Кто и как (на самом деле) крадет персональные данные клиентов банков
Хронология сливов
- 3 октября. Газета «Коммерсантъ» сообщает, что персональные данные 60 млн клиентов Сбербанка, которые оформили кредитные карты, утекли в интернет.
- 4 октября. Сбербанк подтвердил утечку данных только 200 клиентов.
- 8 октября. Сбербанк нашел еще одну утечку — данные 5 тыс. клиентов уральского отделения продали в даркнете.
- 10 октября. Источник 66.RU сообщил, что в даркнет слили личные данные клиентов Газпромбанка. По его словам, из-за слива клиентской базы «Билайна» пострадали клиенты как минимум четырех банков: Сбербанка, «Точки», Газпромбанка, Промсвязьбанка.
- 18 октября. Очередную утечку обнаружил независимый исследователь по кибербезопасности, руководитель проекта Security Discovery Боб Дяченко.
- 24 октября. Стало известно о новой базе данных, которую опубликовали 13 октября на одном из теневых ресурсов. Продавец утверждает, что сведения о миллионах заемщиков Сбербанка накоплены с 2015 года.
- 5 ноября. Альфа-банк подтвердил утечку данных 3,5 тыс. клиентов, оформивших кредит, и около 3 тыс. клиентов «АльфаСтрахования».
- 12 ноября. В сеть слили базу данных клиентов ВТБ, состоящую из 5 тыс. строк.
Кто мог украсть данные
5 октября Сбербанк заявил, что нашел сотрудника, пытавшегося похитить данные клиентов. Им оказался 27-летний руководитель сектора в одном из бизнес-подразделений, он сознался в содеянном.
24 октября полиция задержала подозреваемого в хищении данных нескольких банков. По предварительным данным, подозреваемый живет в Волгограде и работает в ООО «Национальная служба взысканий». Данные он сливал под ником «Антон 2131».
Александр Варской, хакер
Александр Варской — российский хакер. Он не занимается незаконными делами в сфере IT, а причисляет себя к этой субкультуре.
Александр рассказал 66.RU, что у Сбербанка много бизнес-подразделений, среди которых есть достаточно сомнительные предприятия. Поэтому версия с сотрудником, который просто сфотографировал данные, может быть вполне правдивой.
«Миллионные базы, конечно, есть, и они действительно утекают, но не таким образом. Есть целые корпоративные ОПГ, в которые входят и наши, и зарубежные компании и которые не спрашивают нас о нашей персональной информации. Вот они обмениваются и торгуют миллионными базами, и все эти базы уже давно друг с другом перекрестились. Жестких дисков с информацией у некоторых людей в квартирах лежит целая прорва. Это я говорю о руководителях компаний. А тот сотрудник Сбербанка — просто несчастный человек, герой истории для Малахова».
На вопросы, какие именно это компании обмениваются нашими данными, Александр не ответил. «Это все мои догадки», — говорит хакер. «Я называю эти компании ОПГ, потому что у них стиль работы такой и все функционирует на уровне договоренностей. Это может быть все, что угодно, где требуется авторизация».
При этом, по мнению Варского, бороться с ними не нужно, ведь эти компании «реализуют простой принцип: информация должна быть открытой».
Ситуации со сливами данных банков получили широкий отклик в СМИ. Как говорит Александр, этому поспособствовали компании data leak prevention. Эти организации занимаются тем, что ищут каналы утечки. «Именно они подхватили и стали разносить новость о Сбербанке в СМИ. Они рассчитывали получить контракты и заработать на этом деньги. Хорошая попытка, но они этого не добились», — утверждает он.
