«Известия» обнаружили на одном из российских форумов в даркнете объявление о продаже информации о клиентах банка ВТБ. Это далеко не первый случай подобных утечек за последнее время.
Содержание базы стандартное для утечек из банков: ФИО клиента, его домашний адрес, индекс, номер телефона, адрес электронной почты и сумма вклада. Обладая этой информацией, мошенники с использованием методов социальной инженерии могут втереться в доверие, получить доступ к интернет-банку и похитить деньги.
Журналисты проверили достоверность содержащихся в базе сведений. Они купили 10 строк и при переводе денег через мобильное приложение ВТБ по номеру телефону посмотрели имена и первые буквы фамилий — всё сошлось. Им также удалось связаться с несколькими вкладчиками ВТБ, и те подтвердили свои ФИО и наличие вклада в банке. Один из клиентов даже назвал сумму вклада — она оказалась в точности такой, как указано в выставленной на продажу базе.
Банк ВТБ подтвердил факт утечки и проводит расследование произошедшего. Представители организации также отметили, что в компьютерной системе действуют разграничения прав доступа к информации и «на регулярной основе осуществляется жесткий контроль действий пользователей при работе с конфиденциальными данными».
«Было выяснено, что эти сведения были актуальны по состоянию на 2016 год. Банк связался со всеми клиентами, чья личная информация могла быть скомпрометирована, предупредил о случившемся и принес свои извинения. Их информационной безопасности ничего не угрожает. Обращаем внимание, что утечка не содержит никаких данных, необходимых для доступа к счетам».3 октября «Коммерсант» сообщил о продаже данных, имеющих отношение к 60 миллионам клиентов «Сбербанка». Изначально организация признала утечку данных только 200 клиентов, а затем привела уточнённые данные: сотрудник «Сбербанка» продавал данные пяти тысяч кредитных карт клиентов уральского отделения банка.
Представители банка сообщили тогда, что данные были похищены одним из сотрудников банка, чья личность установлена. Утечку организовал руководитель сектора в одном из бизнес-подразделений банка. Это мужчина 1991 года рождения, который «имел доступ к базам данных в силу выполнения служебных обязанностей и пытался осуществить хищение клиентской информации в корыстных целях».
24 октября правоохранительным органам удалось вычислить и задержать гражданина, который похитил у «Сбербанка» и ещё нескольких кредитных организаций персональные и платёжные данные клиентов. Подозреваемый — сотрудник коллекторского агентства «Национальная служба взысканий» из Волгограда. В тот же день стало известно о продаже аналогичной базы — с записями приблизительно о миллионе клиентов «Сбербанка». Пресс-служба банка назвала новость о продаже этой базы данных своих клиентов слухами и домыслами, а также заявила, что на организацию производится информационная атака.