По данным российских СМИ, персональные данные всех клиентов Сбербанка могли оказаться на черном рынке. Как сообщает Ашот Оганесян, основатель программы защиты от кражи данных DeviceLock, в сети обнаружено предложение о продаже данных по более 60 млн кредитных карт Сбербанка. Ссылка была выявлена несколько дней назад на форуме, заблокированным Роскомнадзором. Оганесяну удалось получить пробный фрагмент базы с данными по 200 случайным клиентам.
Как заявляет продавец данных, в его распоряжении есть 11 частей базы - по числу территориальных отделений Сбербанка. Он предлагает их к продаже из расчета 5 руб. за каждую строку базы. Фрагмент содержит данные по клиентам Сбербанка, обслуживаемым Уральским филиалом с подробными сведениями: детальные персональные данные, подробная справочная информация о кредитной карте и совершенных операциях. По предположительной отметке «операционного дня» можно сделать предположение, что инцидент произошел 24 августа 2019 года. Присутствие в базе слов way4 и w4 позволяет сделать вывод, что речь идет о процессинговой платформе Way4, которой Сбербанк пользуется уже около 10 лет.
Полученные сведения были предоставлены в распоряжение Сбербанка, где обещали проверить их достоверность. Представитель банка сразу сообщил, что угрозы для компрометации финансовых средств нет. С его слов, похищенная информация не позволяет вывести деньги с карт клиентов, поскольку среди них отсутствуют коды CVV. Без них любая транзакция требует подтверждения через одноразовый SMS-пароль.
По мнению участников рынка, если речь идет о 60 млн записей по операциям с кредитными картами Сбербанка, то эти данные затрагивают не только действующие, но и закрытые карты банка. Активная карточная база Сбербанка сегодня насчитывает «только» 18 млн записей.
Если сведения об утечке подтвердятся, то этот инцидент может стать самой масштабной утечкой в российском банковском секторе.
Со слов эксперта, изучившего пробный фрагмент, речь идет о полной выгрузке данных, которую мог совершить только сотрудник Сбербанка, находясь на его территории. По мнению Оганесяна, это может быть сохраненная копия из Way4.
Расследование инцидента взяли под контроль ЦБ и Роскомнадзор. Если среди потенциально затронутых клиентов окажутся резиденты или граждане ЕС, тогда Сбербанку, в соответствии с законом GDPR, придется уведомить Еврокомиссию об инциденте.