Персональные данные нескольких миллионов клиентов российского Сбербанка попали на черный рынок. Продавцы утверждают, что в базе содержатся данные 60 миллионов человек. В самом Сбербанке заявили, что подозревают в возможной утечке одного из сотрудников, но утверждают, что были "слиты" данные лишь порядка 200 клиентов банка. Роскомнадзор уже потребовал, чтобы банк объяснил причины утечки.
Первым объявление о продаже крупнейшей банковской базы августа этого года увидел Ашот Оганесян, специалист по защите от утечек информации и основатель DeviceLock. Он рассказал телеведущей программы "Главное" Ксении Соколянской, что базу, вероятно, уже кто-то купил, и объяснил, как могла произойти подобная утечка:
— Вы были первым, кто узнал об утечке данных. Расскажите, как вы их обнаружили?
— Попалось на глаза объявление о продаже. Дело в том, что я занимаюсь просто мониторингом черного рынка и вообще открытых баз данных либо баз данных, которые продаются. И просто очередное объявление о том, что продается база [данных] большого банка, – меня оно заинтересовало, я связался с продавцом, и выяснилось, что речь идет о Сбербанке, а продавец утверждал и утверждает, что это 60 млн данных.
Соответственно, я передал эту информацию журналистам "Коммерсанта". Со своей стороны они тоже с ним связались и получили контрольные данные, тестовые так называемые. Проверили свои карточки на наличие в этой базе, подтвердили это. Дальше история получила развитие.
— Роскомнадзор уже обратился к Сбербанку с требованием объяснить причины утечки. Как специалист по информационной защите, можете рассказать, как это могло произойти?
— В любом случае это все версии, мы можем только предполагать. Теория с какими-то внешними злоумышленниками-хакерами отметается сразу как недостоверная, поскольку это просто нереально, это только в кино такое возможно. Остается единственная более-менее верная теория – про инсайдера, то бишь сотрудника либо из самого банка, либо стороннего подрядчика, который по своим служебным обязанностям имел доступ к этим данным. Скорее всего, IT-персонал. Причем какого-то среднего либо высшего звена, потому что вряд ли низшее звено айтишников имеет доступ к полной базе данных.
То есть здесь речь идет не о том, что утекли какие-то тысячи записей, а продавец утверждает о том, что там 60 млн. Соответственно, это полная база [данных], и к полной базе очень ограниченное количество лиц имеют доступ.
— Какую сумму попросил у вас продавец, когда вы с ним связались?
— Не у нас просили. В смысле за сколько нам предлагали? Цена, которая из первоисточника была, – 5 рублей за одну запись. Данные разбиты на 11 частей, это соответствует количеству регионов Сбербанка, региональных крупных офисов. В одном файле они продавали по 50 тысяч в виде экселевских таблиц. Но проблема в том, что я уже нашел у перекупщиков эту базу [данных], они уже продают ее за 74 рубля. То есть это пока пик цены этой базы. Базу [данных] уже выкупили, это можно рассматривать как оптовую точку, которую уже в мелкую розницу перепродают другие люди.
— В Роскомнадзоре заявили, что сейчас этой конкретной базы данных нет в отрытом доступе.
— Ее можно было купить, по крайней мере, вчера. Сейчас, вероятно, в связи со всей этой шумихой, скорее всего, продавцы немножко залягут на дно, как это обычно бывает. Естественно, в открытый доступ она не выложена, потому что это база [данных] августа этого года, это очень свежая база, и такую базу никто бесплатно не выложит никуда. Если только это не по ошибке произошло, по вине какого-то сотрудника, подрядчика, такое бывает. Но в данном случае – нет, конечно. Эта база [данных] в обозримом будущем не появится в открытом доступе, потому что она стоит денег. Собственно, злоумышленники попытаются монетизировать ее.
— Если предположить, что за утечкой действительно стоит сотрудник Сбербанка, который, украв ее, рискует очень многим, какую сумму он может заработать на продаже этой информации?
— Просто умножить 60 млн на 5 рублей, то мы получаем 300 млн рублей. Другой вопрос, что это не совсем так работает, потому что, во-первых, он никогда не найдет покупателя через форумы за такие деньги на такую базу. То есть там есть некий сомнительный момент, почему он выставил базу в открытую на нескольких, как минимум на 4-5 форумах. Я обнаружил одно из первых объявлений на одном форуме, сейчас уже известно, что это было на 4-5 других форумах. Плюс посредники уже через Telegram продают. Или это группа лиц, или это один человек. Он попытался это все дело монетизировать, но я думаю, что речь идет о гораздо меньших деньгах.
— Пытаясь продать информацию по таким каналам, этот человек ведет себя как дилетант?
— Вообще говоря, не совсем. Потому что это довольно типичная практика, когда банковские базы данных – просто не такие крупные – они на этих форумах продаются. И уже были случаи по другим банкам подтвержденные, когда продают не такие свежие базы, не такие полные, не такие большие, но тем не менее они есть. Прошлого года, позапрошлого года.
Эта практика распространенная, просто здесь беспрецедентен именно масштаб, о котором заявляет продавец. Опять-таки, мы не знаем, что это 60 млн, мы только знаем, что это 240 [записей], которые мы видели. И этот человек явно имеет доступ к базе, потому что он смог подтвердить [данные] как минимум 4-5 сторонних человек, владельцев кредитных карт Сбербанка, которых ему предоставили мы и журналисты "Коммерсанта".
— Сбербанк – главный банк России. Какие репутационные потери он понесет или уже несет после такого скандала?
— Я не большой специалист в этих вопросах, я больше технический человек. Безусловно, тут логично можно предположить, что репутационные потери какие-то будут. Другое дело, что Сбербанк уже официальный пресс-релиз выпустил о том, что они подтвердили утечку именно 200 человек, записей, точнее, 200 кредитных карт. И они это достаточно правильно сделали, с моей точки зрения, потому что это действительно то, что им известно.
Другое дело, что мы-то понимаем, что там все гораздо хуже. Но они не могут слухами, непроверенной информацией оперировать. Поэтому они, мне кажется, будут сводить все к этим пресловутым 200 записям. Что утечка была, но она была не такая большая, что продавец на самом деле врал, ни о каких 60 млн речь не шла и так далее.
— Кто покупает подобные базы данных и как они дальше используются? В чем их ценность?
— Ценность их в том, что их используют банковские мошенники, которые, представляясь сотрудниками банка, используя даже телефоны банка, подставляя номера, звонят людям и говорят такие вещи. Например: мы сотрудники банка, служба безопасности, вы такой-то, номер счета такой-то, у вас данные такие-то. То есть полностью втираются в доверие. И дальше говорят, предположим: мы видим, что с вашим счетом происходит что-то нехорошее, кто-то пытается украсть ваши деньги, нужно обязательно срочно принять определенные шаги. Вот эти шаги сводятся к тому, что деньги нужно куда-то срочно перевести.
И в конце человека фактически подводят к тому, что по телефону диктуют коды подтверждения транзакций, которые через банк клиент производит или через смс-банкинг. И таким образом мошенники просто грабят людей. То есть эти базы нужны для того, чтобы втираться в доверие людей, потому что фактически, обладая этой базой, можно о человеке все рассказать и представиться именно сотрудником.