Данные людей, которые хотели взять кредит в банке «Дом.РФ», выставили на продажу в интернете. Эксперты считают возможным использование утекшей информации мошенниками для онлайн-оформления займов и социальной инженерии
Более 100 000 записей с данными людей, подававших заявки на кредит в банке «Дом.РФ», выставили на продажу в теневом интернете. В банке связали утечку с уязвимостью при подаче заявок на кредит наличными, передает РБК.
Объявление о продаже данных появилось на специализированном сайте в интернете 3 апреля, в нем указывается, что предлагаемая к покупке база содержит 104 800 записей. Это данные, которые собирались с февраля 2020 год по март 2021 года. В объявлении была опубликована в качестве примера запись одного из заявителей на кредит с полным набором данных. Это данные, необходимые для оформления кредита: ФИО, дата рождения, сумма и вид кредита (потребительский), номер телефона, почтовый ящик, паспортные данные, ИНН, СНИЛС, домашний адрес, адрес места работы, должность, размер дохода, информация о доверенном лице (ФИО, номер телефона, кем приходится заемщику и т.п.) и другие. При минимальном заполнении заявки в сеть могли утечь сумма потенциального кредита, номер телефона и адрес электронной почты.
Как отмечает издание, на звонки ответили шесть из десяти человек, указанных в «пробнике» базы. Четверо из них подтвердили, что обращались в банк или являются его клиентами. Двое сообщили, что подавали заявку несколько дней назад, а двое опрошенных подтвердили информацию из пробника, но отказались рассказать о своих заявках на кредит. По данным стороны, которая продает базу, ее полный вариант стоит 100 000 рублей, данные за 2021 год продаются по 15 рублей за строку, за второе полугодие 2020-го — по 10 рублей, за первое — по 7 рублей. По словам представителя банка, это первый случай, когда мошенники получили частичный доступ к внешним заявкам на кредиты. В банке отметили, что утечка произошла не из их учетных систем, а безопасности счетов клиентов ничего не угрожает. Службы банка проведут необходимые «работы по предотвращению распространения данных».
Личные данные и номера 500 млн пользователей Facebook попали в сеть
Как рассказал представитель банка «Дом.РФ», утечка данных произошла из-за уязвимости, которая уже устранена. Уязвимость была обнаружена в дистанционной подаче первичных заявок на получение кредита наличными. «В профилактических целях служба безопасности банка «Дом.РФ» проверила целостность работ всех других систем банка и не выявила нарушений», — уточнил собеседник издания. Он добавил, что данные, которые могли утечь, не позволяют получить доступ к счетам клиентов.
Собеседник издания на финансовом рынке сообщил, что Центробанк начала проверку по факту утечки данных, а оператор call-центра банка сказал, что заявку на кредит наличными можно подать по телефону или через сайт.
Данные элиты русскоязычных хакеров утекли в сеть
Управляющий партнер юридической компании «Иккерт и партнеры» Павел Иккерт предупредил, что полный набор данных заявителей может использоваться для дистанционного оформления кредита на человека без его ведома в небольших банках, разного рода кредитных кооперативах и микрофинансовых организациях. Но в крупных банках этих данных будет недостаточно. Юрист добавил, что случаев оформления кредитов без ведома клиентов огромное количество, «причем на деле исключительно трудно доказать, что кредит был оформлен злоумышленниками, а не человеком, чьи персональные данные «утекли» в Сеть, даже если факт утечки подтверждается возбуждением уголовного дела». По словам Иккерта, технически можно заблокировать страницы, где размещаются скомпрометированные данные в открытом доступе, но предотвратить их передачу невозможно. По мнению юриста, пострадавшим следует в случае утечки сменить паспорт и подать в полицию или прокуратуру заявление для возбуждения дела об утечке данных. Директор по стратегическим коммуникациям Infosecurity a Softline Company Александр Дворянский добавил, что данные заявок на кредиты могут использоваться мошенниками и в целях социальной инженерии (введения клиентов в заблуждение для получения их денег или доступа к их счетам).
Данные 21 млн пользователей бесплатных VPN-сервисов для Android выставили на продажу в сети
По данным исследования InfoWatch, за девять месяцев 2020 года около 80% утечек данных из российских компаний произошли из-за внутренних нарушений, более 72% — по вине сотрудников (это вдвое выше, чем в целом по миру). Финансовый сектор занимает второе место по частоте краж данных (18,9% инцидентов), уступая только хайтек-индустрии (21,9%). По данным Центробанка, за 2020 год мошенники украли у банковских клиентов около 9 млрд рублей. Самый популярный способ — социальная инженерия, при которой используются персональные данные потенциальной жертвы, полученные из продаваемых баз.