или нет) базы данных продукта Way4.

Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка,— отмечает господин Оганесян.— Набор полей действительно поражает».

По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию, указывает господин Оганесян.

Сбербанк выпустил пресс-релиз, сообщив о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников.

В банке заверили, что угрозы не санкционированных клиентами списаний средств с карт нет.

Похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, пояснили там, а кроме того, каждая трансакция без предъявления карты в Сбербанке подтверждается одноразовым СМС-паролем.

Ранее мы писали об утечке личных данных клиентов банка «Открытие».