Герман Греф повысил число жертв

Бизнес

Герман Греф повысил число жертв

Глава Сбербанка признался, что украденных данных карт гораздо больше, чем официально объявлялось.
08.10.2019

Стоило президенту Сбербанка Герману Грефу извиниться за утечку данных 200 клиентов банка, как в интернет попала новая порция конфиденциальной информации, на этот раз – как минимум о 2000 держателей карт крупнейшего банка. Таблица на 1999 строк предположительно с данными клиентов Сбербанка выложена на одном из форумов теневого интернета утром в понедельник, 7 октября. В ней содержатся ФИО, паспортные данные, номер карты и счета, лимит по карте, срок действия, место работы и жительства и др. CVV/СVC-кодов, кодовых слов и пин-кодов карт в таблице нет.

Корреспонденты «Ведомостей» обзвонили нескольких указанных в таблице людей – они подтвердили, что являются клиентами Сбербанка и держателями указанных в таблице кредитных карт. Более того, некоторым из них за последние сутки уже звонили мошенники и пытались выманить CVV/CVC-код, который, как и пин-коды или кодовые слова, по банковской технике безопасности никогда и никому нельзя сообщать по телефону.

Таблица с данными 2000 клиентов Сбербанка может быть частью более масштабной истории – возможно, крупнейшей в России утечкой данных. О ней стало известно на прошлой неделе: «Коммерсантъ» сообщал, что в даркнете появилось предложение о продаже данных 60 млн держателей кредитных карт Сбербанка. Банк заявил, что столько карт не выпустил за все время работы, а пострадавших всего 200, но отнесся к ситуации предельно серьезно. Для расследования был создан штаб во главе с первым зампредом правления госбанка Александром Ведяхиным. За сутки банк нашел виновного, и Греф объявил, что инцидент исчерпан.

Данные из Сбербанка фактически украл его сотрудник, сообщал банк: это 28-летний руководитель сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных и уже дал признательные показания. Сбербанк заверил, что угроза утечки клиентских данных, помимо уже выявленной, отсутствует.

Сбербанк теперь говорит об утечке данных 5000 клиентов. «Установлено, что в конце сентября сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом интернете в совокупности 5000 учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными, – сказано в сообщении банка. – Данные карты перевыпущены, угрозы для средств клиентов нет. Служба безопасности банка с правоохранительными органами изъяли все украденные сведения».

Сейчас можно лишь предполагать, что на самом деле были похищены сведения не о 200 держателях карт банка, а гораздо больше, говорит руководитель отдела аналитики Searchinform Алексей Парфентьев: «Это абсолютно нормальная практика – при продажах баз данных для демонстрации скидывать в доступ небольшой кусочек выгрузки. Проблема в том, что Сбербанк очень скоропостижно решил сделать выводы по кусочку с данными о 200 клиентах, который был опубликован, пусть и в теневом интернете». Суть в том, что если в доступ попало еще 2000, то расследование было проведено некачественно и банк не знает, сколько утекло в действительности данных, либо его результаты умышленно умалчиваются, резюмирует эксперт.

Возможно, злоумышленник похитил информацию более чем о 200 клиентах и до того, как его поймали, успел выбросить их на черный рынок, рассуждает бизнес-консультант по безопасности Cisco Алексей Лукацкий, или это информационная атака на Сбербанк и в новой «базе данных» лишь компиляции того, что уже было ранее опубликовано. О массовой утечке можно было бы говорить, если бы речь шла о данных миллионов клиентов, полагает Лукацкий, напоминая, что злоумышленники не могут ничего сделать с номерами карт без номера кода безопасности.

«Пока информации о возбуждении уголовного дела нет, налицо лишь признаки незаконного получения и разглашения сведений, которые составляют банковскую тайну (ст. 183 УК)», – говорит партнер FMG Group Михаил Фаткин. Максимальное наказание по этой статье – принудительные работы на срок до 5 лет либо лишение свободы до 7 лет, напоминает он.

Представители Центробанка и Роскомнадзора не смогли оперативно предоставить комментарии.