Из-за одного сотрудника Сбербанка данные 60 миллионов карт утекли в интернет

Сегодня стало известно о том, что в сеть могла «утечь» база данных Сбербанка по банковским картам. Ее предлагают к покупке на черном рынке. Продавцы уверяют, что располагают данными о 60 миллионах карт, среди которых большая часть неактивны (всего у банка 18 миллионов активных карт).

Основатель DeviceLock Ашот Оганесян связался с продавцами и попросил предъявить доказательства того, что база с данными карт настоящая. Те предоставили ему фрагмент на 200 сток – и эти данные принадлежат клиентам Сбербанка из Уральского региона.

В предоставленном фрагменте есть полные персональные данные, подробная финансовая информация о карте и операциях по ней. Более того, в базе есть указание, в какой операционный день база была скопирована – это 24 августа 2019 года. Также в базе есть идентификаторы way4 или w4, которые явно относятся к процессинговой платформе банка.

Оганесян проверил данные из присланного ему фрагмента базы – нашел клиентов по именам в социальных сетях, а также проверил информацию о ФИО получателя, введя номер телефона клиента в форму отправки денег с карты. Также несколько корреспондентов «Коммерсанта» проверили свои данные в базе – у них совпали все данные, в том числе номера договоров и данные сотрудников, которые их подписали.

Базу продают по 5 рублей за каждую строчку, соответственно, вся она может стоить до 300 миллионов рублей. Предположительно, в ней могут находиться данные по всем кредитным картам, выданным Сбербанком.

Эксперты указывают на то, что база с картами получена через «выгрузку базы», которая регулярно проводится банками. Соответственно, она не использовалась для «пробива» данных о клиентах банка силовыми органами.

В самом Сбербанке подтвердили утечку части данных о 200 клиентах (речь, видимо, шла о тестовом фрагменте базы) – по мнению банка, в утечке виновен один из сотрудников банка. Информацию об утечке данных остальных 60 миллионов карт в Сбербанке пока проверяют.

Также в банке заверили, что угрозы средствам клиентов нет – по тем данным, что утекли в сеть, невозможно провести какое-либо списание денег по счетам.