сервисах Сбербанка новая утечка персональных данных клиентов. В Сети найден архив с телефонами, адресами и номерами карт десятков миллионов пользователей, присоединившихся к бонусной программе «Сберспасибо». Пострадали как минимум 47,9 млн человек. В 2019 г. в Сеть попал еще более крупный архив с не менее важными данными клиентов – эта утечка затронула свыше 60 млн пользователей банка.

Информационная безопасность – пустой звук

«Дочка» Сбербанка допустила огромную утечку персональных данных своих клиентов – пострадали десятки миллионов участники бонусной программы банка «Сберспасибо». Как сообщил в своем Telegram-канале сервиса разведки утечек данных и мониторинга даркнета DLBI, попавшая в Сеть база данных содержит информацию почти о 50 млн пользователей этой системы, включая персональные данные, которые в дальнейшем могут использоваться для рассылки спама и мошеннических операций.

Архив с данными пользователей «Сберспасибо» имеет объем в пределах 14 ГБ и состоит из двух файлов. Первый «весит» 820 МБ и называется Orders, а второй занимает около 13 ГБ и носит название Users. Предположительно, весь этот массив данных был получен из фирменного приложения «Сберспасибо».

На момент публикации материала представители «Сберспасибо» и Сбербанка не подтверждали информацию об утечке. Впрочем, официального опровержения тоже не было, что повышает вероятность подлинности оказавшихся в свободном доступе сведений. «Мы проверяем информацию и ее достоверность, – сообщили CNews представители «Сберспасибо». – Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных».

Содержимое архива

По словам экспертов DLBI, основной массив данных в архиве – это номера телефонов пользователей – их в нем 47,9 млн, и все уникальные, без повтора. Адресов электронной почты в разы меньше, но тоже в избытке – 3,3 млн уникальных адресов. В итоге по первым мошенники могут звонить, к примеру, от имени службы безопасности самого Сбербанка и предложить перевести деньги на «супернадежный» счет для защиты от мошенников, а на вторые рассылать фишинговые письма с целью украсть банковские данные пользователей.

Последнее, впрочем, может и не потребоваться, поскольку в архиве оказались хешированные номера банковских карт клиентов «Сберспасибо», притом как основной карты, с которой они совершают платежные операции чаще всего, так и всех дополнительных. Все они зашифрованы по древнему и в современном мире, как оказалось, полностью бесполезному алгоритму SHA1. «Не смотря на то, что номера банковских карт хранятся в одном из этих файлов в виде хеша, из-за использования устаревшей функции хеширования SHA1, нет никаких проблем «восстановить» их реальные значения прямым перебором всех цифр», – утверждают эксперты DLBI.

Перечисленная информация дополнена датами рождения клиентов сервиса. При должной сноровке мошенники наверняка найдут способ использования и этих сведений в своих корыстных целях, равно как и дата создания и обновления записи пользователей в программе «Сберспасибо» за период с 22 июля 2015 г. по 07 июня 2022 г. Эти данные тоже оказались в архиве.