Почти миллион клиентов банков под угрозой

Почти миллион клиентов банков под угрозой

Личные данные клиентов ОТП Банка, Альфа-банка и ХКФ Банка оказались в открытом доступе.

Суммарно утечка затрагивает около 900 тыс. россиян. Имена, телефоны, паспорта и место работы – все это оказалось в Сети и доступно каждому. Базы были выложены как минимум в конце мая этого года.
Самая свежая – у Альфа-банка, но самая полная – у ОТП.

DeviceLock, которая в пятницу обнаружила утечку двух баз данных Альфа-банка, датирует первую примерно 2014–2015 годами, а вторую 2018–2019. В первой информация пусть и не сама свежая, однако все
еще содержит актуальные данные. Со второй все несколько интереснее: помимо ФИО и телефонов в ней есть год рождения, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете,
ограниченный диапазоном 130–160 тыс. руб.

Ознакомившись с первой базой, журналистам удалось сделали вывод, что клиенты из нее в основе своей проживают в Северо-Западном федеральном округе, а телефонные номера, в большинстве своем,
действуют и принадлежат указанным людям. Органы власти это невольно тоже задело, так как были обнаружены данные около 500 сотрудников МВД и порядка 40 человек из ФСБ.

Вместе с этими двумя базами в комплекте идет еще пара, с клиентами ХКФ-банка и ОТП-банка. В ХКФ-банке могут пострадать 24,4 тыс. клиента, так как их ФИО, паспортные данные, мобильный и
домашний телефоны, адрес и столбец «лимит» (вероятно кредитный), теперь у всех на виду. Журналистам также удалось выяснить, что большинство живет в Волгограде и области.

У ОТП-банка под угрозой могут оказаться 800 тыс. человек по всей России. Хоть датируют ее и 2013 годом, несколько человек из базы подтвердили свое отношение к банку.  ФИО, телефоны,
почтовый адрес, одобренный кредитный лимит, рабочие пометки о том, как прошел контакт с клиентом – все это содержится в ней.

ОТП-банк утечку не зафиксировал, но и он и Альфа-банк назначают проверки для выяснения всех обстоятельств.

По предположению основателя и технического директора DeviceLock Ашота Оганесяна старая база Альфа-банка могла утечь из компании в результате массового увольнения регионального IT-отдела осенью 2014
года. Вторая – скорее всего дело рук какого-нибудь клиентского менеджера.

Гендиректор Zecurion Алексей Раевский предполагает, что базы оказались в открытом доступе, без паролей, выложенные так спокойно в Сеть, просто потому, что они использовались в узком круге, а когда
перестали быть нужными, стали достоянием общественности. Теперь клиенты, фигурирующие в них, просто перейдут в руки широкого круга банковских мошенников. Возможно, в ближайшее время им будут
звонить под видом служб безопасности банков.

Сложно сказать, клиенты какого банка сейчас в наибольшей опасности. Может, эта ситуация и вовсе пройдет мимо них.

Ранее в своем блоге DeviceLock писала о том, что в рунете обнаружено около тысячи открытых баз данных. Аналитики компании обнаружили «более 1900 серверов, использующих платформы MongoDB,
Elasticsearch и Yandex ClickHouse, более половины которых (52%) предоставляли возможность неавторизованного доступа, а 10% при этом содержали персональные данные россиян или коммерческую информацию
компаний. Еще 4% уже были до этого взломаны хакерами и уже имели требования о выкупе». Только за последнее время попали в открытый доступ данные пациентов скорой помощи, клиентов сервиса «Звонок» и
информационной системы «Сетевой Город. Образование».

В апреле 2019 года, когда была выложена эта запись, Ашот Оганесян привлекал внимание к тому факту, что причиной ситуации являются ошибки конфигурации, вызванные крайне низкой квалификацией их
пользователей и отсутствием в компаниях процедур аудита информационной безопасности. Также тогда он писал, что не понимает, кому сообщить о том, что доступ к базе нужно закрыть. Хостеры не выдают
данные владельцев, да и в принципе часто считают, что пользовательские ошибки конфигурации не их проблема. А подавляющее большинство самих владельцев реагируют слишком медленно или не реагирует
вовсе.

DeviceLock планировала обратиться в Роскомнадзор, чтобы предложить выработать процедуру блокировки открытых баз, содержащих персональные данные.

Источник: http://www.it-world.ru/it-news/security/146137.html