IT-новости в области права

Персональные данные клиентов Альфа-банка попали в сеть

05.11.2019

Данные держателей кредитных карт Альфа-банка, а также клиентов «АльфаСтрахования» оказались выставлены на продажу. Продавец, опубликовавший соответствующее объявление на одном из специализированных форумов, заявил, что у него есть свежие данные примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Объявление было опубликовано 31 октября, продавец зарегистрировался в этот же день. В бесплатном пробнике содержалось 13 договоров клиентов Альфа-банка и десять договоров клиентов «АльфаСтрахования». В договорах содержатся ФИО, номер мобильного телефона, паспортные данные, адрес регистрации, сумма кредитного лимита или оформленной страховки, предмет страхования, а также дата заключения договора. По словам продавца, все договоры Альфа-банка, которые есть у него в распоряжении, оформлены в октябре, а выгрузка базы произошла 22 октября. Договоры, заключенные в «АльфаСтраховании», оформлены в один день – 8 мая 2019 года. При попытке клиента перевести деньги через мобильное приложение по номеру телефона в 11 случаях из 13 имена, отчества и первые буквы фамилий в приложении совпали с теми, что указаны в договоре, у оставшихся двух номера телефонов к карте банка не привязаны. Дозвониться удалось до девяти клиентов: большинство из них, в том числе те, кого не удалось проверить через мобильное приложение, подтвердили, что недавно оформляли кредитную карту в Альфа-банке. Одному из клиентов уже успели позвонить мошенники, он заблокировал карту. Данные клиентов, указанные в договорах «АльфаСтрахования», в результате проверки не подтвердились. Часть договоров не содержит ФИО или номер телефона, еще в нескольких записаны ошибочные отчества и предмет страхования. Дозвониться удалось только по четырем номерам из десяти, никто из собеседников не смог в полной мере подтвердить информацию либо вовсе отказался говорить. Представитель Альфа-банка подтвердил факт распространения персональных данных небольшого числа клиентов. «На данный момент достоверно известно о незаконном распространении персональных данных 15 клиентов», – сказал он. Банк проводит внутреннее расследование «по выявлению масштаба инцидента и обстоятельств, в результате которых такие данные стали доступны третьим лицам». «Достоверно установлено, что возникновение данной ситуации не является следствием нарушения защиты корпоративной информационной системы банка. Утечка не подвергает опасности средства на счетах клиентов, так как не содержит никаких данных, необходимых для доступа к счетам», – подчеркнул представитель Альфа-банка.

Договоры не содержат номера карт и CVV-коды, поэтому прямого доступа к деньгам мошенники получить не смогут. Однако они могут воспользоваться информацией, чтобы, например, позвонить клиенту под видом банка и выяснить необходимые сведения для кражи денег. Банки при общении с клиентами никогда не запрашивают подобную информацию. Если такой звонок поступает, то необходимо перезвонить в банк по номеру, указанному на сайте или на карте. Представитель «АльфаСтрахования» сообщил, что компании «известно о фактах размещения в интернете объявлений о продаже данных по договорам страхования электронных устройств». «АльфаСтрахование» уже ввело дополнительные меры безопасности, сейчас оно проводит расследование и проверяет опубликованные данные. «Дальнейшие меры, которые будет предпринимать компания, будут определены на основании результатов расследования», – добавил он. ЦБ не комментирует действующих игроков рынка.

Источник, близкий к ЦБ: «Слив данных и Альфа-банка, и «АльфаСтрахования» на черный рынок мог совершить один и тот же человек – сотрудник банка, причем из низового звена. Скорее всего, он сидел на обработке этих договоров и решил слить их на черный рынок, чтобы заработать». Подобные утечки могут происходить по разным причинам, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Самый распространенный сценарий – утечка из дополнительного офиса банка. Менее вероятный вариант – большая утечка данных из архива. Если судить по открытой статистике по уголовным делам и по характеру документов, то источником утечки могли стать сотрудники кредитного отдела или отдела досудебного погашения задолженностей, считает руководитель направлений «аудит» и «комплаенс» департамента информационной безопасности Softline Илья Тихонов: именно они имеют доступ к различным базам для проверки клиентов. «Такие данные могут применяться различным образом: их могут использовать мошенники, которые связываются с потенциальными жертвами от лица банка с целью похитить средства, или конкуренты, которые на основании знаний об используемых услугах предлагают людям более выгодные условия», – отметил Тихонов. Утечки из крупных банков – не редкость, на них есть стабильный спрос, поэтому «всегда будут находиться люди, готовые их найти», добавляет он. Риски компрометации небольших объемов данных актуальны для любого банка, особенно когда источником утечки является один сотрудник, говорит Сизов. «Защититься от потери клиентских данных, которые обслуживает один операционный работник, – крайне непростая задача, и лежит [она] не только в плоскости информационной безопасности, а скорее в физической защите, методах видеоконтроля и внутреннего режима», – указывает он.