Банк России предупредил кредитные организации об утечке данных 55 тыс. карт клиентов маркетплейса Joom, специализирующегося на доставке товаров из Китая по всему миру. Об этом рассказали РБК два источника в банковском секторе и подтвердил собеседник, близкий к ЦБ.
РБК нашел несколько объявлений о базе данных клиентов на специализированных сайтах и в Telegram-каналах, которые были опубликованы на прошлой неделе, - в большинстве из них данные можно скачать бесплатно. База данных содержит первые шесть и последние четыре цифры номера карты, срок ее действия, указание платежной системы и банка, который выпустил карту, а также ФИО, контактные данные (телефон и электронную почту) и адрес проживания. В базе содержатся сведения о картах и клиентах Сбербанка, Россельхозбанка, "Открытия", Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, "Ак Барса", Промсвязьбанка, Ситибанка, Юникредит Банка, банков "Санкт-Петербург", "Уралсиб", "Зенит", "Ренессанс Кредит", РНКБ, МТС Банка, УБРиР и других российских и зарубежных банков.
Сообщения от ФинЦЕРТ (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России) приходили только банкам, чьи карты использовали клиенты из базы. Платежная система Visa также проинформировала кредитные организации об утечке.
Компания Joom сообщала об утечке еще в марте, но тогда речь шла только об именах, адресах, номерах телефона и данных электронной почты (без информации о банковских картах) "как минимум 1 тыс. пользователей" в России и Белоруссии, а не о 55 тысячах. Представитель Joom сказал, что в марте злоумышленники получили доступ к ресурсам одного из контрагентов Joom, и маркетплейс уже прекратил отношения с ним, а угроза дальнейшей утечки была устранена. Он также заявил, что не может подтвердить информацию об объеме в 55 тысяч, так как опубликованную базу необходимо изучить и проанализировать на предмет соответствия данным компании.
Представитель Сбербанка заявил, что компания получила уведомления об инциденте от платежных систем, но не зафиксировала данные карт своих клиентов в утекшей базе. В ней были сведения о картах четырех клиентов зарубежных "дочек" Сбербанка, но им ничего не угрожает. В то же время утекшую в сеть информацию все же можно использовать для мошенничества. "Поэтому рекомендуем банкам, чьи клиенты оказались в списке, провести с клиентами коммуникации и усилить правила на антифрод системах", - сообщили в Сбербанке РИА "Новости".
О полученном предупреждении заявили также представители Райффайзенбанка, банка "Открытие", Росбанк и МКБ, Промсвязьбанка и банка "Санкт-Петербург". При этом представители двух последних банков заявили, что утекшие данные не открывают доступа к счетам, "Открытие" взяло на дополнительный контроль все операции по картам своих клиентов из базы. Райффайзенбанк заблокировал скомпрометированные карты и сообщил клиентам о перевыпуске карт, а Промсвязьбанк намерен это сделать в ближайшее время. Qiwi заблокировала карты и предложила пользователям их перевыпустить или компенсировать стоимость. МТС Банк, УБРиР и РНКБ предупреждают своих клиентов с картами из базы об их компрометации и необходимости перевыпуска. Другие банки также заявили о скором перевыпуске скомпрометированных карт.
Эксперты отмечают, что данные этой базы могут использоваться только с целью мошенничества путем социальной инженерии, когда мошенники обманывают банковских клиентов, для убедительности используя персональную информацию из баз. Интернет-магазины традиционно являются одним из самых слабо защищенных сегментов, так как их создатели уделяют недостаточно внимания вопросу защиты от кибератак. Однако в целом мошенникам будет сложно использовать базу, поскольку после единичного прозвона потенциальные жертвы телефонных мошенников становятся бдительнее.
О такого рода утечках сообщается регулярно: в феврале в cеть попали данные клиентов кредитного брокера "Альфа-Кредит", который собирает заявки на кредиты и помогает выбрать и получить заем в банке. Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач.
База содержала более 44 тысяч записей, включавших ФИО клиента, сумму и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Тогда же в продаже на специализированном интернет-сайте появились данные более 1,2 млн клиентов микрофинансовых организаций. "Пробник" базы, содержащий около 800 записей, включал фамилии, имена, отчества, номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян. В июле неизвестные опубликовали на одном из хакерских форумов сразу шесть баз данных клиентов сервисов Avito и "Юла".