Про новую утечку данных клиентов Сбербанка

Три недели назад газета «Коммерсант» первой сообщила о возможной утечке данных 60 млн клиентов Сбербанка. С этого момента и развивается эта скандальная история.

Статья опиралась на данные DeviceLock, согласно которым в августе на заблокированном Роскомнадзором форуме появилась база с личными данными и информацией о кредитных картах — как утверждалось, клиентов Сбербанка.

Оганесян из DeviceLock тогда проверил 240 записей из базы и выяснил, что они содержат «данные реальных людей, имеющих карточные счета в Сбербанке».

Реагируя на публикацию, Сбербанк сначала подтвердил возможную утечку учетных записей по кредитным картам, которая затронула «как минимум 200 клиентов банка», а затем указала на злоумышленника — им оказался сотрудник банка 1991 года рождения, руководитель сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных.

Позже банк заявил, что этот сотрудник, по его версии, продал не 200, а 5000 учетных записей кредитных карт уральского отделения. «Значительное количество [записей] являются устаревшими и неактивными», — успокаивали в Сбербанке.

При этом в Сбербанке настаивали, что утечка данных 60 млн клиентов, о возможности которой писал «Коммерсант», невозможна даже в теории, поскольку банком было выпущено всего 40 млн кредитных карт, из них активных сейчас только 18 млн карт.

Комментируя новую статью газеты, в банке снова заявили, что ничего не произошло. «В Сбербанке и его дочерних компаниях таких утечек персональных данных клиентов не было», — говорится в заявлении пресс-службы.

10 октября глава Сбербанка Герман Греф заявлял, что после утечки данных, которую кредитная организация признала, банк существенно изменит систему защиты от внутренних проникновений в систему, поскольку подозреваемым оказался сотрудник организации.

«Мы строили очень сильную защиту снаружи, и мы считаем, что мы ее построили. Я думаю, что она соответствует у нас лучшим мировым практикам. Но всегда, конечно, самая большая проблема — это уязвимость изнутри», — говорил Греф.

«Утечки бывают даже из таких организаций, как ЦРУ», — подчеркивал он.

Персональные данные клиентов Сбербанка на миллион строк продаются в даркнете по 30 рублей за строчку, пишет в четверг «Коммерсант». Ранее издание сообщало о возможной утечке данных 60 млн клиентов госбанка, банк отрицал такую возможность, но признавал, что 5 тысяч карт были скомпрометированы.

В новой публикации «Коммерсанта» говорится, что еще одно предложение купить базу клиентов Сбербанка появилось на одном из теневых ресурсов (в даркнете) 13 октября. В этом объявлении сказано, что база содержит около миллиона строк с полными данными — паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности.

В список, как следует из заметки, вошли те клиенты, которые звонили в банк. Продавец при желании предлагает также предоставить запись этого разговора, пишет «Коммерсант». Собеседник издания утверждает, что аудиозаписи выгружают «с рабочего места». То есть в дневное время, поясняет газета.