Специалисты Data Leakage & Breach Intelligence (DLBI) сообщили, что вслед за утечками данных сервисов «СберПраво» и «СберЛогистика» тот же злоумышленник опубликовал в сети информацию, предположительно принадлежащую пользователям приложения бонусной программы «СберСпасибо». Утечка содержит 47,9 млн телефонных номеров и 3,3 млн email-адресов.
По информации DLBI, новый дамп содержит два файла (Orders и Users, общим размером около 14 ГБ) и следующие данные:
- телефонные номера (47,9 млн уникальных номеров);
- адреса электронной почты (3,3 млн уникальных адресов);
- хешированные (SHA1 без соли) номера банковских карт (основной карты и дополнительных);
- даты рождения;
- даты создания и обновления записи (с 22 июля 2015 по 07 июня 2022).
Исследователи подчеркивают, что хотя номера банковских карт хранятся в одном из файлов в виде хеша, из-за использования устаревшего алгоритма SHA1, «восстановить» реальные значения карт не составит никакого труда (при помощи обычного перебора).
Представители «СберСпасибо» уже сообщили СМИ, что проверят информацию о возможной утечке:
«Мы проверяем информацию и ее достоверность. Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных», — заявили в компании.
