СМИ узнали о новых утечках в Сбербанке
Персональные данные клиентов Сбербанка вновь оказались на черном рынке, пишет газета «Коммерсант».
Новое предложение о продаже базы клиентов Сбербанка появилось на одном из теневых ресурсов 13 октября. В объявлении говорится, что база содержит порядка миллиона строк с полными данными (паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности) клиентов банка, имеющих кредиты или кредитные карты. Данные продаются в любом объеме, а покупатель может даже назвать интересующие его критерии, по которым будет сформирована выборка, например по региону, сумме на карте или размеру долга. Необычной выглядит выгрузка по последнему звонку клиента в банк. Продавец при желании предлагает также предоставить запись этого разговора.
«Коммерсант» связался с продавцом и выяснил, что база формируется с 2015 года, обновляется еженедельно. Так, за три недели октября в нее добавилось 19 823 строки. В пробном фрагменте были данные о клиентах, вышедших на просрочку по кредитам и кредитным картам.
Судя по столбцу «ТБ» (территориальный банк), в выгрузке оказались данные из десяти территориальных банков (всего их у Сбербанка 11). На некоторых клиентов приходится несколько строк, если у них есть несколько действующих кредитов. Судя по столбцам «Дата образования просрочки» и «Количество дней просрочки», данные были выгружены 25 сентября. Выгрузка аудиозаписей, по словам продавца, производится «с рабочего места», то есть в дневное время. Сам продавец признался, что выступает перекупщиком. Он продает одну строку за 30 рублей.
Пресс-служба Сбербанка отрицает утечку. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было», — заявили в банке.
База данных может быть реальной, а информация выглядит относительно свежей, говорит основатель и технический директор DeviceLock Ашот Оганесян. «С учетом того, что продавец сообщил о возможности получить аудиозаписи разговоров, данные, возможно, утекли из внешнего кол-центра, обеспечивающего работу с должниками», — предполагает он.
В 2019 году в арсенале злоумышленников появился новый способ обмана жертв: подмена исходящего телефонного номера на номера, идентичные номерам кол-центров кредитных организаций.
О продающейся в Сети базе данных, включающей 11,5 тыс. граждан, которые взяли кредит в Сбербанке, узнала и газета «Известия». Издание обнаружило такое объявление и убедилось в подлинности его тестового фрагмента через «Сбербанк Онлайн», говорится в материале.
В сообщении о продаже базы данных кредитных клиентов Сбербанка сказано: «Есть те, кто находится на просрочке и ждет звонок от банка, чтобы решить вопрос». «Известиям» удалось связаться с продавцом: он сообщил, что на проверку подлинности база продается поштучно, стоимость одной записи составляет 30 рублей.
«Известия» приобрели тестовый фрагмент базы. В записи о каждом клиенте содержится больше 40 ячеек, в том числе полное Ф. И. О., дата рождения, паспортные данные, место работы, домашний адрес, мобильный и рабочий телефоны, сумма кредита и просрочки по нему, дата ее образования и др. Самый «свежий» договор о займе, который содержится в тестовом варианте, был оформлен в марте 2019 года.
Данные о клиентах «Известия» проверили с помощью приложения «Сбербанк Онлайн», где при переводе по номеру телефона можно увидеть имя, отчество и первую букву фамилии получателя. Данные о владельцах кредитных карт совпали с указанными в документе. Дозвониться удалось только до одного из заемщиков госбанка, указанных в тестовой части базы: он подтвердил, что имеет кредитную карту Сбербанка, а его задолженность совпадает с данными из слитого списка. По другому номеру получилось дозвониться до места работы клиента, оно совпало с указанным в базе.
В пользу того, что это реальные сведения, говорит количество информации и единообразие ее оформления, кроме того, приведенные адреса существуют, отметил руководитель аналитического центра компании по кибербезопасности Zecurion Владимир Ульянов. Он добавил, что такой объем сведений сложно выдумать или собрать из открытых источников и скомпилировать.
По мнению экспертов, с помощью данных о неплательщиках злоумышленники могут убедить должника, что права требования по его кредиту переданы в коллекторское бюро и теперь он обязан выплачивать деньги именно звонящему, а не банку. Между тем «слитых» данных недостаточно для вывода денег, поскольку базы не содержат CVC- или пин-коды.
В ЦБ и Роскомнадзоре оперативно не ответили на вопросы «Известий» о найденной базе данных. В Сбербанке газете сказали, что не комментируют информацию, которая относится к категории слухов и домыслов.
Читайте также: Ваша карта бита. Так ли страшны утечки данных, как о них говорят
По мнению главы Сбербанка, в России недостаточна уголовная ответственность за фишинг, скимминг, DDoS- и другие виды кибератак.
Ранее в октябре СМИ сообщили об утечке данных о 60 млн владельцев кредитных карт Сбербанка. Глава финансовой организации Герман Греф тогда признал утечку информации сначала о 200 клиентах, а позже — о 5 тыс. Он подчеркнул, что все карты пострадавших перевыпущены.
По данным ЦБ, в первом полугодии текущего года было обнаружено 12,9 тыс. публикаций с предложениями о покупке/продаже различных баз данных. За этот же период было выявлено 18 ключевых событий в области утечек персональных данных. При этом в Центробанке подчеркивают, что источниками утечек являются не столько уполномоченные сотрудники организаций кредитно-финансовой сферы, имеющие доступ к указанным данным, сколько иные многочисленные операторы обработки персональных данных.