Персональные данные более 60 миллионов владельцев кредитных карт Сбербанка оказались на черном рынке, сообщает «Коммерсантъ» со ссылкой на основателя DeviceLock Ашота Оганесяна. Объявление о продаже баз данных банка появилось на одном из специализированных форумов, заблокированном Роскомнадзором. Потенциальным покупателям предлагается пробный фрагмент базы из данных 200 клиентов из разных городов. В Сбербанке начали внутреннее расследование в связи с возможной утечкой данных.
Для проверки достоверности базы корреспонденты «Коммерсанта» попросили продавца найти в ней свои данные. Продавец предоставил информацию о кредитных картах журналистов газеты, которая включала в себя сведения по прежним местам работы, изменившиеся за последние три года, а также номера об открытии кредитных карт и ФИО сотрудников, подписавших их.
Источник газеты, близкий к ЦБ, после изучения открытого фрагмента базы данных заявил, что предлагаемый продавцами текстовый файл является «выгрузкой базы» Сбербанка. Другие собеседники издания склоняются к мнению, что утечка могла произойти непосредственно из банка с привлечением человека, имевшего административный доступ. «На это косвенно указывает тот факт, что номера банковских карт в базе не маскированы», — рассказал один из экспертов.
Ашот Оганесян считает, что последствия утечки информации о кредитных картах клиентов Сбербанка будут заметны для всего банковского рынка. По его словам, если в базе находятся данные резидентов или граждан Евросоюза, то банку, в соответствии с законом GDPR (General Data Protection Regulation/Генеральный регламент по защите данных), придется уведомить об инциденте Еврокомиссию. «Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка», — отметил он.
Официально в ЦБ РФ на запрос издания не ответили, а в Роскомнадзоре пообещали проверить эту информацию. В свою очередь Сбербанк выпустил пресс-релиз, в котором сообщается о возможной утечке данных 200 клиентов и начале внутреннего расследования. При этом в банке утверждают, что внешних кибератак зафиксировано не было, а основной версией инцидента в кредитной организации называют преступные действия одного из сотрудников.
В Сбербанке также заверили, что похищенная информация не позволит злоумышленникам списать деньги с карт клиентов, поскольку в ней отсутствуют коды CVV. Кроме того, указали в банке, каждая транзакция без предъявления карты подтверждается одноразовым смс-паролем.
В конце августа Ассоциация банков России (АБР) предложила внести поправки в закон «О национальной платежной системе» и антиотмывочный закон, которые позволят на срок до 30 дней блокировать карты при подозрении в зачислении на них мошеннически списанных средств. В АБР считают, что нововведение поможет бороться с выводом похищенных средств со счетов и карт. Независимый эксперт по налогообложению Николай Тютюрюков в беседе с Daily Storm поддержал инициативу и подчеркнул, что в последнее время участились случаи хищений с банковских карт россиян.