Сбербанк частично раскрыл карты
Пять вопросов об утечке данных клиентов крупнейшей кредитной организации
Подробные данные о держателях кредитных карт Сбербанка утекли в Сеть. Организация подтвердила хищение информации о 200 клиентах и проверяет возможность более масштабных хищений. РБК разбирался, как это могло произойти.
Сбербанк признал утечку данных 200 своих клиентов — данные держателей его кредитных карт оказались выложены в интернет. Записи содержат подробную персональную и финансовую информацию, например лимиты по выпущенным кредиткам, дату предстоящего платежа и его сумму.
Как пояснили в кредитной организации, данные относятся к клиентам уральского филиала банка, они были проинформированы об утечке, а их карты перевыпущены. Пин-кодов и CVV карт в базах нет, атак на пострадавших не зафиксировано, уверили в Сбербанке.
Сбербанк проверяет, была ли утечка более масштабной, чем подтвердилось к настоящему времени, но опровергает сообщение продавца украденной базы о наличии записей 60 млн клиентов. За все время банк выпустил всего около 40 млн кредитных карт, сейчас действует 18 млн, пояснил представитель Сбербанка.
Какие версии утечки рассматривает Сбербанк
Утечка данных из Сбербанка, скорее всего, вызвана действиями одного из его сотрудников, это основная версия, сообщил представитель кредитной организации. Такой сотрудник должен был иметь доступ к операционным системам банка, но в Сбербанке не исключают, что кто-то из сотрудников физически разобрал компьютер с соответствующей информацией и изъял жесткий диск. В настоящее время Сбербанк разыскивает виновника (есть подозреваемый) и проверяет другие версии инцидента (фотографирование экрана, компиляция цифр). Компьютерной атаки и взлома не было, уверены в Сбербанке.
Утечку в банке зафиксировали до того, как о ней написали СМИ — первым об этом сообщил «Коммерсантъ». Сбербанк создал специальный штаб по расследованию инцидента, а также предупредил ЦБ, Роскомнадзор и правоохранителей. Роскомнадзор направил в Сбербанк письмо, в котором указал на необходимость проверки, но отметил, что утечку данных не фиксирует.
Могла ли утечь вся база
Большинство крупных компаний и специалистов в сфере информационной безопасности отказались официально комментировать ситуацию с утечкой, так как имеют коммерческие отношения со Сбербанком.
Источник РБК в одной из компаний в сфере кибербезопаcности полагает, что, судя по содержанию «тестового куска» базы на 200 человек и наличию в нем служебных полей W4, злоумышленники физически вынесли из банка полную резервную копию базы данных клиентов. «Бэкап данных часто делают на ленты (носитель информации в виде гибкой ленты, покрытой магнитным слоем. —