«Коммерсант»: данные 60 000 000 клиентов Сбербанка продают на черном рынке

Издание «Коммерсант» сообщило, что на черном рынке продаются данные клиентов Сбербанка, включая информацию о 60 млн карт (как действующих, так и закрытых, так как в настоящее время у банка около 18 млн активных карт). По данным издания, утечка могла произойти в конце августа текущего года и является одной из крупнейших в российском банковском секторе.

Сообщается, что объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на неназванном специализированном форуме, заблокированном Роскомнадзором (по информации Group-IB, объявления о продаже огромной банковской базы появились как минимум на 5 различных форумах 28 сентября). По словам продавца, он реализует данные о более 60 млн банковских карт. Первым объявление заметил и обратил на него внимание журналистов основатель компании DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк, и представители издания его изучили.

В предоставленной для теста таблице содержались, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также были обнаружены слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.

Для проверки этих данных журналисты нашли клиентов из предложенного «пробника» в соцсетях, а также изучили информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя. По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 руб. Для проверки гипотезы корреспонденты попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Источник «Коммерсанта», близкий к ЦБ, тоже изучил «пробник» и выразил уверенность в том, что это выгрузка базы Сбербанка, а не, например, «пробив», полученный в результате подкупа сотрудников. По словам других собеседников издания, специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти из банка.

По словам другого источника, информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы». Еще один эксперт отметил, что чисто теоретически такие данные могут быть получены путем склеивания данных с точки выдачи карт и данных из процессинга, но в данном случае это маловероятно, учитывая объем данных. «Если это и подделка, то очень качественная»,— указал еще один эксперт.

Ашот Оганесян утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». По его мнению, база может являться сохраненной копией (полной или нет) базы данных продукта Way4.

«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка,— отмечает Оганесян.— Набор полей действительно поражает». По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию.

Представители Сбербанка уже подготовили пресс-релиз, посвященный происходящему. Он гласит, что вчера Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.

«В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети. Похищенная информация в любом случае никак не угрожает сохранности средств клиентов», — говорят в Сбербанке.

Также представители Сбербанка сообщили «Коммерсанту», что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Также там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объем активных кредитных карт в несколько раз меньше». Таким образом, если информация об утечке будет подтверждена, она могла произойти только в результате умышленных преступных действий одного из сотрудников банка.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (6)

  • Если подключить автоплатеж на перевод клиенту сбербанка по его номеру телефона (клиента, а не сбера. То есть любого своего друга, например. Или найденные телефоны в инете, к которому привязана карта сбера), а потом зайти в редактирование этого платежа, то отображаются все цифры карты в поле Получатель. Баг давно уже работает в браузере

  • Судя по всему, Сбер моментально выкупил украденную базу.

    Хорошая работа на 5 млн баксов

    • Как выкупил, так потом и найдет того, кто продал! И кишки наизнанку вывернет. Это не старые добрые времена :)

      • Мне, как клиенту, уже все равно что и кому они там вывернут.
        Да и сомневаюсь, что кого то найдут.
        Профессиональная деградация ВСЕХ управленческих служб как и коррупция уже прошли точку возврата как в РФ в общем так и в Сбере в частности.
        Найдут козла отпущения или стрелочника, слепят очередной мультик, придумают какую нибудь законодательную яйцерезку... and so all

  • Как сказал Греф, программисты же не нужны

  • Пресс-релиз поражает информативностью и точно отражает происходящее - "Пользуясь случаем, напоминаем о правилах безопасности: сотрудники банков при общении с клиентом никогда не спрашивают ПИН-код, пароль из СМС и трехзначный код на оборотной стороне карты. Если вам такой вопрос зададут по телефону — знайте, вам звонит мошенник." Пользуются они случаем...