Сервис Сбербанка "протёк" по-крупному. Персональные данные десятков миллионов клиентов в свободном доступе

В сервисах Сбербанка новая утечка персональных данных клиентов. В Сети найден архив с телефонами, адресами и номерами карт десятков миллионов пользователей, присоединившихся к бонусной программе "Сберспасибо". Пострадали как минимум 47,9 млн человек. В 2019 г. Сбербанк "слил" в Сеть ещё более крупный архив с не менее важными данными клиентов - эта утечка затронула свыше 60 млн пользователей банка.

Информационная безопасность - пустой звук

"Дочка" Сбербанка допустила огромную утечку персональных данных своих клиентов - пострадали десятки миллионов участники бонусной программы банка "Сберспасибо". Как сообщил в своем Telegram-канале сервиса разведки утечек данных и мониторинга даркнета DLBI, попавшая в Сеть база данных содержит информацию почти о 50 млн пользователей этой системы, включая персональные данные, которые в дальнейшем могут использоваться для рассылки спама и мошеннических операций.

Архив с данными пользователей "Сберспасибо" имеет объём в пределах 14 ГБ и состоит из двух файлов. Первый "весит" 820 МБ и называется Orders, а второй занимает около 13 ГБ и носит название Users. Предположительно, весь этот массив данных был получен из фирменного приложения "Сберспасибо".

На момент публикации материала представители "Сберспасибо" и Сбербанка не подтверждали информацию об утечке. Впрочем, официального опровержения тоже не было, что повышает вероятность подлинности оказавшихся в свободном доступе сведений. "Мы проверяем информацию и её достоверность, - сообщили CNews представители "Сберспасибо". - Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных".

Содержимое архива

По словам экспертов DLBI, основной массив данных в архиве - это номера телефонов пользователей - их в нём 47,9 млн, и все уникальные, без повтора. Адресов электронной почты в разы меньше, но тоже в избытке - 3,3 млн уникальных адресов. В итоге по первым мошенники могут звонить, к примеру, от имени службы безопасности самого Сбербанка и предложить перевести деньги на "супернадёжный" счёт для защиты от мошенников, а на вторые рассылать фишинговые письма с целью украсть банковские данные пользователей.

Последнее, впрочем, может и не потребоваться, поскольку в архиве оказались хешированные номера банковских карт клиентов "Сберспасибо", притом как основной карты, с которой они совершают платёжные операции чаще всего, так и всех дополнительных. Все они зашифрованы по древнему и в современном мире, как оказалось, полностью бесполезному алгоритму SHA1. "Не смотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем "восстановить" их реальные значения прямым перебором всех цифр", - утверждают эксперты DLBI.

Перечисленная информация дополнена датами рождения клиентов сервиса. При должной сноровке мошенники наверняка найдут способ использования и этих сведений в своих корыстных целях, равно как и дата создания и обновления записи пользователей в программе "Сберспасибо" за период с 22 июля 2015 г. по 7 июня 2022 г. Эти данные тоже оказались в архиве.

Хакеры на опыте

По информации сервиса DLBI, за утечку данных клиентов "Сберспасибо", ответственны те же киберпреступники, что ранее "слили" в Сеть информацию онлайн-платформы правовой помощи "Сберправо", "Сберлогистики", образовательного портала GeekBrains и ряда других сервисов. Эксперты сервиса считают, что в ближайшем будущем в Рунете появится утверждение представителей "Сберспасибо" о неактуальности представленной в утекшем архиве информации.

Читайте новости Шахты.SU - Информационного портала города Шахты во ВКонтакте, Телеграме и Дзене.