По информации РБК, в открытый доступ попали около 100 тыс. запросов на получение кредита от пользователей, которые обращались в банк «Дом.РФ». Финансовая организация подтвердила факт утечки. Банк предпринял все меры по закрытию уязвимости, из-за которой произошел инцидент.
3 апреля 2021 года база данных со 104 800 записями потенциальных заемщиков была выставлена неизвестным лицом на продажу на одном из форумов в даркнете. В ней содержатся запросы в банк с февраля 2020 года по март 2021 года. В составе утечки есть: ФИО, дата рождения, сумма и вид кредита (потребительский), номер телефона, почтовый ящик, паспортные данные, ИНН, СНИЛС, домашний адрес, адрес места работы, должность, размер дохода, информация о доверенном лице (ФИО, номер телефона, кем приходится заемщику и т.п.). Часть строк в утечке с минимальным количеством данных — там есть только сумма кредита, номер телефона и адрес электронной почты пользователя.
За всю базу продавец просит 100 тыс. рублей, данные за 2021 год продаются по 15 рублей за строку, за второе полугодие 2020 года — по 10 рублей за заемщика, за первое полугодие — 7 рублей за строку.
Эксперт РБК рассказал, что Центробанк уже начал проверку факта утечки данных клиентов «Дом.РФ». Журналисты издания прозвонили по 10 указанным в «пробнике» телефонам и выяснили, что 4 человека действительно оставляли заявку на кредит, 2 человека отказались рассказать об этом, а 4 номера телефона не отвечали.
Представитель банка «Дом.РФ» пояснил РБК, что утечка данных произошла из-за уязвимости в системе дистанционной подачи первичных заявок на получение кредита наличными, которая в настоящее время закрыта. Служба безопасности организации проверила «целостность работ всех других систем банка и не выявила нарушений». Банк утверждает, что утекшие данные не позволяют получить третьим лицам доступ к счетам текущих клиентов.
В банке заявили РБК, что это первый случай, когда мошенники получили частичный доступ к внешним заявкам на кредиты. В настоящий момент СБ банка совместно с правоохранительными органами начали внутреннее расследование и предпринимают необходимые работы по предотвращению распространения утекших данных.
Пример утекших данных запроса на кредит в банк «Дом.РФ», представленный для Хабра основателем сервиса поиска утечек и мониторинга даркнета «DLBI» Ашотом Оганесяном.
