Почти миллион клиентов банков под угрозой
Личные данные клиентов ОТП Банка, Альфа-банка и ХКФ Банка оказались в открытом доступе.
Суммарно утечка затрагивает около 900 тыс. россиян. Имена, телефоны, паспорта и место работы – все это оказалось в Сети и доступно каждому. Базы были выложены как минимум в конце мая этого года. Самая свежая – у Альфа-банка, но самая полная – у ОТП.
DeviceLock, которая в пятницу обнаружила утечку двух баз данных Альфа-банка, датирует первую примерно 2014–2015 годами, а вторую 2018–2019. В первой информация пусть и не сама свежая, однако все еще содержит актуальные данные. Со второй все несколько интереснее: помимо ФИО и телефонов в ней есть год рождения, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130–160 тыс. руб.
Ознакомившись с первой базой, журналистам удалось сделали вывод, что клиенты из нее в основе своей проживают в Северо-Западном федеральном округе, а телефонные номера, в большинстве своем, действуют и принадлежат указанным людям. Органы власти это невольно тоже задело, так как были обнаружены данные около 500 сотрудников МВД и порядка 40 человек из ФСБ.
Вместе с этими двумя базами в комплекте идет еще пара, с клиентами ХКФ-банка и ОТП-банка. В ХКФ-банке могут пострадать 24,4 тыс. клиента, так как их ФИО, паспортные данные, мобильный и домашний телефоны, адрес и столбец «лимит» (вероятно кредитный), теперь у всех на виду. Журналистам также удалось выяснить, что большинство живет в Волгограде и области.
У ОТП-банка под угрозой могут оказаться 800 тыс. человек по всей России. Хоть датируют ее и 2013 годом, несколько человек из базы подтвердили свое отношение к банку. ФИО, телефоны, почтовый адрес, одобренный кредитный лимит, рабочие пометки о том, как прошел контакт с клиентом – все это содержится в ней.
ОТП-банк утечку не зафиксировал, но и он и Альфа-банк назначают проверки для выяснения всех обстоятельств.
По предположению основателя и технического директора DeviceLock Ашота Оганесяна старая база Альфа-банка могла утечь из компании в результате массового увольнения регионального IT-отдела осенью 2014 года. Вторая – скорее всего дело рук какого-нибудь клиентского менеджера.
Гендиректор Zecurion Алексей Раевский предполагает, что базы оказались в открытом доступе, без паролей, выложенные так спокойно в Сеть, просто потому, что они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности. Теперь клиенты, фигурирующие в них, просто перейдут в руки широкого круга банковских мошенников. Возможно, в ближайшее время им будут звонить под видом служб безопасности банков.
Сложно сказать, клиенты какого банка сейчас в наибольшей опасности. Может, эта ситуация и вовсе пройдет мимо них.
В апреле 2019 года, когда была выложена эта запись, Ашот Оганесян привлекал внимание к тому факту, что причиной ситуации являются ошибки конфигурации, вызванные крайне низкой квалификацией их пользователей и отсутствием в компаниях процедур аудита информационной безопасности. Также тогда он писал, что не понимает, кому сообщить о том, что доступ к базе нужно закрыть. Хостеры не выдают данные владельцев, да и в принципе часто считают, что пользовательские ошибки конфигурации не их проблема. А подавляющее большинство самих владельцев реагируют слишком медленно или не реагирует вовсе.
DeviceLock планировала обратиться в Роскомнадзор, чтобы предложить выработать процедуру блокировки открытых баз, содержащих персональные данные.
Как построить систему информационной безопасности, чтобы она обеспечивала защиту на уровне, превосходящем тех, кто наименее подготовлен к угрозам.