Персональные и доступные. Как мошенники получают доступ к базам данных российских банков

Банковские утечки

Первые две утечки с данными о клиентах Альфа-банка обнаружила компания DeviceLock, пишет «Коммерсант». В первой базе приведены телефоны, адреса проживания и места работы 55 тысяч человек. Специалисты считают, что ее собирали в 2014–2015 годах.

Во второй базе, которую датировали 2018−2019 годами, приведены, кроме анкет и номеров телефонов, выписки из паспортов 500 клиентов, а также остатки на счетах с суммами от 130 до 160 тысяч рублей.

По информации издания, первая база Альфа-банка находится в свободном доступе с конца мая. Ее можно было скачать в архиве, вместе с данными о клиентах ХКФ-банка и ОТП-банка.

Во всех последних кредитных учреждениях клиенты брали кредиты. В базе ХКФ-банка приведены данные 24,4 тысячи клиентов из Волгограда и области. Журналисты смогли установить, что деньги брались в этом банке в 2009 году. Актуальность базы ОТП-банка — 2013 год.

Во всех базах есть фамилия, имя, отчество клиента, телефон, почтовый адрес и одобренная сумма кредита.

В пресс-службе Альфа-банка сообщили, что сейчас специальный отдел проводит проверку достоверности и актуальности опубликованных сведений о физических лицах, которые могут быть его клиентами. В ХКФ-банке заявили, что не знают источника появления данных, но обязательно выяснят. В ОТП-банке утечку опровергли.

Роскомнадзор заявил, что заблокирует ресурс, предоставивший открытый доступ к базам банковских клиентов. В беседе с «Интерфаксом» представитель ведомства пояснил, что у «Коммерсанта» уже взяли ссылки, ведущие к персональной информации.

По словам представителя Роскомнадзора, базы данных разместили на платном форуме, зарегистрированном американским хостингом на имя гражданина Украины. Серверы, где хранятся файлы, находятся в Германии. Ведомство намерено обратиться в суд для блокировки этого сайта.

В Роскомнадзоре отметили, что открытый доступ к личной информации россиян может привлечь мошенников. Ведомство начало проверку, чтобы выяснить, появились ли уже пострадавшие от утечек. По итогам проверки всех операторов, допустивших публикацию персональных данных в Сети, ждут особые меры. При этом в ведомстве не исключили, что банки стали жертвами фишинговой атаки.

Источники данных и торговля базами

Заместитель генерального директора компании Zecurion Александр Ковалев в беседе с «360» рассказал, что в основном базы данных появляются в открытом доступе через инсайдеров — сотрудников кредитных учреждений, которые имели или имеют легальный доступ к сведениям о банковских клиентах.

«Они могут скопировать данные себе на флешку и продавать полученную информацию, выкладывать частями или использовать в своих целях», — рассказал он.

Эксперт пояснил, что в любых банках случаются сокращения персонала, а доступ к базам данным имеют множество людей: IT-отделы, подрядчики, топ-менеджеры и люди на местах. Во многих случаях базу можно просто скачать в формате Excel. Этой ситуации можно было бы избежать, если бы такой возможности просто не было, потому что перебивать базы вручную достаточно долго и непродуктивно.

Получить доступ к персональным данным клиентов банков можно через хакерскую атаку. Это происходит в тех случаях, когда сетевая безопасность не настроена в полной мере, а смышленый умелец может ее обойти.

«Обычно это сложные штуки, но если кто-то целенаправленно хочет взломать, то это, конечно, возможно», — заявил Александр Ковалев. Третьим способом, по его словам, являются фишинговые письма. Когда сотрудник банка случайно открывает файл, переходит по ссылке или совершает другие действия, это приводит к заражению компьютера вирусом.

«Например, компьютер банковского аналитика: у него есть доступ ко всем данным. Система безопасности не очень хорошо отработала — и его компьютер заразился. Злоумышленник при помощи этого компьютера под видом аналитика в нерабочее время может просматривать те же базы данных, ключевую информацию, что-то выкачивать», — привел пример Александр Ковалев.

Он особо отметил, что для борьбы со всеми случаями в большинстве банков есть специальные меры защиты. С их помощью можно отследить инсайдеров и заблокировать им доступ или оповестить систему безопасности о злонамеренной активности.

«Второй вариант — когда контролируются привилегированные пользователи. Некоторые банки нанимают сторонние организации. То есть системный оператор, у него есть аналитики, которым дают доступ, и они уже могут специально или за зараженным компьютером слить информацию. Специальные системы анализируют весь сетевой трафик, нетипичные запросы», — рассказал Александр Ковалев.

В беседе с «360» сотрудник департамента защиты информации коммерческого банка Николай Пятиизбянцев заявил, что обычно вся информация с данными клиентов уходит не от самих банков, а от организаций, которые взаимодействуют с ними: подрядчиками и посредниками. «Из самих банков информация уходит крайне редко», — заявил он. При этом он пояснил, что ответственность за утечки персональных данных лежит именно на кредитных учреждениях. Разглашение банковской тайны — это уголовная статья.

Хакер Александр Варской добавил, что безопасность баз данных клиентов — давняя проблема всех банков. В кредитных учреждениях редко закладывают в смету необходимые мероприятия для защиты. Кроме того, крупные компании просто ведут перекрестный обмен базами данных.

Он пояснил, что базы ОТП-банка и ХКФ-банка утекли давно и все, кто хотел, с ними уже ознакомились. «Их можно во „ВКонтакте“ в документах найти. Из-за того, что все это произошло уже давно, ответственность за утечку этих баз уже никто не понесет», — заявил Александр Варской.

Появление в Сети

Если ваши персональные данные появились в Сети, не стоит особо обращать на это внимания, заявил заместитель генерального директора компании Zecurion Александр Ковалев. Он пояснил, что с ними уже ничего не сделать и никто не пойдет из-за этого менять свой паспорт или ИНН.

Выяснить, стали ли личные данные публичными, можно несколькими путями: самый простой — вбить в поисковике полное имя или попробовать найти базу самостоятельно, если она есть в открытом доступе.

«Стоит меньше переживать, потому что и банки, и другие компании безопасность соблюдают, внедряют новые системы, настраивают. Но и хакеры и технологии на месте не стоят. Новые способы будут появляться — и базы новые будут скачивать. И есть более серьезные атаки на банки, когда переводят миллиарды долларов. И тут уже не до того, что твои персональные данные где-то лежат. Тут твоих денег нет на счету и твой банк закрывается, потому что у него ушли деньги неизвестно куда», — пояснил Александр Ковалев.

Получив паспортные данные, мошенник теоретически может договориться с нечистоплотным сотрудником банка и оформить кредит просто по номеру документа, без личного участия. Доказать свою невиновность в этом случае можно только через суд. Но такие случаи достаточно редки. Чаще базами пользуются не мошенники, а недоброжелатели, то есть бывшие жены или конкуренты, которых интересует состояние банковского счета владельца.

«В целом не то, что это не опасно, но это не критичная утечка — с этим можно жить», — пояснил он.

По его словам, пока единственный способ борьбы с утечками — это внедрение специальных защитных систем, которые будут блокировать работу инсайдеров. Если же банку не удалось защитить данные клиентов, то в срочном порядке нужно обращаться в Роскомнадзор и суд для блокировки и удаления из поисковых систем страниц, где размещены ссылки на скачивание.

Александр Варской считает, что ценность личной информации можно нивелировать, только если сделать ее открытой, чтобы само понятие «персональные данные» исчезло.

«Если они будут открыты, то их ценность обессмыслится. Это очень хороший путь, и наша страна может много что выиграть, если пойдет по этому пути», — подытожил он.