По данным «Коммерсанта», неизвестные злоумышленники продают в даркнете базу с данными около миллиона клиентов «Сбербанка». Она была выставлена на продажу 13 октября 2019 года, поэтому есть вероятность, что за это время кто-нибудь уже приобрёл её.
В базе примерно миллион строк, в каждой из которых приводятся сведения об одном клиенте: его ФИО, паспортные данные, адрес проживания, номер телефона, номер счёта, номер банковской карты, аудиозаписи последних обращений в банк по телефону и т. п.
Продавец уточнил, что он выступает лишь перекупщиком, а пополнением сведений занимается другой человек — он загружает в базу новые строки в дневное время с рабочего места. Каждая строка продаётся за 30 рублей.
«Известия» утверждают, что в базе лишь 11,5 тысяч записей о гражданах, которые брали кредит в «Сбербанке». Продавец обозначил такой объём данных в переписке, а затем уточнил, что объём базы вырос до миллиона записей.
РБК получил пробник базы и проверил 26 записей: часть клиентов нашлись в сервисе «Сбербанк Онлайн по имени и первой букве фамилии». Источники из «Сбербанка» сообщили РБК, что база неактуальна, а на банк совершается информационная атака — кто-то намеренно рассказывает о продаже сведений о личных данных клиентов, хотя на самом деле утечки не было.
Пресс-служба «Сбербанка» назвала сообщения о продаже в интернете базы данных своих клиентов слухами и домыслами:
«Вся официальная информация по этой теме была опубликована банком ранее. Мы не комментируем информацию, которая относится к категории слухов и домыслов», — сказали в пресс-службе.
3 октября «Коммерсант» со ссылкой на компанию DeviceLock сообщил о продаже данных, имеющих отношение к 60 миллионам клиентов «Сбербанка». Покупателям предлагалось проверить подлинность базы на пробном фрагменте из 200 строк. База разбита на 11 блоков, равных числу территориальных банков «Сбербанка». Каждая строка продавалась за 5 рублей. Журналисты «Коммерсанта» попросили продавца найти в базе их данные, в ответ он предоставил информацию об картах, ФИО, номерах телефонов и номерах договоров.
Представители банка сообщили, что данные были похищены одним из сотрудников, чья личность была установлена. Изначально организация признала утечку данных только 200 клиентов, а затем привела уточнённые данные: сотрудник «Сбербанка» продавал данные пяти тысяч кредитных карт клиентов уральского отделения банка. Утечку организовал руководитель сектора в одном из бизнес-подразделений банка. Это мужчина 1991 года рождения, который «имел доступ к базам данных в силу выполнения служебных обязанностей и пытался осуществить хищение клиентской информации в корыстных целях».
Сведения из таких баз интересны в том числе телефонным мошенникам. Они могут звонить жертве, представляться сотрудниками банков или сотового оператора и с помощью социальной инженерии на основе имеющихся данных втираться в доверие и выманивать конфиденциальные данные: например, номер банковской карты, срок её действия, секретный код и код из SMS для входа в банковский кабинет или подтверждения денежного перевода.