В интернете продают данные 100 тысяч желающих взять кредит в банке "Дом.РФ" Представитель банка "Дом.РФ" подтвердил факт утечки: она произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита наличными
 
 
 
В интернете продают данные 100 тысяч желающих взять кредит в банке "Дом.РФ"
Архив NEWSru.com
 
 
 
Представитель банка "Дом.РФ" подтвердил факт утечки: она произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита наличными
АО «Банк ДОМ.РФ»

В интернете продают данные людей, которые хотели взять потребительский кредит в банке "Дом.РФ": мошенники утверждают, что владеют 100 тыс. записей о потенциальных клиентах. Причина утечки - уязвимость при подаче заявки на ссуду, пишет РБК.

Представитель банка "Дом.РФ" подтвердил факт утечки: она произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита наличными. "В рамках оперативных работ она была в короткий срок устранена, в настоящий момент все системы банка функционируют в штатном режиме. В профилактических целях служба безопасности банка "Дом.РФ" проверила целостность работ всех других систем банка и не выявила нарушений", - сказал он, подчеркнув, что данные не позволяют получить доступ к счетам клиентов. Оператор кол-центра банка сообщил, что подать заявку на кредит наличными можно через сайт или по телефону. Банк России ведет проверку по факту утечки.

Как указано в сообщении, файл содержит 104,8 тыс. записей. Первые из них датируются февралем 2020 года, последние - мартом 2021 года. Записи могут содержать сумму потенциального кредита, номер телефона и адрес электронной почты при минимальном заполнении заявки либо полный набор персональных данных, которые требуются для оформления кредита: ФИО, дата рождения, сумма и вид кредита (потребительский), номер телефона, почтовый ящик, паспортные данные, ИНН, СНИЛС, домашний адрес, адрес места работы, должность, размер дохода, а также информацию о доверенном лице (ФИО, номер телефона, кем приходится заемщику и т.п.) и другие сведения. В объявлении для ознакомления опубликована запись одного из участников базы с почти полным набором данных.

РБК ознакомился с пробником базы из десяти клиентских записей c полным или почти полным набором данных. На звонок ответили шесть человек, четверо подтвердили, что обращались в банк "Дом.РФ" за кредитом или уже являются его действующими клиентами. Двое из них пояснили, что подавали заявку несколько дней назад, еще двое подтвердили другую личную информацию из файла (ФИО, контактный номер телефона, домашний адрес или место работы), отказавшись говорить о своих заявках на кредит.

По словам продавца, полная база стоит 100 тыс. руб. Отдельные строки с данными за 2021 год продаются за 15 руб., за вторую половину 2020 года - 10 руб., за первую половину 2020 года - 7 руб. По словам представителя банка, злоумышленники могли завладеть сведениями из первичных заявок с неподтвержденными данными, которые не позволяют получить доступ к счетам клиентов и производить манипуляции с денежными средствами.

Он подчеркнул, что это первый случай, когда мошенникам удалось найти частичный доступ к внешним заявкам банка. При этом утечка произошла не из учетных систем кредитной организации, а безопасности счетов ничего не угрожает. Службы банка "намерены провести работы по предотвращению распространения данных".

Полный набор данных мошенники могут использовать для обмана и введения в заблуждения банковских клиентов, а также для дистанционного оформления кредита на человека без его ведома в небольших банках, разного рода кредитных кооперативах и микрофинансовых организациях. При этом очень трудно доказать, что кредит был оформлен злоумышленниками, а не человеком, чьи персональные данные утекли в сеть, а эффективных правовых механизмов, которые позволили бы исключить такие противоправные действия, не существует. Для исключения риска мошеннического оформления пострадавшим рекомендуется сменить паспорт, а также обратиться с заявлением в полицию или прокуратуру для возбуждения уголовного дела по факту утечки данных.

В начале 2021 года аналитики компании InfoWatch заявили, что в 2020 году в интернет утекли около 100 млн записей персональных данных россиян и их платежной информации. По словам экспертов, в 80% случаев утечки персональных данных в России происходили из-за действий сотрудников компаний и финансовых организаций: в условиях кризиса недобросовестные менеджеры банков, операторы сотовой связи и другие работники продавали конфиденциальную информацию.

По оценкам InfoWatch, доля утечек, связанных с действиями персонала, за год возросла в России примерно на три четверти. При этом общее количество утечек данных в России в 2020 году выросло незначительно, а в мире - снизилось на 3-5%.

Такую динамику в компании объяснили тем, что в связи с пандемией коронавируса существенная часть утекших персональных данных оказалась в "серой зоне" (утечки не фиксировались системами защиты из-за перехода сотрудников на удаленную работу).

В отчете также говорится, что крупнейшей утечкой данных в прошлом году стала утечка из соцсети Whisper: в открытом доступе оказалось около 900 млн записей. На втором месте идет китайский сервис микроблогов Weibo, потерявший из-за атаки хакеров 538 млн записей, а на третьем - косметическая компания Estee Lauder, которая по ошибке оставила в открытом доступе свыше 440 млн записей с данными клиентов.

В начале декабря 2020 года стало известно об утечке персональных данных москвичей, переболевших коронавирусом. В открытом доступе обнаружились списки с данными 300 тысяч переболевших коронавирусом москвичей. В базах содержались имена, адреса и конфиденциальная медицинская информация. Также в сеть утекли данные о серверах 1С и ключи для подключения к системе учета коронавирусных больных.