Сбербанк сделал официальное заявление:
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка.
В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети.
Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.
Ранее основатель компании DeviceLock Ашот Оганесян обнаружил на специализированном форуме предложение о продаже базы с данными по 60 млн кредитных карт Сбербанка (действующих и закрытых). Эксперт изучил предоставленные продавцом демо-материалы и убедился, что, по крайней мере, 240 предоставленных записей содержат данные реальных людей, владельцев карточных счетов в Сбербанке. Затем Оганесян обратил внимание "Коммерсанта" на лот. Как убедились и журналисты, данные о сотрудниках редакции в базе тоже совпали с реальными. В базе нашлись сведения о местах работы корреспондентов (в том числе менявшихся за последние 3 года), номера телефонов и карт, данные об операциях и другие верные сведения.
Продавец, получивший бесплатную нативную рекламу в одной из главных газет России, оценивает стоимость одной записи в базе в 5 рублей.
Собеседник "Коммерсанта", близкий к "Банку России", изучил демонстрационные материалы продавца и уверенно заявил, что по крайней мере строки в демо-материалах, представляют из себя "выгрузку базы" Сбербанка. Версию подтвердили специалисты по информационной безопасности:
Информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, "на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы".
Ашот Оганесян считает, что в продажу на "чёрный рынок" (доступ на форум заблокирован Роскомнадзором) впервые попала "самая большая и подробная база" банковских данных — "набор полей действительно поражает". Эксперт считает, что последствия именно этой утечки окажутся чувствительными для всей отрасли.
В июне 2019 года DeviceLock обнаружила в интернете базу с данными конкурирующих Альфа-банка, ОТП-банка, ХКФ-банка, в базе оказались сведения о 900 тыс. россиян.
Проверками займутся в Роскомнадзоре, ЦБ и, вероятно, в правоохранительных органах. Если в базе найдут данные резидентов или граждан Еевросоюза, банку, по закону о GDPR, придётся уведомить об утечке Еврокомиссию (с весны 2018 года, за небрежное отношение к пользовательским данным, утечки, нарушения регламентов обращения ПД европейцев — бизнес наказывается штрафом до €20 млн или изъятием до 4% годового оборота, европейские правила экстерриториальны).
Мне вообще кажется, что это информационная атака, а не кража данных. Атака, естественно, совмещённая с кражей данных для нужд атаки.
Ашотик ещё такой милый. Увидел! На форуме! Побежал в Коммерсант глубокой ночью! Дал комментариев! Быстрее, быстрее, быстрее дайте мне мои 15 минут славы!
Интересно, приходила ли ему в голову мысль сначала позвонить или написать в Сбер? Думаю, нет.