Жидкое достояние: утекла база данных о 40 тыс. банковских операций

В Telegram распространяется база с информацией о банковских картах, узнали «Известия». В сливе содержатся сведения примерно о 40 тыс. операций, проведенных якобы через сервис «Сбера». В том числе есть данные об их сумме, дате и времени, а также IP-адресе оплаты. По заявлению автора канала, это утечка логов единой службы доставки воды, которая работает в Краснодаре. В Сбербанке сообщили, что критической информации в сливе нет и угрозы для клиентов он не несет. Однако авторизовать покупателей несложно с помощью открытых данных, а информация в дальнейшем может применяться для обманов с использованием методов социальной инженерии, отметили эксперты.

Протечка воды

30 июля в Telegram-канале с 4 тыс. подписчиков разместили базу данных, в которой содержится информация о банковских трансакциях. По данным автора канала, она принадлежит сервису «Единая служба доставки питьевой воды» (по адресу сайта в интернете — com23.ru). «Известия» ознакомились с утечкой. В текстовом документе с логами трансакций, а также в сведениях об этом файле нет информации о том, в какой компании совершались операции.

В сливе присутствуют данные примерно о 40 тыс. операций, которые, как указывается в базе, проходили через платежный сервис Сбербанка. Сведения хранятся в виде логов — информации о действиях в системе. Первая операция, попавшая в слив, была совершена 20 мая 2020 года, а последняя — 3 февраля 2021-го. В данных о каждой трансакции содержится имя держателя карты, первые шесть и последние четыре цифры ее номера, сумма платежа и IP-адрес его проведения. По первым шести цифрам номера карты — БИН-коду — можно определить банк, который ее выпустил. По выборочной проверке «Известий» в базе содержатся сведения о картах Сбербанка, Росбанка, «Альфы».

«Известия» направили запрос на электронную почту «Единой службы доставки питьевой воды», а также в их канал в What’s App.

Упоминаемые в утечке данные — стандартный технический ответ платежных шлюзов при обработке платежей от торговых точек, эта информация необходима для их операционной работы, сообщили «Известиям» в «Сбере». В банке заявили, что никакой критичной информации в предоставленных данных не содержится.

— Хранение данных в таком формате соответствует требованиям по безопасности индустрии международных платежных систем PCI DSS. Идентифицировать клиента или его карту невозможно, провести атаку на клиента или его карту также невозможно, каких-либо рисков или новых угроз нет. Считаем опубликованную информацию pr-активностью Telegram-канала, — подчеркнули в Сбербанке.

Замначальника департамента защиты информации Газпромбанка Алексей Плешков сообщил, что антифрод-системы не выявили, а клиенты не уведомляли банк о массовой компрометации реквизитов пластиковых банковских карт. Чаще всего такая информация попадает в интернет вследствие кражи/взлома базы данных у средних и мелких лендингов, сервисных организаций и игровых порталов, рассказал он.

— Данные из скомпрометированных и размещенных в общем доступе баз применяются для совершения злоумышленниками атак класса «вишинг» (телефонное мошенничество / телефонный фишинг). Также, имея представление об интернет-операциях потенциальной жертвы и ее персональные данные, мошенники могут реализовать более сложную схему с использованием методов социальной инженерии, — добавил Алексей Плешков.

В других крупных кредитных организациях, в частности в «Альфе» и Росбанке, не ответили на вопросы «Известий» о том, известно ли им об утечке и содержится ли в ней информация об их картах. Запросы также направлены в ЦБ и Роскомнадзор.

Защита на минимуме

Поскольку файл не включает контактных данных покупателей, верифицировать его сложно, но по формату он вполне похож на реальный лог обработчика платежной системы какого-то e-commerce проекта, считает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. По его предположениям, сервер, на котором формировался лог, давал доступ без авторизации по прямому имени файла и был найден специализированным сканером.

— Никакой опасности для пользователей эта утечка не представляет, так как в ней нет ни контактных данных, ни полных номеров карт. В результате использовать его сложно даже для обогащения других баз, — подчеркнул Ашот Оганесян.

IP-адреса, которые содержатся в базе, действительно в основном относятся к Краснодару или к близлежащим населенным пунктам, что косвенно подтверждает ее принадлежность сервису доставки воды из этого региона, сообщил руководитель аналитического центра Zecurion Владимир Ульянов, ознакомившись с утечкой. Он рассказал: с первого взгляда может показаться, что проведенные платежи сделаны на крупные суммы — 26 тыс. рублей, 65 тыс. рублей, 32 тыс. рублей. Однако, по предположениям эксперта, объем платежа указан в копейках, иначе операции были бы слишком крупными для сервиса заказа воды.

Хотя первоисточник утверждает, что в утечке содержится информация о 240 тыс. трансакций, по факту их меньше: каждая операция в логах упоминается по шесть раз, пояснил Владимир Ульянов. Он добавил, что при желании мошенников авторизовать россиян, попавших в утечку, несложно.

— По имени и IP-адресу можно найти юрлицо. В частности, тех, кто регулярно делает заказы через сервис. Их могут начать прозванивать с таким вопросом: «добрый день, это сервис доставки воды, нужно ли вам привезти еще?» или «у нас акция, закажите воду сегодня». По ответу легко понять, являются ли граждане клиентами сервиса. При этом лог обрабатывался в начале года, поэтому часть клиентов может быть неактуальна, — отметил эксперт.

Владимир Ульянов пояснил: в дальнейшем эта информация может использоваться для мошенничества с подключением методов социальной инженерии — чем больше у злоумышленника сведений, тем проще ему втереться в доверие к жертве. Тем не менее в чистом виде эта база вряд ли будет интересна преступникам, подчеркнул он. По словам эксперта, данные могли оказаться в открытом доступе в связи с некорректной настройкой технической системы, которая отвечает за обработку платежей: возможно, эта информация хранилась в незашифрованном виде и даже оказалась проиндексированной в интернете.