Евгений Резник / Югополис

Продавцы на черном рынке уверяют, что владеют данными о 60 млн кредитных карт, как действующих, так и закрытых (у банка сейчас около 18 млн активных карт). Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет.

Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. Первым объявление заметил основатель DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк.

Фрагмент содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.

В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях.

Для проверки этих данных «Коммерсант» нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.

Заявленный продавцом объем информации (60 млн строк) может свидетельствовать о том, что утечка затронула данные о всех кредитных картах банка.

По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 руб. Для проверки гипотезы корреспонденты издания попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах журналистов, в том числе по прежним местам работы. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.

Источник, близкий к ЦБ, изучив «пробник», выразил уверенность в том, что он является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. По словам специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти из банка. Информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы.

Ашот Оганесян утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 млн и может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке. По его мнению, база может являться сохраненной копией (полной или нет) базы данных продукта.

«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка,— отмечает Оганесян.— Набор полей действительно поражает».

По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию

Пока статья готовилась к выпуску, Сбербанк выпустил пресс-релиз, сообщив о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников.

В банке заверили, что угрозы не санкционированных клиентами списаний средств с карт нет.

Похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, пояснили там, кроме того, каждая транзакция без предъявления карты в Сбербанке подтверждается одноразовым СМС-паролем.