Хакер #305. Многошаговые SQL-инъекции
В начале текущей недели «Известия» сообщили, что в даркнете выставили на продажу базу данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 000 000 записей.
В тестовом фрагменте базы обнаружились ФИО, номера телефонов и паспортов 14 пользователей. Причем, по данным издания, 11 из 14 упомянутых в БД граждан действительно имеют счета в этой кредитной организации. Проверить это было весьма просто: система быстрых платежей позволяет увидеть наличие счета в конкретном банке, а также имя, отчество и первую букву фамилии его владельца по номеру телефона.
Объявление было размещено на неназванном хакерском ресурсе 14 августа 2020 года. Журналисты «Известий» связались с владельцем БД, и тот сообщил, что в его распоряжении есть база данных объемом «30–50 млн записей», а данные могут выгружаться напрямую, день в день. Стоимость одной записи составляет 25 рублей.
В конце августа 2020 года СМИ сообщали, что в открытом доступе распространяется файл с данными 31 000 карт ВТБ, держатели которых делали покупки в Joom. Позже маркетплейс признал, что данные банковских карт, попавшие в сеть, совпадают с информацией из мартовской утечки, и заявил об отсутствии угрозы средствам клиентов. По информации «Известий», две эти утечки никак не связаны между собой.
По словам собственного источника издания близкого к ЦБ, в регуляторе и в самом ВТБ знают о появившемся объявлении. Источник подчеркивает, что этот продавец и ранее предлагал на продажу информацию о клиентах банка. В данном случае утечка может исходить не из самого банка, считает собеседник издания. Он пояснил, что сейчас мошенники очень активно подбирают информацию из любых связанных источников: от партнеров, организаторов скидочных программ и так далее.
Представители ВТБ сообщили «Известиям», что проверяют информацию о появлении в даркнете персональных данных клиентов банка. Проверка проводится с привлечением правоохранительных органов.
Глава сервиса разведки утечек DLBI Ашот Оганесян пишет в своем Telegram-канале:
«Обычно такие базы не имеют отношения к утечкам из банков или других финансовых структур, а получаются из давно собранных баз физлиц (ФИО, телефон, паспортные данные), которые, путем запросов к системе быстрых платежей (СБП), обогащаются данными о привязке телефонного номера к тому или иному банку.
И разумеется ни о каких 50 млн. строк с данными клиентов ВТБ не может быть и речи. В банке всего около 14 млн. клиентов (физлиц и юрлиц). В цифру 50 млн. можно было бы поверить, если бы речь шла о выпущенных за все время платежных картах (как было в свое время со Сбербанком), но в данном случае продавец утверждает, что в базе содержится информация о клиентах-физлицах».