Информационная безопасность – пустой звук
«Дочка» Сбербанка допустила огромную утечку персональных данных своих клиентов – пострадали десятки миллионов участники бонусной программы банка «Сберспасибо». Как сообщил в своем Telegram-канале сервиса разведки утечек данных и мониторинга даркнета DLBI, попавшая в Сеть база данных содержит информацию почти о 50 млн пользователей этой системы, включая персональные данные, которые в дальнейшем могут использоваться для рассылки спама и мошеннических операций.
Архив с данными пользователей «Сберспасибо» имеет объем в пределах 14 ГБ и состоит из двух файлов. Первый «весит» 820 МБ и называется Orders, а второй занимает около 13 ГБ и носит название Users. Предположительно, весь этот массив данных был получен из фирменного приложения «Сберспасибо».
На момент публикации материала представители «Сберспасибо» и Сбербанка не подтверждали информацию об утечке. Впрочем, официального опровержения тоже не было, что повышает вероятность подлинности оказавшихся в свободном доступе сведений. «Мы проверяем информацию и ее достоверность, – сообщили CNews представители «Сберспасибо». – Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных».
Содержимое архива
По словам экспертов DLBI, основной массив данных в архиве – это номера телефонов пользователей – их в нем 47,9 млн, и все уникальные, без повтора. Адресов электронной почты в разы меньше, но тоже в избытке – 3,3 млн уникальных адресов. В итоге по первым мошенники могут звонить, к примеру, от имени службы безопасности самого Сбербанка и предложить перевести деньги на «супернадежный» счет для защиты от мошенников, а на вторые рассылать фишинговые письма с целью украсть банковские данные пользователей.
Последнее, впрочем, может и не потребоваться, поскольку в архиве оказались хешированные номера банковских карт клиентов «Сберспасибо», притом как основной карты, с которой они совершают платежные операции чаще всего, так и всех дополнительных. Все они зашифрованы по древнему и в современном мире, как оказалось, полностью бесполезному алгоритму SHA1. «Не смотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем "восстановить" их реальные значения прямым перебором всех цифр», – утверждают эксперты DLBI.
Перечисленная информация дополнена датами рождения клиентов сервиса. При должной сноровке мошенники наверняка найдут способ использования и этих сведений в своих корыстных целях, равно как и дата создания и обновления записи пользователей в программе «Сберспасибо» за период с 22 июля 2015 г. по 07 июня 2022 г. Эти данные тоже оказались в архиве.
Хакеры на опыте
По информации сервиса DLBI, за утечку данных клиентов «Сберспасибо», ответственны те же киберпреступники, что ранее «слили» в Сеть информацию информацию онлайн-платформы правовой помощи «Сберправо», «Сберлогистики», образовательного портала GeekBrains и ряда других сервисов. Эксперты сервиса считают, что в ближайшем будущем представители в Рунете появится утверждение представителей «Сберспасибо» о неактуальности представленной в утекшем архиве информации.
За последний месяц это как минимум второй случай «серийной утечки» данных, когда один хакер или группа хакеров выгружает в Сеть информацию нескольких сервисов и компаний. 9 марта 2023 г. CNews освещал случай взлома компании Acronis, занимающейся информационной безопасностью – архив с ее корпоративной информацией попал в интернет через пару дней после утечки в Acer, крупном производителе компьютерной техники.
Оба «слива» – результат действий одного человека или одной группы лиц. Acer сразу признала утечку, а вот Acronis сперва опровергла факт утечки, но потом выпустила «опровержение на опровержение»: как пишет The Register, она призналась в случившемся, но заявила, что в результате инцидента пострадал всего лишь один ее клиент.
Почти рекорд
В конце 2019 г. в Сети по недосмотру службы безопасности «Сбера» оказалась база данных с информацией о более чем 60 млн клиентах банка. – общедоступными стали их ФИО, паспортные данные и ряд других сведений, включая информацию по кредитам.
Подлинность записей была подтверждена, а утечку допустил один из теперь уже бывших работников банка, решивший подзаработать на продаже базы данных в даркнете.
По итогам расследования этого инцидента Сбербанк заявил CNews, что «сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом интернете в совокупности пять тысяч учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными».