В сети начали продавать базу данных, содержащую информацию о 70 тыс. клиентов БинБанка, который в рамках санации был присоединен к банку «Открытие», сообщает издание «Коммерсант».
Журналистам «Коммерсанта» об утечке базы данных сообщила DeviceLock, которая занимается разработкой программных средств защиты от утечек данных с корпоративных компьютеров. По словам специалистов компании, в даркнете можно купить базу данных клиентов БинБанка по цене примерно 5 рублей за строку.
Весной специалисты DeviceLock обнаружили уязвимость в системе безопасности банка, благодаря которой злоумышленники похитили личные данные клиентов, оставивших заявки на получение кредитной карты. После обнаружения уязвимости БинБанк оперативно ее устранил, но данные клиентов уже попали в руки преступников.
В DeviceLock считают, что базу данных изначально продали «эксклюзивно в одни руки», но теперь ее предлагают купить всем желающим. Неизвестно, как повлияла на результативность хакерских атак эта утечка.
В банке «Открытие» отрицают сам факт того, что эта база данных имеет отношение к клиентам БинБанка. По информации банка, количество результативных атак на клиентов банка осталось практически таким же, как в 2018 году. В начале этого года банк ввел в эксплуатацию новую антифрод-систему, которая пресекает большинство мошеннических действий.
Вопросы к регулятору
Многие эксперты считают, что основная проблема здесь не в системе безопасности банка, а в ЦБ, который проверял инфраструктуру банка во время санации. Процедура санации проходит в два этапа: сначала в банк приходит временная администрация регулятора, затем проводится сама сделка.
Временная администрация обязана привлекать к работе сотрудников ФинЦЕРТ ЦБ, которые получают доступ ко всем системам банка. Специалисты отмечают, что у ЦБ есть все возможности и полномочия провести технический аудит, но особого внимания ему не уделяют.
Когда мошенники обманывают клиента, с помощью социальной инженерии заставляя его передать информацию о карте, банк не выплачивает никаких компенсаций. Здесь ситуация другая: юристы считают, что поскольку в утечке виноват именно банк, пострадавшие клиенты могут рассчитывать на возвращение украденных у них средств — суд, скорее всего, встанет на их сторону.
Это уже не первая крупная утечка из российских банков за это лето. В июне в сети появилась информация о клиентах ОТП-банка, Альфа-Банка и ХКФ-банка. Мошенники продавали паспортные данные и сведения о месте работы клиентов финансовых организаций.
В ЦБ посчитали, что эти базы данных представляют собой «сборник» сведений, полученных во время предыдущих инцидентов. В Роскомнадзоре предупредили, что в дальнейшем в отношении банков, которые допустили утечку личных данных пользователей, будут инициированы генеральные проверки.
Источник
