Роскомнадзор подтвердил утечку персональных данных 1 млн клиентов МТС Банка
Роскомнадзор провел проверку сообщений о возможной утечке персональных данных около 1 млн клиентов МТС Банка. Расследование подтвердило ее, сообщили «Ведомостям» в надзорном ведомстве. Представитель службы добавил, что административный протокол о нарушении законодательства о защите персональных данных будет направлен в суд.
Юридическим лицам за утечку персональных данных грозит штраф от 60 000 рублей до 100 000 рублей. Размер штрафа не зависит от числа граждан, чьи данные могли получить злоумышленники. База данных более чем 1 млн клиентов МТС Банка распространяется в Telegram-каналах, сообщал «Коммерсантъ» 8 сентября. Ответственность за утечку взяли на себя проукраинские хакеры из Nice Leak Bro (NLB). Хакеры заявили, что получили доступ к данным 21 млн человек.
По мнению экспертов, инцидент мог произойти из-за перевода части работы компании на аутсорсинг. Опубликованный архив содержал файлы с тремя видами сведений: первый включает в себя общие данные о держателях карт (ФИО, номера телефонов, ИНН, гражданство); второй — неполный номер банковской карты (шесть первых и четыре последние цифры — так называемые маскировочные номера), дату выпуска и истечения срока действия и тип карты (дебетовая, кредитная, корпоративная); третий — 50 000 уникальных адресов электронной почты держателей карт. Основатель сервиса по поиску утечек DLBI Ашот Оганесян подтвердил подлинность сведений, оказавшихся в открытом доступе.
В МТС Банке газете тогда заявили, что утечка банковской тайны не подтвердилась: счета клиентов вне опасности — представленная в базе информация не позволяет совершать финансовые операции от их лица. В банке отметили, что в базе есть «персональные данные граждан и маскированные номера банковских карт (мера защиты, в рамках которой номер банковской карты виден частично), выпущенных различными банками». Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в конкретном банке, а «у ретейлера либо поставщика цифровых сервисов, которые хранят и обрабатывают данные именно в таком виде», предположили в кредитной организации.
Инфраструктура МТС Банка не подвергалась атакам, добавили в организации. В отчетности банка за 2022 год говорится, что число его клиентов превысило 3,5 млн человек. В ГК InfoWatch считают, что заявленное хакерами число в 21 млн человек могло стать результатом завладения ими базой данных клиентов различных бизнесов группы МТС. База сотовых абонентов МТС в первом квартале 2023 года составила 79,8 млн человек. В 2022 году в России утекло более 667 млн записей с персональными данными, что в 4,5 раза больше населения страны: статистика за год выросла в 2,7 раза, сообщала InfoWatch.
Хакеры из NLB утверждали, что основную часть утечки выставят на продажу. Собеседник газеты на рынке кибербезопасности отметил, что NLB, как правило, не зарабатывает на утечках, «но они стремятся нанести наибольший ущерб компаниям и их клиентам». С весны 2022 года группировка активно атакует финансовые корпорации, IT-компании из сферы e-commerce и ретейлеров. Среди их целей — не менее полусотни организаций, в том числе в 2023 году — сеть гипермаркетов «Ашан», «Твой дом», сервисы «Сбера» и другие.