Персональные данные россиян продают в Сети за 30 рублей. Сбербанк опроверг утечку

24 октября в 12:44

Персональные данные клиентов Сбербанка второй раз за месяц появились на чёрном рынке. Но теперь, помимо стандартных данных, покупателям базы предлагают аудиозапись последнего разговора клиента с колл-центром банка. По предварительным данным, инцидент затронул 11 500 пользователей. В Сбербанке при этом опровергли сведения об утечке, назвав их слухами и домыслами.

Предложение о продаже информации о клиентах Сбербанка появилось на одном из ресурсов Даркнета 13 октября. По утверждениям продавца, с которым удалось связаться «Коммерсанту», база еженедельно обновляется с 2015 года и содержит порядка миллиона строк с полными данными клиентов банка, имеющих кредиты или кредитные карты. В их числе указаны:

  • данные паспорта;
  • прописка;
  • адреса проживания;
  • телефоны;
  • счета;
  • суммы остатка или задолженности;
  • в ряде случаев — последний звонок клиента в банк.

При этом данные можно приобрести в любом объёме и даже сделать выборку по интересующим покупателя критериям. Актуальность сведений подтверждает хотя бы то, что за три недели октября в базу добавилось 19 823 строки. Стоимость одной строчки — 30 рублей.

«Известия» приобрели тестовый фрагмент базы и проверили её: попытались совершить переводы в приложении «Сбербанк онлайн». При переводе по номеру телефона в нём можно увидеть имя, отчество и первую букву фамилии обладателя карты. Данные о владельцах кредиток полностью совпали с указанными в документе.

Эксперты по кибербезопасности подтвердили, что это новая база, а не та, что утекла в начале октября. В частности, в этом списке, помимо кредитных карт, указаны и потребительские займы. В объявлении о продаже прямо сказано: «Есть те, кто находится на просрочке и ждёт звонок от банка, чтобы решить вопрос». Таким образом, с помощью этих сведений злоумышленники могут, например, убеждать должников переводить деньги на поддельные счета.

Доступные тестовые образцы базы проверили и авторы Telegram-канала «Утечки информации»: по их словам, один из номеров принадлежал клиенту Сбербанка с другим именем и фамилией, а ещё пара номеров не идентифицировались как принадлежащие клиентам этого банка.

Изучив базу, аналитики пришли к выводу, что в выгрузке оказались данные из десяти территориальных банков (всего у Сбербанка их 11). Основатель DeviceLock Ашот Оганесян предположил, что, судя по возможности получить аудиозаписи разговоров, данные утекли из внешнего колл-центра, который обеспечивает работу с должниками.

Сейчас объявление уже закрыто, а продавец, который, по его собственному признанию, выступает перекупщиком, удалил засвеченный аккаунт из Telegram.

В конце сентября на теневых ресурсах появились объявления о продаже базы данных 60 млн кредитных карт клиентов Сбербанка. Эту утечку банк признал частично — только то, что в итоге оказалось в открытом доступе. Виновника уже вычислили.

Текст: Антон Иванов

Фото: Константин Евстегнеев, CC BY-SA 3.0

У «Секрета фирмы» есть канал в Telegram. Подписывайтесь!

Поделитесь историей своего бизнеса или расскажите читателям о вашем стартапе
Ещё по теме