На чёрном рынке оказались сведения о 60 млн кредитных карт Сбербанка: Как наши данные утекают в Сеть
Не успел затихнуть скандал с появлением в Интернете в открытом доступе базы с персональными налоговыми данными аж двух десятков миллионов граждан России – то есть, приблизительно трети всего экономически активного населения страны, как грянул новый.
В Сети, на заблокированном в России специализированном сайте (в остальных государствах, где работают другие провайдеры, доступ к нему, впрочем, открыт), появилось объявление о продаже «свежей базы крупного банка». Речь, как сообщают эксперты, идет о 60 млн кредитных карт Сбербанка – как уже закрытых, так и действующих.
Как сообщил «Коммерсанту» компании DeviceLock Ашот Оганесян, «это самая большая и подробная банковская база данных, которая когда-либо попадала с черного рынка, и размах действительно поражает. До этого, напомним, стало известно о том, что в течение целого года в Интернете находилась огромная база данных с налоговыми сведениями миллионов граждан РФ. Причём, владелец её находится на Украине.
И это вам даже не громкий прошлогодний скандал с утечкой информации о 50 млн пользователей Facebook. Помните? Тогда история вызвала целый международный скандал, потому что в дело, как это водится в США, вмешали политику, утверждая, что эти сведения повлияли на президентскую кампанию Трампа. Марк Цукерберг факт нехотя признал и пообещал усилить меры безопасности в своей соцсети.
Сбербанк утечку признал. ФНС причастность к сливу отрицает
Фото: Zamir Usmanov/Globallookpress
Сбербанк утечку признал – правда, не в тех масштабах, о которых сообщают расследователи:
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учетных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка. В настоящий момент производится служебное расследование и о его итогах будет сообщено дополнительно. Основная версия инцидента – умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу ее изолированности от внешней сети. Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.
То есть всё-таки, с большой долей вероятности, это «проделки» кого-то из тех, кто имел доступ к секретной банковской информации.
А вот с данными граждан России получилось иначе: в Сети оказались, по утверждению британской исследовательской компании Comparitech, фамилии и имена, адреса, номера паспортов, организации, в которых они трудятся, телефоны, ИНН и суммы уплаченных налогов.
Эксперты не исключают, что если это добро попало в распоряжение злоумышленников, то они могут воспользоваться ими для проведения всевозможных афер, включая, в частности, фишинговые атаки (это выманивание пин-кодов, паролей и прочих секретов), открытое хищение денег со счетов, ну и, само собой, получения доступа к прочим персональным данным.
В Федеральной налоговой службе, между тем, полагают, что опубликованный расследователями материал вполне тянет на провокацию.
Проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в Организацию международного сотрудничества и развития,
— заявили в ФНС.
Фото: eleonimages / Shutterstock.com
Как отмечают в налоговом ведомстве, ни формат, ни структура данных, описанных в публикации, не соответствуют тому, как все это хранится в реальных базах данных службы, а часть из них так вообще не имеет отношения в налоговой сфере.
Кто за этим стоит: украинские спецслужбы или хакеры?
История, впрочем, действительно выглядит в определенной мере странной. Сам Comparitech признает: они не знают, кто именно владел этой базой. Точно известно лишь, что он дислоцируется на Украине. А вообще саму утечку обнаружил независимый специалист в области кибербезопасности по имени Боб Дьяченко, обнаруживший эту базу в середине сентября, после чего он сообщил об этом владельцу, и уже через три дня доступ к ней был закрыт.
Как контактировал Дьяченко с собственником столь ценной информации, почему она вообще оказалась на Украине, и кто, в принципе, ей владел и по какому праву?
Раз речь в публикации идёт о двух больших группах наших сограждан (в первой данные 14 миллионов за 2010-2016 годы, во второй – данные 6 млн человек за 2009-2015 годы), значит, было как минимум две передачи информации,
— рассуждает IT-специалист Василий Черкасов, занимающийся разработкой систем безопасности.
«По всей видимости, утечка (если все так, как указывают авторы), это не просто утечки, а сливы – перепродажа сведений, похищенных хакерами, или же проданных кем-то изнутри ведомств. То, что ФНС отрицает свою причастность к утечке, логично – и, в общем-то, вполне может быть, что информация реально ушла не от них, а, например, из банковской сферы – кредитных клиентов, там ведь требуется примерно такой же набор личных сведений о человеке», - уточнил эксперт.
По словам Черкасова, тот ресурс, на котором, вроде как, находилась информация, это – по сути, поисковик, использующий технологию облачного сервиса; с его помощью осуществляется сбор данных и их обработка для пользователей, желающих получать статистику и аналитику по заданным ими параметрам.
А попасть на ту же Украину – хотя, по большому счету, вообще не важно, в какой именно стране находится собственник, и я вполне допускаю совпадения, – база персональных данных могла быть путем копирования для дальнейшей перепродажи, - продолжил экспрет. – В принципе, можно поискать и конспирологические версии, типа работы украинских спецслужб, но, полагаю, они действовали бы тоньше.
Фото: Andrey Nekrasov/Globallookpress
Здесь, предполагает он, всё больше похоже на методы хакеров, поставляющих украденные базы для так называемого Даркнета, теневой стороны всемирной паутины, где происходят незаконные сделки. А Украина как место дислокации владельца могла быть выбрана по одной весомой причине – ввиду отсутствия взаимодействия между правоохранительными органами на межгосударственном уровне.
Как воруют базы данных - и чем это грозит тем, кто в них оказался
На самом деле, каждый желающий хоть сию секунду может поэкспериментировать: задать в поисковике фразу «Купить базу персональных данных», и в ответ получить обширный перечень торговцев информацией. Есть и группы в социальных сетях, которые уже в своем названии указывают на то, что они занимаются именно этим. Некоторые пользователи скрываются под псевдонимами, а иные – действуют вполне открыто.
Вот, допустим, буквально сегодня в одном из таких пабликов появилось сообщение, размещенное некоей Еленой из Санкт-Петербурга:
«Каждый день — свежие выгрузки вновь зарегистрированных ООО и ИП из ФНС, а также различные базы, банки, 2018-19 годы, физические и юридические лица, данные по КАСКО, ОСАГО, ВИП-персонам, ГИБДД, миллиардерам, операторам, провайдерам, должникам, состоятельным людям, их электронные адреса. Пишите в личных сообщениях. Обращайтесь я всегда на связи! Действуют гибкие скидки. Пишите, подберем любую базу по вашим критериям», — призывает 37-летняя жительница северной столицы.
Подобная смелость, однако, имеет свое логическое объяснение: в России нет, как таковой, уголовной или хотя бы административной ответственности конкретно за саму утечку – наказывается только нарушение требований к мерам безопасности, которые стали ее причиной, и только.
Да, существует статья 137 УК РФ, предусматривающая до двух лет лишения свободы (для частного лица) за «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну», вот только её применяют больше по отношению к должностным лицам или тем, кто выкладывает компромат, скажем, в Интернете. И главный момент – должен быть пострадавший, то есть тот, против кого совершено преступление, - объясняет наш эксперт Василий Черкасов. – А где он, этот субъект, в конкретном случае? Его нет. К тому же, все эти ребята используют «облачные сервисы», которые как раз и регистрируются, где угодно. Хотя при желании, думаю, наши правоохранители могли бы несколько сотен уголовных дел открыть и провести «контрольные закупки». Другой вопрос, что это серьёзные заморочки, сбор доказательств и прочее.
Он не сомневается, что за сливами нередко стоят бывшие или действующие сотрудники «ответственных хранителей» - структур, занимающихся сбором персональных данных.
Фото: Jochen Tack /Globallookpress
Теперь – о том, чем может грозить попадание к злоумышленникам этих сведений.
Это, при наличии такого набора, приводится в публикации Comparitech, позволяет аферистам оформить кредит в банке или микрофинансовойо организации, нагрузить чужими долгами или даже зарегистрировать фирму, совершать нелегальные сделки по недвижимости, получить доступ к банковским картам и счетам, регистрироваться на различных сайтах – например, для онлайн-игр, шантажировать, делать подставы от имени жертвы, ну и наиболее часто случающееся – навязывать услуги или действовать по схеме упоминавшегося выше фишинга.
Понятно, что каждая из схем требует проработки и привлечения дополнительных ресурсов и информации, но если игра стоит свеч, разве кто-то в состоянии гарантировать, что такого не произойдет, верно?
Кстати
За рубежом к теме утечки персональных и платежных данных относятся очень серьёзно. По данным доклада компании InfoWatch, в 2017-м было зафиксировано почти четыре десятка таких случаев, за которые государственные и коммерческие структуры заплатили около $45 млн в виде штрафных санкций, а в 2018-м число выявленных инцидентов выросло почти в полтора раза, и объем наказаний в денежном эквиваленте поднялся уже до более чем $320 млн. При этом самым крупным инцидентов называется утечка персональных данных компании Uber, заплатившей $148 млн за «сбежавшие» налево сведения о свыше 57 миллионах клиентов и водителей.
Крупные случаи утечки данных в России в 2019 году
Апрель:
В Даркнете появилось предложение о продаже базы данных свыше ста тысяч бывших банковских клиентов, которым было отказано в обслуживании во втором полугодии 2017-го в соответствии с федеральным законом «О противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма»: и частным лицам, и индивидуальным предпринимателям, и компаниям.
Центробанк, который является государственным регулятором, отверг свою причастность к случившемуся. Тем не мене, эксперты считают, что утечка произошла в цепочке контактов между ЦБ, банками и Росфинмониторингом.
Июнь:
Утечка данных почти миллиона клиентов из трех крупных отечественных банков. Тогда в Интернете оказались в открытом доступе оказались фамилии и имена, паспортные данные, телефоны, адреса регистрации и места работы.
Есть версия, что слить информацию могли уволенные сотрудники одной из этих кредитно-финансовых организаций, а остальные две выступали в качестве ее партнеров.
Сентябрь:
На чёрном рынке выставлена на продажу база данных по 60 кредитных карт Сбербанка – и такого хищения, утверждают эксперты, в России не было ещё никогда. Источником утечки, предполагает сам крупнейший государственный банк РФ, мог стать один из сотрудников.