На чёрном рынке оказались сведения о 60 млн кредитных карт Сбербанка: Как наши данные утекают в Сеть
До этого в открытом доступе появилась подробная налоговая база ещё 20 миллионов граждан России
Николаев Александр
Не успел затихнуть скандал с появлением в интернете в открытом доступе базы с персональными налоговыми данными аж двух десятков миллионов граждан России, то есть приблизительно трети всего экономически активного населения страны, как грянул новый.
В Сети, на заблокированном в России специализированном сайте (в остальных государствах, где работают другие провайдеры, доступ к нему, впрочем, открыт), появилось объявление о продаже «свежей базы крупного банка». Речь, как сообщают эксперты, идёт о 60 млн кредитных карт Сбербанка — как уже закрытых, так и действующих.
Как сообщил «Коммерсанту» основатель компании DeviceLock Ашот Оганесян, «это самая большая и подробная банковская база данных, которая когда-либо попадала с чёрного рынка, и размах действительно поражает. До этого, напомним, стало известно о том, что в течение целого года в интернете находилась огромная база данных с налоговыми сведениями миллионов граждан РФ. Причём владелец её находится на Украине.
И это вам даже не громкий прошлогодний скандал с утечкой информации о 50 млн пользователей Facebook. Помните? Тогда история вызвала целый международный скандал, потому что в дело, как это водится в США, вмешали политику, утверждая, что эти сведения повлияли на президентскую кампанию Трампа. Марк Цукерберг факт нехотя признал и пообещал усилить меры безопасности в своей соцсети.
Сбербанк утечку признал. ФНС причастность к сливу отрицает
Фото: Zamir Usmanov/Globallookpress
Сбербанк утечку признал, правда, не в тех масштабах, о которых сообщают расследователи:
Вечером 2 октября 2019 года Сбербанку стало известно о возможной утечке учётных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка. В настоящий момент производится служебное расследование, и о его итогах будет сообщено дополнительно. Основная версия инцидента — умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу её изолированности от внешней сети. Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.
То есть всё-таки с большой долей вероятности это «проделки» кого-то из тех, кто имел доступ к секретной банковской информации.
А вот с данными граждан России получилось иначе: в Сети оказались, по утверждению британской исследовательской компании Comparitech, фамилии и имена, адреса, номера паспортов, организации, в которых они трудятся, телефоны, ИНН и суммы уплаченных налогов.
Эксперты не исключают, что если это добро попало в распоряжение злоумышленников, то они могут воспользоваться им для проведения всевозможных афер, включая, в частности, фишинговые атаки (это выманивание пин-кодов, паролей и прочих секретов), открытое хищение денег со счетов, ну и, само собой, получения доступа к прочим персональным данным.
В Федеральной налоговой службе между тем полагают, что опубликованный расследователями материал вполне тянет на провокацию.
Проверить подлинность якобы утёкших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в Организацию международного сотрудничества и развития,
— заявили в ФНС.
Фото: eleonimages / Shutterstock.com
Как отмечают в налоговом ведомстве, ни формат, ни структура данных, описанных в публикации, не соответствуют тому, как всё это хранится в реальных базах данных службы, а часть из них и вообще не имеет отношения к налоговой сфере.
Кто за этим стоит: украинские спецслужбы или хакеры?
История, впрочем, действительно выглядит в определённой мере странной. Сам Comparitech признаёт, что они не знают, кто именно владел этой базой. Точно известно лишь, что он дислоцируется на Украине. А вообще, саму утечку обнаружил независимый специалист в области кибербезопасности по имени Боб Дьяченко, обнаруживший эту базу в середине сентября, после чего он сообщил об этом владельцу, и уже через три дня доступ к ней был закрыт.
Как контактировал Дьяченко с собственником столь ценной информации, почему она вообще оказалась на Украине, и кто в принципе ей владел и по какому праву?
Раз речь в публикации идёт о двух больших группах наших сограждан (в первой — данные 14 миллионов за 2010-2016 годы, во второй — данные 6 млн человек за 2009-2015 годы), значит, было как минимум две передачи информации,
— рассуждает IT-специалист Василий Черкасов, занимающийся разработкой систем безопасности.
«По всей видимости, утечки (если всё так, как указывают авторы) — это не просто утечки, а сливы, то есть перепродажа сведений, похищенных хакерами или же проданных кем-то изнутри ведомств. То, что ФНС отрицает свою причастность к утечке, логично, и, в общем-то, вполне может быть, что информация реально ушла не от них, а, например, из банковской сферы — кредитных клиентов, там ведь требуется примерно такой же набор личных сведений о человеке», — уточнил эксперт.
По словам Черкасова, тот ресурс, на котором вроде как находилась информация, — это, по сути, поисковик, использующий технологию облачного сервиса, с его помощью осуществляется сбор данных и их обработка для пользователей, желающих получать статистику и аналитику по заданным ими параметрам.
А попасть на ту же Украину — хотя, по большому счёту, вообще не важно, в какой именно стране находится собственник, и я вполне допускаю совпадения — база персональных данных могла путём копирования для дальнейшей перепродажи, — продолжил экспрет. — В принципе, можно поискать и конспирологические версии типа работы украинских спецслужб, но, полагаю, они действовали бы тоньше.
Фото: Andrey Nekrasov/Globallookpress
Здесь, предполагает он, всё больше похоже на методы хакеров, поставляющих украденные базы для так называемого Даркнета, теневой стороны всемирной паутины, где происходят незаконные сделки. А Украина как место дислокации владельца могла быть выбрана по одной весомой причине — ввиду отсутствия взаимодействия между правоохранительными органами на межгосударственном уровне.
Как воруют базы данных и чем это грозит тем, кто в них оказался
На самом деле, каждый желающий хоть сию секунду может поэкспериментировать: задать в поисковике фразу «купить базу персональных данных» и в ответ получить обширный перечень торговцев информацией. Есть и группы в социальных сетях, которые уже в своём названии указывают на то, что они занимаются именно этим. Некоторые пользователи скрываются под псевдонимами, а иные действуют вполне открыто.
Вот, допустим, буквально сегодня в одном из таких пабликов появилось сообщение, размещённое некоей Еленой из Санкт-Петербурга:
«Каждый день — свежие выгрузки вновь зарегистрированных ООО и ИП из ФНС, а также различные базы, банки, 2018-19 годы, физические и юридические лица, данные по КАСКО, ОСАГО, ВИП-персонам, ГИБДД, миллиардерам, операторам, провайдерам, должникам, состоятельным людям, их электронные адреса. Пишите в личных сообщениях. Обращайтесь я всегда на связи! Действуют гибкие скидки. Пишите, подберём любую базу по вашим критериям», — призывает 37-летняя жительница северной столицы.
Подобная смелость, однако, имеет своё логическое объяснение: в России нет как таковой уголовной или хотя бы административной ответственности конкретно за саму утечку — наказывается только нарушение требований к мерам безопасности, которые стали её причиной, и только.
Да, существует статья 137 УК РФ, предусматривающая до двух лет лишения свободы (для частного лица) за "Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну", вот только её применяют больше по отношению к должностным лицам или тем, кто выкладывает компромат, скажем, в интернете. И главный момент — должен быть пострадавший, то есть тот, против кого совершено преступление, — объясняет наш эксперт Василий Черкасов. — А где он, этот субъект в конкретном случае? Его нет. К тому же все эти ребята используют "облачные сервисы", которые как раз и регистрируются где угодно. Хотя при желании, думаю, наши правоохранители могли бы открыть несколько сотен уголовных дел и провести "контрольные закупки". Другой вопрос, что это серьёзные заморочки, сбор доказательств и прочее.
Он не сомневается, что за сливами нередко стоят бывшие или действующие сотрудники «ответственных хранителей» — структур, занимающихся сбором персональных данных.
Фото: Jochen Tack /Globallookpress
Теперь о том, чем может грозить попадание к злоумышленникам этих сведений.
Это при наличии такого набора, приводится в публикации Comparitech, позволяет аферистам оформить кредит в банке или микрофинансовой организации, нагрузить чужими долгами или даже зарегистрировать фирму, совершать нелегальные сделки по недвижимости, получить доступ к банковским картам и счетам, регистрироваться на различных сайтах, например, для онлайн-игр, шантажировать, делать подставы от имени жертвы, ну и наиболее часто случающееся — навязывать услуги или действовать по схеме упоминавшегося выше фишинга.
Понятно, что каждая из схем требует проработки и привлечения дополнительных ресурсов и информации, но если игра стоит свеч, разве кто-то в состоянии гарантировать, что такого не произойдёт, верно?
Кстати
За рубежом к теме утечки персональных и платёжных данных относятся очень серьёзно. По данным доклада компании InfoWatch, в 2017-м было зафиксировано почти четыре десятка таких случаев, за которые государственные и коммерческие структуры заплатили около $45 млн в виде штрафных санкций, а в 2018-м число выявленных инцидентов выросло почти в полтора раза, и объём наказаний в денежном эквиваленте поднялся уже до более чем $320 млн. При этом самым крупным инцидентом называется утечка персональных данных компании Uber, заплатившей $148 млн за «сбежавшие» налево сведения о свыше чем 57 миллионах клиентов и водителей.
Крупные случаи утечки данных в России в 2019 году
Апрель:
В Даркнете появилось предложение о продаже базы данных свыше ста тысяч бывших банковских клиентов, которым было отказано в обслуживании во втором полугодии 2017-го в соответствии с федеральным законом «О противодействии отмыванию доходов, полученных преступным путём, и финансированию терроризма»: и частным лицам, и индивидуальным предпринимателям, и компаниям.
Центробанк, который является государственным регулятором, отверг свою причастность к случившемуся. Тем не менее эксперты считают, что утечка произошла в цепочке контактов между ЦБ, банками и Росфинмониторингом.
Июнь:
Утечка данных почти миллиона клиентов из трёх крупных отечественных банков. Тогда в интернете оказались в открытом доступе фамилии и имена, паспортные данные, телефоны, адреса регистрации и места работы.
Есть версия, что слить информацию могли уволенные сотрудники одной из этих кредитно-финансовых организаций, а остальные две выступали в качестве её партнёров.
Сентябрь:
На чёрном рынке выставлена на продажу база данных по 60 млн кредитных карт Сбербанка, и такого хищения, утверждают эксперты, в России не было ещё никогда. Источником утечки, предполагает сам крупнейший государственный банк РФ, мог стать один из сотрудников.