Владельцев карт, чьи данные «слил» сотрудник Сбербанка, уже обзванивают мошенники

8 октября 2019 года

Вечером 7 октября Сбербанк признал, что в ходе утечки данных клиентов, допущенной одним из сотрудников банка, в теневом интернете оказалось 5 тысяч учетных записей, а не 200, как банк утверждал раньше. Как пишет "Коммерсант", одна из попавших в открытый доступ баз имеет 1999 строк. Из них 1709 строк относятся к активным картам, еще 290 - к закрытым. В банке говорили, что значительное количество учетных записей являются устаревшими и неактивными.

В таблице содержатся ФИО, паспортные данные, место работы и жительства владельца, номер карты и счета, лимит по карте, срок действия и другая информация. CVV/СVC-кодов, кодовых слов и пин-кодов карт в таблице нет. Журналисты "Коммерсанта" случайным образом выбрали 20 строк, проверив работоспособность активных карт и прочую информацию об их владельцах по соцсетям. Ни одна из карт по состоянию на вечер понедельника не была заблокирована.

Издание обнаружило в открытом доступе еще несколько баз, в том числе на 500 и 300 клиентов с похожей структурой данных. Корреспонденты "Ведомости" обзвонили несколько человек, чьи данные указаны в таблице. Они подтвердили, что являются клиентами Сбербанка и держателями указанных в серой базе кредитных карт. Некоторым из них за последние сутки уже звонили мошенники и пытались выманить CVV/CVC-код.

В Сбербанке утверждали, что попавшие в Сеть карты перевыпущены, угрозы для средств клиентов нет, а все украденные сведения изъяты службой безопасности банка и правоохранительными органами.

"Проблема в том, что Сбербанк очень скоропостижно решил сделать выводы по кусочку с данными о 200 клиентах, который был опубликован, пусть и в теневом интернете", - отметил руководитель отдела аналитики Searchinform Алексей Парфентьев. Если в интернет попало гораздо больше данных, то расследование было проведено некачественно и банк не знает, сколько данных утекло в действительности, либо его результаты умышленно умалчиваются, считает эксперт.

Не исключено, что сотрудник банка до разоблачения успел выбросить на черный рынок информацию более чем о 200 клиентах, либо это информационная атака на Сбербанк и в новой базе данных лишь компиляции того, что уже было ранее опубликовано, рассуждает бизнес-консультант по безопасности Cisco Алексей Лукацкий. По его мнению, о массовой утечке говорить рано. Произошедшее подпадает под действие статьи 183 УК (незаконное получение и разглашение сведений, составляющих банковскую тайну).

Ранее "Коммерсант" писал, что,по утверждению продавцов данных, они владеют данными о 60 млн кредитных карт, как действующих, так и закрытых. В Сбербанке заявили, что столько карт не выпускали.