Личные данные россиян продолжают утекать в Сеть — теперь из Сбера и Налоговой

Недавно британские исследователи обнаружили налоговую базу с 2006 по 2016 год двадцати миллионов граждан РФ, а на днях стало известно о крупной утечке данных 60 миллионов владельцев кредитных карт, предположительно принадлежащих Сбербанку.  

На черный рынок попали данные 60 млн владельцев кредитных карт Сбербанка. Утечку называют самой крупной в российском банковском секторе, сообщает «Ъ».

Данные клиентов Сбербанка оказались в открытом доступе. «Свежая база крупного банка» продается на черном рынке, она содержит в себе информацию о 60 млн кредитных карт и операциях. “Ъ” проверил информацию из «пробника». https://t.co/w8oRlVQ0ZD pic.twitter.com/JcSwn9KC4j

— Коммерсантъ (@kommersant) October 3, 2019

Данные продают на одном из форумов, заблокированных Роскомнадзором. Покупателям предлагают проверить подлинность базы на пробном фрагменте, содержащем данные 200 клиентов Уральского территориального Сбербанка.

Помимо персональных данных, в базе отображается также подробная информация об операциях по кредитной карте.

Если заявление продавца правдиво и база действительно содержит информацию о 60 млн клиентов, утечка могла затронуть данные о всех кредитных картах Сбербанка.

«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка. Набор полей действительно поражает», — заявил основатель DeviceLock Ашот Оганесян, который первый обнаружил продающиеся данные.

Данные 60 миллионов клиентов Сбербанка утекли в интернет, сообщает Коммерсант: https://t.co/4hf8Bee1rt pic.twitter.com/aukO6BCVak

— Лентач (@oldLentach) October 3, 2019

Финансовая организация подтвердила о наличии проблемы, правда, в пресс-релизе идёт речь пока только о 200 клиентах. Однако сами продавцы уверяют, что в их распоряжении находится информация по 60 млн кредитных карт, как действующих, так и закрытых (в настоящее время у банка насчитывается порядка 18 млн активных карт).

В банке заверили, что угрозы снятия клиентских средств с карт нет — среди похищенной информации нет кодов CVV. Кроме того, каждая транзакция без предъявленной карты в Сбербанке подтверждается СМС-паролем.

Судя по всему, утечка могла произойти в конце августа текущего года. Указанные в базе данных слова way4 и w4 вероятно относятся к используемой Сбербанком процессинговой платформе Way4.

Недавно специалисты британской компании Comparitech, совместно с известных ИБ-экспертом Бобом Дьяченко, обнаружили в открытом доступе никак не защищенный кластер Elasticsearch Amazon Web Services, содержащий личную информацию о 20 млн россиян.

Database of 20M+ tax records including sensitive personal and financial information of Russian citizens was found exposed online in an AWS Elasticsearch cluster (Paul Bischoff/Comparitech) https://t.co/rRpV6RQrKo #TechNews #TechTips pic.twitter.com/0TrP3ROr3u

— Vanuatu Tech Feed (@vanuatutech) October 2, 2019

База содержала в себе личную информацию и данные граждан по налогам за период с 2009 по 2016 год, в том числе номера паспортов, адреса, номера телефонов, место работы и сведения о налоговых выплатах.

Дьяченко нашёл базу в середине сентября 2019 года и сообщил об этом её владельцу, который находится в Украине. Вскоре после этого владелец, имя которого неизвестно, закрыл доступ к базе.

Comparitech предупреждает, что базу могли изучить мошенники и воспользоваться данными для фишинговых атак, кражи денег или получения доступа к другой персональной информации.

Представитель ФНС России заявил, что часть данных, упоминаемых Comparitech, вообще не собирается и не хранится в системах налоговой службы, а формат и структура данных не соответствует форматам хранения информации, применяемых в ведомстве.