Разделы

Безопасность Пользователю Стратегия безопасности ИТ в банках

В Сбербанке крупнейшая утечка в истории российского банковского сектора

Неизвестный злоумышленник выложил на продажу базу данных с украденными сведениями о 60 млн клиентах Сбербанка. Подлинность информации подтверждена, а ее источником могли стать сотрудники банка, поскольку серверы, на которых она размещена, не подключены к внешней сети.

Крупнейшая утечка в истории

В интернет утекла база данных клиентов Сбербанка, содержащая информацию о нескольких десятках миллионов владельцев кредитных карт. Дата утечки на момент публикации материала известна не была, но объявление о продаже базы данных появилось в Рунете в последних числах сентября 2019 г. и было обнаружено основателем компании DeviceLock по вопросам защиты информации Ашотом Оганесяном. По мнению экспертов, ознакомившихся с данными, утечка стала самой крупной в российском банковском секторе.

Как пишет «Коммерсант», кража информации могла произойти в конце августа 2019 г. Объявление было размещено на одном из русскоязычных форумов, заблокированных «Роскомнадзором». По утверждению человека, опубликовавшего его, в предлагаемой им базе содержатся сведения о 60 млн клиентов. В качестве пробной партии злоумышленник предлагает небольшой фрагмент этой базы – подробности о 200 клиентах банка из разных городов, которые обслуживает Уральский территориальный банк «Сбербанка».

Что содержится в базе данных

Выставленная на продажу база содержит подробные персональные данные владельцев кредитных карт, включая ФИО, паспортные данные, а также всю информацию о кредитных картах клиента и операциях по ним, включая кредитный лимит и неиспользованный лимит. Продавец утверждает, что вся БД состоит из 11 частей, по количеству территориальных банков Сбербанка. Стоимость информации – 5 руб. за каждую строку.

Скомпрометированная личная информация миллионов держателей карт Сбербанка. Источник изображения: Telegram-канал «Банкста»

«Коммерсант» убедился в подлинности информации – корреспонденты попросили продавца найти в БД свои данные, и тот предоставил им нужные сведения, совпавшие с реальными данными.

Реакция Сбербанка

Сбербанк сообщил, что получил информацию о возможной крупной утечке информации вечером 2 октября 2019 г. Он инициировал служебное расследование, итоги которого будут раскрыты дополнительно.

Специалисты финансового ведомства выдвинули основную версию инцидента – они предполагают, что кража информации о клиентах стала результатом умышленного преступления, совершенного одним или несколькими сотрудниками банка. Представители Сбербанка утверждают, что проникновение в базу данных извне попросту невозможно по причине ее «изолированности от внешней сети».

Также в банке заверили, что украденная неизвестными информация не угрожает сохранности средств клиентов, потому что не содержит коды CVV. К тому же для выполнения транзакции без предъявления самой карты в Сбербанке необходимо подтверждение в виде одноразового СМС-пароля, высылаемого на телефон владельца карты.

Мнение экспертов

По словам главы DeviceLock Ашота Оганесяна, специалисты его компании проанализировали около 240 записей из базы данных и пришли к выводу об их подлинности. Эксперты отметили, что выставленный на продажу массив информации может оказаться сохраненной частичной или полной копией базы данных Way4 – процессинговой платформы, используемой Сбербанком на протяжении практически 10 лет.

В подлинности БД уверен и неназванный источник «Коммерсанта», приближенный к Центробанку. Он назвал предложенный продавцом файл с 200 строками данных «выгрузкой базы» Сбербанка. «Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах. Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных», – отметил источник издания.

Возможные последствия

Ашот Оганесян сказал, что столь крупная утечка отразится на всей банковской отрасли. Расследованием произошедшего, по его мнению, займутся ЦБ России и Роскомнадзор и, возможно, правоохранительные органы. Не исключено и подключение иностранных регуляторов: к примеру, в случае, если украденная БД содержит сведения о гражданах ЕС, то Сбербанк должен будет уведомить об инциденте Еврокомиссию, в соответствии с «Общим регламентом по защите данных» (GDPR) – постановлению ЕС, вступившему в силу в мае 2018 г.

Роскомнадзор проверит информацию о возможном нарушении российского закона о персональных данных «в рамках своей компетенции». «Меры реагирования будут приниматься после установления признаков нарушений», – сообщили в ведомстве.

Не в первый раз

Для Сбербанка эта утечка не стала первой в его истории. К примеру, практически год назад, в конце октября 2018 г., в открытый доступ были выложены данные о 421 тыс. сотрудниках банка, включая Германа Грефа. Как и в этот раз, предположительным источником утечки был назван нынешний или бывший сотрудник банка, действовавший со злым умыслом.

Выложенная в сеть база с данными о сотрудниках Сбербанка была актуальна на 1 августа 2018 г. Иными словами, содержащаяся в ней информация на момент ее появления в интернете еще не успела устареть, и даже если часть людей, чьи имена и адреса электронной почты числятся в ней, уже сменили место работы или e-mail, то их на тот момент было явное меньшинство.

Достоверность сведений в утекшей базе уже подтвердили некоторые сотрудники банка, чьи адреса почты и имена были в этом списке. Подтверждение также поступило от представителя одной из сторонних организаций, связанной с информационной безопасностью банка.

Эльяс Касми