Сбербанк назвал новое число жертв утечки данных клиентов

Теперь их 5000, хотя еще в субботу Герман Греф говорил о 200 пострадавших
Герману Грефу, возможно, снова придется извиняться перед держателями кредитных карт Сбербанка
Герману Грефу, возможно, снова придется извиняться перед держателями кредитных карт Сбербанка / Андрей Гордеев / Ведомости

Стоило президенту Сбербанка Герману Грефу извиниться за утечку данных 200 клиентов банка, как в интернет попала новая порция конфиденциальной информации, на этот раз – как минимум о 2000 держателей карт крупнейшего банка. Таблица на 1999 строк предположительно с данными клиентов Сбербанка выложена на одном из форумов теневого интернета утром в понедельник, 7 октября. В ней содержатся ФИО, паспортные данные, номер карты и счета, лимит по карте, срок действия, место работы и жительства и др. CVV/СVC-кодов, кодовых слов и пин-кодов карт в таблице нет.

Корреспонденты «Ведомостей» обзвонили нескольких указанных в таблице людей – они подтвердили, что являются клиентами Сбербанка и держателями указанных в таблице кредитных карт. Более того, некоторым из них за последние сутки уже звонили мошенники и пытались выманить CVV/CVC-код, который, как и пин-коды или кодовые слова, по банковской технике безопасности никогда и никому нельзя сообщать по телефону.

Таблица с данными 2000 клиентов Сбербанка может быть частью более масштабной истории – возможно, крупнейшей в России утечкой данных. О ней стало известно на прошлой неделе: «Коммерсантъ» сообщал, что в даркнете появилось предложение о продаже данных 60 млн держателей кредитных карт Сбербанка. Банк заявил, что столько карт не выпустил за все время работы, а пострадавших всего 200, но отнесся к ситуации предельно серьезно. Для расследования был создан штаб во главе с первым зампредом правления госбанка Александром Ведяхиным. За сутки банк нашел виновного, и Греф объявил, что инцидент исчерпан.

Данные из Сбербанка фактически украл его сотрудник, сообщал банк: это 28-летний руководитель сектора в одном из бизнес-подразделений банка, который имел доступ к базам данных и уже дал признательные показания. Сбербанк заверил, что угроза утечки клиентских данных, помимо уже выявленной, отсутствует.

Сбербанк теперь говорит об утечке данных 5000 клиентов. «Установлено, что в конце сентября сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом интернете в совокупности 5000 учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными, – сказано в сообщении банка. – Данные карты перевыпущены, угрозы для средств клиентов нет. Служба безопасности банка с правоохранительными органами изъяли все украденные сведения».

Сейчас можно лишь предполагать, что на самом деле были похищены сведения не о 200 держателях карт банка, а гораздо больше, говорит руководитель отдела аналитики Searchinform Алексей Парфентьев: «Это абсолютно нормальная практика – при продажах баз данных для демонстрации скидывать в доступ небольшой кусочек выгрузки. Проблема в том, что Сбербанк очень скоропостижно решил сделать выводы по кусочку с данными о 200 клиентах, который был опубликован, пусть и в теневом интернете». Суть в том, что если в доступ попало еще 2000, то расследование было проведено некачественно и банк не знает, сколько утекло в действительности данных, либо его результаты умышленно умалчиваются, резюмирует эксперт.

Возможно, злоумышленник похитил информацию более чем о 200 клиентах и до того, как его поймали, успел выбросить их на черный рынок, рассуждает бизнес-консультант по безопасности Cisco Алексей Лукацкий, или это информационная атака на Сбербанк и в новой «базе данных» лишь компиляции того, что уже было ранее опубликовано. О массовой утечке можно было бы говорить, если бы речь шла о данных миллионов клиентов, полагает Лукацкий, напоминая, что злоумышленники не могут ничего сделать с номерами карт без номера кода безопасности.

«Пока информации о возбуждении уголовного дела нет, налицо лишь признаки незаконного получения и разглашения сведений, которые составляют банковскую тайну (ст. 183 УК)», – говорит партнер FMG Group Михаил Фаткин. Максимальное наказание по этой статье – принудительные работы на срок до 5 лет либо лишение свободы до 7 лет, напоминает он.

Представители Центробанка и Роскомнадзора не смогли оперативно предоставить комментарии.

В подготовке статьи участвовали Артур Арутюнов и Анастасия Скрынникова