Спецпроекты

Безопасность Пользователю Стратегия безопасности ИТ в банках Техника

Сервис Сбербанка «протек» по-крупному. Персональные данные десятков миллионов клиентов в свободном доступе

В сервисах Сбербанка новая утечка персональных данных клиентов. В Сети найден архив с телефонами, адресами и номерами карт десятков миллионов пользователей, присоединившихся к бонусной программе «Сберспасибо». Пострадали как минимум 47,9 млн человек. В 2019 г. в Сеть попал еще более крупный архив с не менее важными данными клиентов – эта утечка затронула свыше 60 млн пользователей банка.

Информационная безопасность – пустой звук

«Дочка» Сбербанка допустила огромную утечку персональных данных своих клиентов – пострадали десятки миллионов участники бонусной программы банка «Сберспасибо». Как сообщил в своем Telegram-канале сервиса разведки утечек данных и мониторинга даркнета DLBI, попавшая в Сеть база данных содержит информацию почти о 50 млн пользователей этой системы, включая персональные данные, которые в дальнейшем могут использоваться для рассылки спама и мошеннических операций.

Архив с данными пользователей «Сберспасибо» имеет объем в пределах 14 ГБ и состоит из двух файлов. Первый «весит» 820 МБ и называется Orders, а второй занимает около 13 ГБ и носит название Users. Предположительно, весь этот массив данных был получен из фирменного приложения «Сберспасибо».

sb600.jpg
Надежность защиты персональных данных клиентов Сбербанка все чаще вызывает большие сомнения

На момент публикации материала представители «Сберспасибо» и Сбербанка не подтверждали информацию об утечке. Впрочем, официального опровержения тоже не было, что повышает вероятность подлинности оказавшихся в свободном доступе сведений. «Мы проверяем информацию и ее достоверность, – сообщили CNews представители «Сберспасибо». – Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных».

Содержимое архива

По словам экспертов DLBI, основной массив данных в архиве – это номера телефонов пользователей – их в нем 47,9 млн, и все уникальные, без повтора. Адресов электронной почты в разы меньше, но тоже в избытке – 3,3 млн уникальных адресов. В итоге по первым мошенники могут звонить, к примеру, от имени службы безопасности самого Сбербанка и предложить перевести деньги на «супернадежный» счет для защиты от мошенников, а на вторые рассылать фишинговые письма с целью украсть банковские данные пользователей.

Последнее, впрочем, может и не потребоваться, поскольку в архиве оказались хешированные номера банковских карт клиентов «Сберспасибо», притом как основной карты, с которой они совершают платежные операции чаще всего, так и всех дополнительных. Все они зашифрованы по древнему и в современном мире, как оказалось, полностью бесполезному алгоритму SHA1. «Не смотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем "восстановить" их реальные значения прямым перебором всех цифр», – утверждают эксперты DLBI.

Как быть тем, кто пострадал в результате утечки, пока неясно. Но едва ли многие из них решат сменить номер и email

Перечисленная информация дополнена датами рождения клиентов сервиса. При должной сноровке мошенники наверняка найдут способ использования и этих сведений в своих корыстных целях, равно как и дата создания и обновления записи пользователей в программе «Сберспасибо» за период с 22 июля 2015 г. по 07 июня 2022 г. Эти данные тоже оказались в архиве.

Хакеры на опыте

По информации сервиса DLBI, за утечку данных клиентов «Сберспасибо», ответственны те же киберпреступники, что ранее «слили» в Сеть информацию информацию онлайн-платформы правовой помощи «Сберправо», «Сберлогистики», образовательного портала GeekBrains и ряда других сервисов. Эксперты сервиса считают, что в ближайшем будущем представители в Рунете появится утверждение представителей «Сберспасибо» о неактуальности представленной в утекшем архиве информации.

За последний месяц это как минимум второй случай «серийной утечки» данных, когда один хакер или группа хакеров выгружает в Сеть информацию нескольких сервисов и компаний. 9 марта 2023 г. CNews освещал случай взлома компании Acronis, занимающейся информационной безопасностью – архив с ее корпоративной информацией попал в интернет через пару дней после утечки в Acer, крупном производителе компьютерной техники.

Оба «слива» – результат действий одного человека или одной группы лиц. Acer сразу признала утечку, а вот Acronis сперва опровергла факт утечки, но потом выпустила «опровержение на опровержение»: как пишет The Register, она призналась в случившемся, но заявила, что в результате инцидента пострадал всего лишь один ее клиент.

Почти рекорд

Если утечку в «Сберспасибо» подтвердят представители сервиса или непосредственно Сбербанка, то, несмотря на гигантское количество пострадавших в результате этого «слива», рекордным он не будет.

В конце 2019 г. в Сети по недосмотру службы безопасности «Сбера» оказалась база данных с информацией о более чем 60 млн клиентах банка. – общедоступными стали их ФИО, паспортные данные и ряд других сведений, включая информацию по кредитам.

Подлинность записей была подтверждена, а утечку допустил один из теперь уже бывших работников банка, решивший подзаработать на продаже базы данных в даркнете.

По итогам расследования этого инцидента Сбербанк заявил CNews, что «сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом интернете в совокупности пять тысяч учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными».

Евгений Черкесов

Короткая ссылка