Данные более 60 миллионов кредитных карт Сбербанка оказались на черном рынке

Объявление о продаже «свежей базы крупного банка» появилось на специализированном форуме, заблокированном Роскомнадзором

Персональные данные более 60 миллионов владельцев кредитных карт Сбербанка оказались на черном рынке, сообщает «Коммерсантъ» со ссылкой на основателя DeviceLock Ашота Оганесяна. Объявление о продаже базы банка появилось на одном из специализированных форумов, заблокированном Роскомнадзором.

Потенциальным покупателям предлагается пробный фрагмент базы из данных 200 клиентов из разных городов.

Для проверки достоверности базы корреспонденты «Коммерсанта» попросили продавца найти в ней свои данные. Продавец предоставил информацию о кредитных картах журналистов газеты, которая включала в себя сведения по прежним местам работы, изменившиеся за последние три года, а также номера об открытии кредитных карт и ФИО сотрудников, подписавших их.

Источник газеты, близкий к ЦБ, после изучения открытого фрагмента базы данных заявил, что предлагаемый продавцами текстовый файл является «выгрузкой базы» Сбербанка. Другие собеседники издания считают, утечка могла произойти непосредственно из банка с привлечением человека, имевшего административный доступ. «На это косвенно указывает тот факт, что номера банковских карт в базе не маскированы», — рассказал один из экспертов.

Ашот Оганесян считает, что последствия утечки информации о кредитных картах клиентов Сбербанка будут заметны для всего банковского рынка. По его словам, если в базе находятся данные резидентов или граждан Евросоюза, то банку, в соответствии с законом GDPR (General Data Protection Regulation/Генеральный регламент по защите данных), придется уведомить об инциденте Еврокомиссию.

«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка», — отметил он.

Официально в ЦБ РФ на запрос издания не ответили, а в Роскомнадзоре пообещали проверить эту информацию. В свою очередь Сбербанк выпустил пресс-релиз, в котором сообщается о возможной утечке данных 200 клиентов и начале внутреннего расследования. При этом в банке утверждают, что внешних кибератак зафиксировано не было, а основной версией инцидента в кредитной организации называют преступные действия одного из сотрудников.

В Сбербанке также заверили, что похищенная информация не позволит злоумышленникам списать деньги с карт клиентов, поскольку в ней отсутствуют коды CVV. Кроме того, указали в банке, каждая транзакция без предъявления карты подтверждается одноразовым смс паролем.

В конце августа Ассоциация банков России (АБР) предложила внести поправки в закон «О национальной платежной системе» и антиотмывочный закон, которые позволят на срок до 30 дней блокировать карты при подозрении в зачислении на них мошеннически списанных средств. В АБР считают, что нововведение поможет бороться с выводом похищенных средств со счетов и карт. Независимый эксперт по налогообложению Николай Тютюрюков в беседе с Daily Storm поддержал инициативу и подчеркнул, что в последнее время участились случаи хищений с банковских карт россиян.