РБК сообщает, что в сети продают дамп, содержащий данные людей, которые хотели взять кредит в банке «Дом.РФ». База была выставлена на продажу 3 апреля 2021 года и содержит 104 800 записей.
Продавец сообщает, что первые записи в дампе датируются февралем 2020 года, последние — мартом 2021 года. В случае минимального заполнения заявки на кредит запись может содержать сумму потенциального кредита, номер телефона и адрес электронной почты. Если же заявка была заполнена обстоятельно, запись содержит: ФИО, дату рождения, сумму и вид кредита (потребительский), номер телефона, почтовый ящик, паспортные данные, ИНН, СНИЛС, домашний адрес, адрес места работы, должность, размер дохода, а также информацию о доверенном лице (ФИО, номер телефона, кем приходится заемщику) и другие сведения.
Злоумышленник заявляет, что вся база стоит 100 000 рублей, а отдельные строки с данными за 2021 год продаются за 15 рублей, за вторую половину 2020 года — 10 рублей, за первую половину 2020 года — 7 рублей.
Журналисты РБК ознакомились с пробником дампа, который содержал данные десяти клиентских записей c полным или почти полным набором данных. В итоге из шести человек четверо подтвердили, что обращались в банк «Дом.РФ» за кредитом или уже являются его действующими клиентами. Двое пояснили, что подавали заявку несколько дней назад, еще двое подтвердили другую личную информацию из файла (ФИО, контактный номер телефона, домашний адрес или место работы), отказавшись говорить о своих заявках на кредит.
Представитель банка «Дом.РФ» подтвердил изданию факт утечки. Сообщается, что утечка произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита наличными. Это первый случай, когда мошенникам удалось получить частичный доступ к внешним заявкам банка, но в «Дом.РФ» уверяют, что утечка произошла не из учетных систем кредитной организации, а безопасности счетов ничего не угрожает.
«В рамках оперативных работ она была в короткий срок устранена, в настоящий момент все системы банка функционируют в штатном режиме. В профилактических целях служба безопасности банка “Дом.РФ” проверила целостность работ всех других систем банка и не выявила нарушений», — сказал он, подчеркнув, что данные не позволяют получить доступ к счетам клиентов.
По информации РБК, об утечке известно уже Банку России, который проводит проверку случившегося.