Согласно информации издания «Известия», с 12 февраля 2020 года в даркнете появились новые объявления о продаже базы данных, в каждой строке содержащих такую информацию о клиентах Сбербанка: название банковского подразделения, полное ФИО, номер счета, паспортные данные, дата рождения и номер телефона.
Один из продавцов рассказал журналистам «Известий», что у него есть информация о двадцати тысячах клиентах Сбербанка, он оценивает каждую строку из этой базы по тридцать пять рублей. Согласно дополнительной информации от продавца, у него есть возможность выгружать еще по десять тысяч новых строк о клиентах банка еженедельно.
Как выяснили журналисты, большая часть продаваемых данных относится к клиентам финансового учреждения, проживающих в регионах с часовым поясом +5 UTC — в субъектах Уральского и Приволжского федеральных округов РФ. А в полученном ими на проверку тестовом фрагменте данных были клиенты банка, которые имеют счета или карты в Республике Башкортостан.
Чтобы убедиться в подлинности данных журналисты проверяли мобильные телефоны через приложение «Сбербанк Онлайн», где при введении номера можно увидеть имя, отчество и первую букву фамилии пользователя. Шесть из десяти записей совпали, еще три оказались не привязаны к приложению, и в одном случае телефон продемонстрировал другое имя. По указанным номерам телефонов удалось дозвониться до четырех человек: все они подтвердили свое имя и дату рождения.
«С высокой долей вероятности, это действительно клиенты Сбербанка», — подтвердил «Известиям» Ашот Оганесян, технический директор компании DeviceLock. Также Оганесян уточнил, что «новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают».
Информация по этой утечке из Telegram-канала "Утечки информации". Скриншот фрагмента новой базы данных предоставлен для Хабра Ашотом Оганесяном.
Судя по незакрытой информации из таблицы выше (по годам рождения и типу карт VISA Electron), большинство пострадавших от этой утечки являются пенсионерами. В Сбербанке факт новой утечки не подтвердили и не прокомментировали никакую информацию об этом инциденте.
Вдобавок специалисты по информационной безопасности предположили, что у злоумышленников есть ограниченный доступ (через сотрудников) к информационной системе учреждения, который, возможно, ограничен лимитом скачивания в системе ИБ. Например, им нельзя сохранить на внешний ресурс более двух тысяч записей в сутки.
14 февраля 2020 года Сбербанк начал проверять информацию от СМИ о новой утечке данных клиентов. «Ежедневно в сети появляются десятки сообщений с предложением продать базы данных клиентов различных банков и компаний. Мы проверяем любую подобную информацию, в том числе и ту, о которой идет речь в публикации. Там есть данные, ранее уже предлагавшиеся к продаже на теневом рынке и относящиеся к 2015-2016 годам. Сбербанк не являлся источником утечки этих данных», — говорится в сообщении пресс-службы Сбербанка.
Скриншот с разными объявлениями за начало февраля 2020 года от одного продавца в даркнете, предоставлен для Хабра Ашотом Оганесяном.Ранее в октябре 2019 года были официально подтверждены два факта утечки персональных данных клиентов в Сбербанке. Первая утечка произошла из-за целенаправленных умышленных действий сотрудника самой кредитной организации, а вторая утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал Сбербанк, где также сотрудник агентства смог скопировать данные клиентов из общей базы.
Пример отрывка из утекшей в 2019 году базы данных. Скриншот предоставлен для Хабра Ашотом Оганесяном.
В начале ноября 2019 года сообщалось о появлении в продаже в интернете данных примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Представители Альфа-банка подтвердили утечку данных только пятнадцати своих клиентов.
7 ноября 2019 года стало известно, что Роскомнадзор планирует ввести административную ответственность за незаконное распространение персональных данных и за их покупку и хранение. К весне 2020 года регулятор подготовит и вынесет на общественное обсуждение поправки об ответственности за покупку баз данных утечек украденных личных данных.
В начале декабря 2019 года Герман Греф рассказал, что к 2023 году Сбербанк создаст систему, которая не позволит «вынести ни один бит информации несанкционировано».
