19 октября 2023 года Роскомнадзор после проведения расследования инцидента подтвердил факт масштабной утечкой данных клиентов «МТС Банка».
По итогам проведённой проверки Роскомнадзор «составил административный протокол о нарушении законодательства о защите персональных данных, он будет передан в суд», заявил СМИ представитель ведомства.
Эксперты пояснили, что по результатам расследования РКН составил и передаст в суд административный протокол по ч. 1 ст. 13.11 КоАП. В этом случае за нарушение законодательства в области персональных данных «МТС Банку» грозит административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей.
Хронология инцидента по ИБ в «МТС Банке»
7 сентября 2023 года хакер выложил в открытый доступ три файла в формате csv с 1 млн строк из базы данных клиентов «МТС Банка». Он сообщил. что у него есть полная база из 21 млн строк.
Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI пояснили, что в опубликованном файле с данными содержится 1 000 000 строк с информацией о клиентах, включая:
-
ФИО;
-
дату рождения;
-
пол;
-
номер ИНН;
-
гражданство.
Кроме того, во втором файле содержатся 3 095 392 строки с такими данными:
-
частичный (6 первых и 4 последних цифры) номер банковской карты;
-
дата выпуска и истечения карты;
-
тип карты (дебетовая, кредитная, корпоративная).
В третьем файле с контактами находится 1,8 млн уникальных номеров телефонов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы.
Вечером 7 сентября «МТС Банк» сообщил СМИ после публикации об утечке информации клиентов, что инфраструктура банка не подвергалась атакам, а данные пользователей вне опасности. «МТС Банк» официально опроверг факт утечки банковской тайны.
Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности.
Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично.
Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платёжные данные пользователей именно в таком виде.
Инфраструктура МТС Банка не подвергалась атакам, данные пользователей вне опасности.
После утечки Роскомнадзор заявил СМИ, что ведомство проверит информацию о возможной утечке данных клиентов «МТС Банка». «Роскомнадзор проверяет информацию о возможной утечке персональных данных клиентов «МТС Банка»», — говорится в сообщении ведомства.
По закону о персональных данных оператор ПД в течение суток с момента утечки должен уведомить Роскомнадзор об инциденте. «По состоянию на 12:00 8 сентября 2023 года Роскомнадзор не получил уведомления об инциденте от оператора ПД», — пояснил СМИ регулятор.
ИБ-эксперты по поводу публикации в открытом доступе данных клиентов разных банков, включая «МТС Банк», пояснили, что после этого инцидента количество мошеннических звонков, фишинговых писем и спама для клиентов банков значительно вырастет.
8 сентября эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI проанализировали более 3 млн строк из утечки базы данных клиентов банков и выяснили. что там только BIN-коды, принадлежащие одному эмитенту («МТС Банку»), а часть информации из опубликованной базы (даты выпуска карт и ИНН) обычно ретейлерам недоступна.
Источник: habr.com
