Сбербанк начал проверку информации о возможной утечке данных 60 млн клиентов

208

В «Коммерсанте» в четверг появилась информация о публикации в открытом доступе на специализированном форуме, заблокированном Роскомнадзором, объявления о продаже «свежей базы крупного банка» — по словам продавца, речь о персональных данных, включая транзакции, более 60 миллионов владельцев кредитных карт.

Потенциальным покупателям продавец краденого предлагает пробный фрагмент базы из 200 строк. Фрагмент содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка. Речь идёт о кредитных картах как действующих, так и закрытых. У банка сейчас около 18 миллионов активных карт.

В Сбербанке информацию прокомментировали так:

«Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.

В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.

Похищенная информация в любом случае никак не угрожает сохранности средств клиентов».

Первым объявление о продаже данных заметил и обратил на него внимание «Коммерсанта» основатель DeviceLock Ашот Оганесян. Он утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 миллионов и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке».

Пример данных, которые утекли, по информации Ашота Оганесяна.

Издание изучило предлагаемый продавцом фрагмент. В таблице, по их данным, содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях.

Для проверки этих данных «Коммерсант» нашёл клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.

По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 рублей. Для проверки гипотезы корреспонденты издания попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Если в числе украденных записей есть персональные данные граждан стран ЕС, Сбербанку в соответствии с GDPR придётся информировать европейского регулятора. Санкции за нарушения GDPR, напомним, крайне суровы.

В ЦБ не ответили на запрос издания. В Роскомнадзоре обещают «в рамках своей компетенции» проверить информацию о возможном нарушении законодательства о персональных данных.

ВАШ КОММЕНТАРИЙ:

Please enter your comment!
Please enter your name here