Как похищали персональные данные клиентов российских банков
5 ноября в Альфа-банке сообщили, что проводят внутреннее расследование по факту утечки персональных данных клиентов
ТАСС-ДОСЬЕ. 5 ноября 2019 года в пресс-службе Альфа-банка сообщили ТАСС, что кредитная организация проводит внутреннее расследование по факту утечки персональных данных клиентов. В настоящее время известно о незаконном распространении сведений о 15 клиентах. При этом, по информации банка, утечка не подвергла опасности средства на их счетах. Ранее 5 ноября издание РБК сообщило, что на специализированном интернет-форуме были выставлены на продажу сведения о клиентах Альфа-банка и компании "Альфастрахование" - примерно 3,5 тыс. и 3 тыс. человек соответственно. ТАСС собрал случаи за текущий год, когда СМИ сообщали об утечках персональных данных из российских банков.
12 апреля стало известно, что на специализированных форумах в интернете распространяются ссылки на базу с личными данными 120 тыс. россиян и российских юрлиц, которых различные банки заподозрили в нарушении закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Об этом сообщила газета "Коммерсантъ". Записи были датированы второй половиной 2017 года. Они содержали ФИО, даты рождения, номера паспортов физических лиц. Согласно процедуре, кредитные организации собирают данные о подозрительных клиентах и передают их в Банк России. Регулятор направляет эти сведения Росфинмониторингу и затем рассылает банкам сводную базу в зашифрованном виде. В Росфинмониторинге и ЦБ отвергли предположения о том, что утечка могла произойти по их вине. О проверках предположительной утечки не сообщалось.
10 июня газета "Коммерсантъ" со ссылкой на компанию DeviceLock сообщила, что в сети были обнаружены несколько баз данных, включающих в себя личные сведения и данные об остатках на счетах 900 тыс. россиян. По сведениям DeviceLock, это были базы данных Альфа-банка (сведения на 2014-2015 года и 2018-2019 года), "Хоум кредит энд финанс банка" (ХКФ-Банк, начало 2010-х годов) и ОТП-банка (осень 2013 года). Ссылки на эти базы были распространены на специализированном форуме. Еще до их публикации доступ к этому ресурсу был ограничен Роскомнадзором. В августе 2019 года было объявлено, что проведенная по факту произошедшего проверка Генпрокуратуры и Роскомнадзора не выявила утечек. Как сообщил официальный представитель Генпрокуратуры Александр Куренной, опубликованные базы по своему содержанию "сильно отличалась от тех баз данных, которые формировали банки", сведения были "неактуальными или не соответствовали действительности".
5 августа "Коммерсантъ", ссылаясь на DeviceLock, сообщил о появлении в открытом доступе данных 70 тыс. клиентов Бинбанка (кредитная организация была присоединена в рамках санации к банку "Открытие" в начале 2019 года - прим. ТАСС-ДОСЬЕ). В "Открытии" факт утечки отвергли. В банке заявили об отсутствии каких-либо доказательств того, что данные, выложенные в свободный доступ, имеют отношение к клиентам Бинбанка.
3 октября газета "Коммерсантъ" со ссылкой на основателя компании DeviceLock Ашота Оганесяна сообщила, что в свободном доступе в сети оказались детальные данные свыше 60 млн россиян. В Сбербанке рассказали о компрометации данных 5 тыс. кредитных карт. По словам представителей банка, информация об утечке данных 60 млн клиентов не соответствует действительности, поскольку Сбербанк выпустил около 40 млн карт. 5 октября пресс-служба кредитной организации сообщила, что в результате внутреннего расследования был выявлен сотрудник банка 1991 года рождения (имя не сообщалось), пытавшийся похитить клиентскую информацию в корыстных целях. Он занимал должность руководителя сектора в одном из бизнес-подразделений Сбербанка.
23-24 октября ряд СМИ сообщил о якобы выставленной на продажу базе персональных данных клиентов Сбербанка. По информации "Известий", речь шла о новой утечке данных 11,5 тыс. клиентов. В пресс-службе Сбербанка заявили, что не комментируют информацию, "которая относится к категории слухов и домыслов".
24 октября полиция задержала подозреваемого в хищении персональных данных клиентов "ряда банков, в том числе Сбербанка". Официальный представитель МВД РФ Ирина Волк сообщила ТАСС, что подозреваемый являлся сотрудником коллекторской компании "Национальная служба взысканий" (НСВ), проживал в Волгограде и действовал под псевдонимом Антон 2131. В отношении него возбуждено уголовное дело по части 3 статьи 183 УК РФ ("Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну"). По данным следствия, мужчина злоупотребил служебным положением, получив доступ к "ограниченному сегменту клиентских данных" одного из партнеров НСВ, похитил и пытался реализовать "незначительное количество записей". В Сбербанке заявили, что в кратчайшие сроки расторгнут договор с НСВ и проведут аудит систем защиты персональных данных проблемных заемщиков, используемых коллекторскими агентствами.
Данные ЦБ РФ
Согласно отчету ФинЦЕРТа Банка России, в первом полугодии 2019 года ЦБ РФ зафиксировал три крупных случая утечки баз данных из финансовых организаций (названия организаций в отчете не приводились). Составители отчета сделали вывод, что источниками утечки персональных данных являются не столько уполномоченные сотрудники банков, сколько "иные многочисленные операторы обработки персональных данных". О судебных разбирательствах в отношении обвиняемых в хищении личных данных клиентов российских банков не сообщалось.