База с информацией о кредитных картах клиентов Сбербанка попала в открытый доступ. В банке официально признают теперь уже утечку 5 тыс. учетных записей. Эксперты демонстрируют наличие минимум 2 тыс. записей. Однако идет речь об одних и тех же людях или эти цифры нужно суммировать, пока неизвестно. Продавец данных продолжает выходить на связь через теневой форум, где пытается реализовать их, несмотря на сообщения о выявлении и задержании сотрудника Сбербанка, ответственного за утечку.

Сбербанк вечером 7 октября опубликовал сообщение «о дополнительных фактах, выявленных в ходе расследования по обнаружению канала утечки данных учетных записей по кредитным картам клиентов». В частности, в банке заявили, что его служба безопасности вместе с правоохранительными органами изъяла «все украденные сведения и зафиксированы доказательства этого». Однако «сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом интернете в совокупности 5 тыс. учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными». До сих пор банк официально признавал утечку данных только 200 клиентов.

За несколько часов до этого на появление в открытом доступе базы с данными держателей кредитных карт обратил внимание основатель DeviceLock Ашот Оганесян.

“Ъ” ознакомился с этой базой и выяснил, что она является новой частью утечки, частично признанной Сбербанком. В свободном виде распространяется еще несколько баз кредитных карт, но меньшего объема.

Так, одна из попавших в открытый доступ баз имеет 1999 строк. Из них 1709 строк относятся к активным картам, еще 290 — к закрытым. “Ъ” случайным образом выбрал 20 строк, проверив работоспособность активных карт (ни одна из них по состоянию на 19:00 7 октября не была заблокирована), а также прочую информацию об их владельцах по соцсетям. В открытом доступе “Ъ” обнаружил еще несколько баз, в том числе на 500 и 300 клиентов с похожей структурой данных.

Об утечке данных из Сбербанка “Ъ” сообщил 3 октября. Продавец на одном из теневых ресурсов заявил, что продает данные о 60 млн кредиток (всего их сейчас у банка 18 млн), как активных, так и закрытых. Он предоставил “Ъ” пробный фрагмент базы с 200 кредитными картами (именно их утечку признал Сбербанк), а также проверил сведения о кредитках корреспондентов “Ъ”, которых в пробнике не было (вся полученная информация полностью совпала с той, что содержится в бумажных копиях договоров). «Ведомости» со ссылкой на зампреда правления банка Александра Ведяхина 3 октября приводили технически детали утечки: Сбербанк обнаружил «ресурс, на котором предположительно хранился файл с данными о 200 клиентах», который «не был никак связан с внешними системами банка и находился во внутренней директории одной из систем, копию которой, предположительно, невозможно сделать».

Уже 5 октября банк разослал пресс-релиз, в котором заявил, что завершил расследование инцидента. «Угроза утечки клиентских данных (помимо данных о кредитных картах 200 клиентов банка, о чем было сообщено в пресс-релизе банка от 3 октября.— “Ъ”) отсутствует»,— заявили в Сбербанке.

В тот же день его глава Герман Греф в эфире программы «Вести» на телеканале «Россия 1» заявил, что информация об утечке 60 млн клиентов Сбербанка является «информационным шумом»:

Никакой утечки данных, кроме 200 владельцев карт (не было.— “Ъ”), которые опять-таки не были опубликованы в открытом доступе, они находятся у нас и еще в трех источниках, которые мы контролируем».

Итогом расследования Сбербанка стало задержание его сотрудника. По словам господина Грефа, это произошло 4 октября, теперь сотруднику грозит уголовная ответственность. В то же время человек, продававший данные на теневом форуме, все эти дни продолжал появляться на связи. Последний раз он посетил ресурс днем 7 октября. Кроме того, Сбербанк до сих пор не объяснил, как продавцу удавалось предоставить информацию о любых кредитных картах, например, сотрудников “Ъ”.

Виталий Солдатских