Данные о 60 млн кредитных карт Сбербанка могли оказаться на черном рынке, пишет «Коммерсантъ». Эксперты считают информацию подлинной и называют утечку самой крупной в российском банковском секторе. В банке заявляют, что заявленный объем скомпрометированных карт невозможен - общий объем активных кредитных карт банка в несколько раз меньше
Персональные данные клиентов Сбербанка оказались на черном рынке, пишет «Коммерсантъ». Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на заблокированном Роскомнадзором специализированном форуме, сообщает газета. Продавцы уверяют, что владеют данными о 60 млн кредитных карт как действующих, так и закрытых. Активных карт у Сбербанка сейчас около 18 млн.
Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк. Фрагмент содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка, — их детальные персональные данные, подробную финансовую информацию о кредитной карте и операциях. Для проверки этих данных «Коммерсантъ» нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.
Также корреспонденты газеты попросили найти в базе данные о себе. Продавец предоставил информацию о кредитных картах журналистов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Компания DeviceLock, специализирующейся на защите от утечки персональных данных, также проанализировала около 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». «Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка, — сказал газете основатель компании Ашот Оганесян. — Набор полей действительно поражает».
По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 рублей.
Сбербанк выпустил пресс-релиз, в котором сообщил о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников. Представитель банка уточнил, что пока не ясно, подлинна ли информация об утечке. В банке подчеркивают, что заявленный объем скомпрометированных карт (60 млн) невозможен, поскольку «общий объем активных карт в несколько раз меньше». В банке заверяют, что снять деньги с карты на основе похищенной информации будет невозможно, так как в базе отсутствуют CVV-коды, а каждая транзакция без предъявления карты подтверждается по СМС.
Роскомнадзор сообщил «Коммерсанту», что «в рамках своей компетенции» проверит информацию о возможном нарушении законодательства о персональных данных. «Меры реагирования будут приниматься после установления признаков нарушений», — указало ведомство.