Подробные данные о держателях кредитных карт Сбербанка утекли в Сеть. Организация подтвердила хищение информации о 200 клиентах и проверяет возможность более масштабных хищений. РБК разбирался, как это могло произойти
Сбербанк признал утечку данных 200 своих клиентов — данные держателей его кредитных карт оказались выложены в интернет. Записи содержат подробную персональную и финансовую информацию, например лимиты по выпущенным кредиткам, дату предстоящего платежа и его сумму.
Как пояснили в кредитной организации, данные относятся к клиентам уральского филиала банка, они были проинформированы об утечке, а их карты перевыпущены. Пин-кодов и CVV карт в базах нет, атак на пострадавших не зафиксировано, уверили в Сбербанке.
Сбербанк проверяет, была ли утечка более масштабной, чем подтвердилось к настоящему времени, но опровергает сообщение продавца украденной базы о наличии записей 60 млн клиентов. За все время банк выпустил всего около 40 млн кредитных карт, сейчас действует 18 млн, пояснил представитель Сбербанка.
Какие версии утечки рассматривает Сбербанк
Утечка данных из Сбербанка, скорее всего, вызвана действиями одного из его сотрудников, это основная версия, сообщил представитель кредитной организации. Такой сотрудник должен был иметь доступ к операционным системам банка, но в Сбербанке не исключают, что кто-то из сотрудников физически разобрал компьютер с соответствующей информацией и изъял жесткий диск. В настоящее время Сбербанк разыскивает виновника (есть подозреваемый) и проверяет другие версии инцидента (фотографирование экрана, компиляция цифр). Компьютерной атаки и взлома не было, уверены в Сбербанке.
Утечку в банке зафиксировали до того, как о ней написали СМИ — первым об этом сообщил «Коммерсантъ». Сбербанк создал специальный штаб по расследованию инцидента, а также предупредил ЦБ, Роскомнадзор и правоохранителей. Роскомнадзор направил в Сбербанк письмо, в котором указал на необходимость проверки, но отметил, что утечку данных не фиксирует.
Могла ли утечь вся база
Большинство крупных компаний и специалистов в сфере информационной безопасности отказались официально комментировать ситуацию с утечкой, так как имеют коммерческие отношения со Сбербанком.
Источник РБК в одной из компаний в сфере кибербезопаcности полагает, что, судя по содержанию «тестового куска» базы на 200 человек и наличию в нем служебных полей W4, злоумышленники физически вынесли из банка полную резервную копию базы данных клиентов. «Бэкап данных часто делают на ленты (носитель информации в виде гибкой ленты, покрытой магнитным слоем. — РБК), и вынести ленту в принципе возможно», — сказал собеседник РБК, указав, что любая система безопасности со временем деградирует: появляются доверенные сотрудники, у которых, например, охрана уже не спрашивает пропуск при каждом посещении и т.д. «Сколько усилий ни вкладывай в защиту — человеческого фактора не избежать», — посетовал он.
Заместитель гендиректора компании Zecurion Александр Ковалев тоже считает кражу резервной копии базы данных на ленточном носителе информации одним из вариантов утечки из Сбербанка. «Что произошло на самом деле — будет понятно после расследования. С одной стороны, база на несколько десятков миллионов карт вполне может утечь из любого банка при должном старании. Это может произойти по вине какого-либо сотрудника, который мог вынести ленточный носитель с резервной копией базы данных. Кроме того, это может быть и кибератака — даже если база данных не имеет прямого подключения к интернету, какой-нибудь хитроумный вирус в теории может позволить злоумышленникам получить доступ к данным», — говорит Ковалев.
Он также отмечает, что в данной ситуации базу данных с миллионами пользователей Сбербанка публично никто не видел, доступ был получен лишь к «тестовому куску» на 200 пользователей. «За всю базу сейчас предлагается заплатить несколько сотен миллионов рублей. Не стоит исключать вариант, что утечь могли только записи об этих 200 клиентах и злоумышленники просто пытаются заработать, распространяя слухи о том, что имеют доступ ко всей базе клиентов Сбербанка», — говорит Ковалев.
Как можно использовать похищенные данные
Таблица с похищенными данными клиентов Сбербанка (есть в распоряжении РБК) содержит подробную финансовую информацию о держателях карт, самом продукте и операциях. Формально этого набора недостаточно для простого списания средств, утверждают опрошенные РБК эксперты и специалисты банков. «У злоумышленников нет информации о CVV или пароля от личного кабинета в интернет-банкинге, поэтому средства клиентов остаются в безопасности», — поясняет ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
Однако база может быть использована для «более совершенного» мошенничества с помощью методов социальной инженерии. «Помимо номера карты, например, можно увидеть лимит кредитки, сумму минимального платежа и категорию качества ссуды. Сгруппировать выборку таких клиентов, выбрать наиболее уязвимую возрастную группу старше 50 лет и совершать обзвон», — отмечает ИТ-специалист банка из топ-30. Такая детальная информация о клиенте позволяет модифицировать атаку, соглашается другой сотрудник банка из топ-5. «Мошенник может совершать звонок накануне даты платежа по кредитке и просто убеждать клиента ради безопасности совершить платеж иначе, чем обычно. Чем больше информации о клиенте у него будет, тем убедительнее это будет звучать, хотя для стандартного обзвона хватает номера карты, телефона и имени клиента», — констатирует собеседник РБК.
Возможность использования данных через социальную инженерию допускает и начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности в компании «Инфосистемы Джет» Алексей Сизов. Кроме того, по его словам, такая информация может использоваться кредитными брокерами для предложения клиентам рефинансирования кредита и других более выгодных кредитных продуктов. «Не исключено, что в случае просрочки по кредиту злоумышленники могут попытаться представиться коллекторами и тут же потребовать погашения задолженности», — говорит Сизов.
Какие меры следует принять пострадавшим клиентам?
Если клиент опасается, что данные о нем и его карте скомпрометированы, он может обратиться в банк за перевыпуском карты, пояснили РБК банковские специалисты. Впрочем, это не гарантирует полной безопасности клиента, некоторые банки перевыпускают только пластик, не меняя номер карты. Смена номера карты также не означает смены счета или изменения условий кредитного договора, если речь идет о кредитке.
В первую очередь пользователям стоит опасаться социальной инженерии, поскольку наличие данных повышает шансы злоумышленников вызвать доверие человека, констатирует Голованов. Банки предупреждают своих клиентов, что никогда нельзя называть CVV-код, который находится на обратной стороне карты, пароль от личного кабинета в интернет-банке или мобильном приложении, пин-код карты, а также специальные коды из СМС-сообщений. Сами банки при общении с клиентами никогда не запрашивают подобную информацию. Если поступил такой звонок, то необходимо перезвонить в банк по номеру, указанному на сайте или на карте.
Каковы последствия утечки для Сбербанка и других банков
Большинство собеседников РБК не стали оценивать, как сообщения об утечке могут отразиться на кредитной организации. Информация о хищении данных о 60 млн клиентов пока не подтвердилась.
«Если банк ведет себя достойно и избавляет клиента от возможных потерь, то это не подрывает доверие, а скорее, наоборот, укрепляет веру потребителей. Если это приводит к каким-то убыткам для клиентов, из такого банка клиенты, наверное, уйдут. Я убежден, что если что-то не то произошло в Сбербанке, то они найдут способ не перекладывать риски на клиента», — отмечает совладелец Совкомбанка Сергей Хотимский. По его словам, потребители стали сдержаннее реагировать на сообщения об утечках.
«Когда это только начало появляться, бывало, что клиенты звонили в банк и спрашивали, что в интернете пишут. Сейчас объем этих сообщений стал таким, что клиенты научились отличать реальные новости от инсинуаций», — подчеркнул он.
Сбербанк и другие участники рынка могут усилить требования к защите клиентской информации, считает Голованов: «Надо отметить, что подобная информация действительно очень хорошо защищается. Доступ к ней строго ограничен. В дальнейшем необходимо будет еще жестче разграничивать и ограничивать доступ к подобной информации».