Данные примерно 880 тыс. клиентов Альфа-Банка, Хоум Кредит Банка и ОТП Банка оказались в открытом доступе. Среди прочих, в базе оказались сведения о работниках МВД и ФСБ.
Отечественная система борьбы с утечками данных DeviceLock обнаружила в пятницу утечку двух баз данных с клиентами Альфа-Банка. Первая база содержит данные о более чем 55 тыс. клиентов. В базе фигурируют ФИО, адрес проживания, телефоны (мобильный, домашний и рабочий), а также место работы. В DeviceLock предполагают, что база 2014-2015 годов. Во второй базе содержатся только 504 записи, зато она датируется 2018-2019 годами и содержит более подробные данные о клиентах: паспортные данные, год рождения, отделение обслуживания в банке и даже остаток на счете, колеблющийся в диапазоне от 130 тыс. до 160 тыс. рублей, сообщает «Коммерсантъ».
Первая база данных находится в открытом доступе как минимум с конца мая. А все клиенты, фигурирующие в ней, судя по указанной в базе информации, проживают на территории Северо-Западного федерального округа. Большинство указанных телефонных номеров оказались действующими и действительно принадлежат указанным лицам. По месту работы помимо сотрудников прочих организаций в базе можно найти порядка 500 служащих МВД и около 40 сотрудников ФСБ.
Вместе с базой клиентов Альфа-Банка были выложены две другие базы. Судя по их описанию, содержащиеся в них данные принадлежат клиентам Хоум Кредит Банка и ОТП Банка.
База ХКФ-банка включает в себя данные более 24 тыс. физических лиц и содержит их ФИО, паспортные данные, телефоны, адреса и столбец «лимит» (в «Коммерсантъ» предположили, что кредитный). Большая часть клиентов из этой базы проживают в Волгограде и Волгоградской области. Корреспонденты газеты связались с несколькими людьми, фигурировавшими в списке, и те подтвердили, что действительно брали кредит в ХКФ-банке, но давно. Насколько актуальны остальные данные, судить сложно.
В базе ОТП Банка содержатся данные о 800 тыс. клиентов со всей территории России. Кроме ФИО, телефонов и почтового адреса в ней указаны одобренный кредитный лимит и рабочие пометки сотрудников банка (результаты телефонного разговора/встречи с клиентами). База датируется 2013 годом. «Коммерсантъ» связался с несколькими людьми из этой базы и они подтвердили, что кредитовались в ОТП Банке.
Реакция банков
В Альфа-Банке на вопрос об утечке информации сообщили, что их уполномоченные службы уже проводят проверку размещенных в открытом доступе сведений и персональных данных предполагаемых клиентов банка на достоверность и актуальность. ОТП Банк сообщил, что утечка информации не была зафиксирована в их организации и им не известно, откуда появилась указанная база. В Хоум Кредит Банке сообщили, что хоть им и не известно «происхождение данных в указанном файле», кредитная организация примет меры по установлению причин попадания базы в открытый доступ.
Основатель и технический директор DeviceLock Ашот Оганесян предположил, что данные 55 тыс. клиентов Альфа-Банка могли утечь в связи с массовым увольнением сотрудников подразделения ИТ в регионе осенью 2014 года и курсировать на черном рынке, а относительно недавно кто-то мог случайно или намеренно выложить ее даже без пароля. Небольшой размер второй базы и ее ограничение суммой счета может свидетельствовать о том, что свежая база могла быть взята рядовым клиентским менеджером, сообщает сотрудник службы безопасности одного из банков.
Каковы риски для клиентов?
Люди, чьи персональные данные оказались в обнародованных базах, теперь рискуют стать жертвами широкого круга мошенников. В частности, злоумышленники могут звонить лицам, фигурирующим в списках, представляясь сотрудниками службы безопасности банка. Демонстрация знаний паспортных данных и личной информации о клиенте позволит мошенникам войти в доверие и получить информацию, необходимую для доступа к банковским счетам жертв. Кроме того, мошенники могут использовать паспортные данные, фигурирующие в базах, и в других целях.
Для минимизации рисков стать жертвой мошенников необходимо соблюдать основные правила:
1. Ни в коем случае нельзя никому сообщать персональные данные, пароли, коды и номера карт. Сотрудникам банка эта информация не нужна, у них есть все необходимые доступы. Если вам звонят под видом банка и спрашивают какие-то данные – это мошенники. Для актуализации данных банки обычно приглашают в отделение.
2. Все СМС, которые приходят от лица банка, как правило приходят с одного и того же номера и не требуют перейти по ссылке и/или перевести средства/указать данные по счету.
3. Если сообщают, что неприятности у ваших близких – в первую очередь, постарайтесь связаться напрямую с ними.
4. Всегда проверяйте информацию. Если в звонке вам сообщили о неожиданном выигрыше или об ошибочном списании средств с вашего счета – закончите звонок, проверьте свой счет и только потом, в случае необходимости, звоните на горячую линию кредитной организации.