МТС-банк напросился на проверку

Роскомнадзор подтвердил утечку данных клиентов МТС-банка. Ведомство провело проверку и составило протокол о нарушении, который будет направлен в суд. Максимальный штраф может составить 100 тыс. руб. О самой утечке стало известно в начале осени. Группировка проукраинских хакеров заявила, что получила данные 20 млн клиентов. Это имена, телефоны, ИНН и неполные номера банковских карт (шесть первых и четыре последние цифры). При этом в открытый доступ они выложили около 1 млн записей.

Выйти из полноэкранного режима

Развернуть на весь экран

Как злоумышленники смогут использовать данные? На этот вопрос “Ъ FM” ответил начальник отдела информационной безопасности компании SearchInform Алексей Дрозд: «В данном случае, похоже, эти сведения будут использоваться для социальной инженерии. Их станут применять для пополнения тех, которые уже утекли.

Плюс теоретически можно восстановить полный номер карты, чтобы выглядеть более достоверно в глазах потенциальной жертвы. Ведь это не случайный набор цифр, а определенный порядок. Причем последняя цифра, грубо говоря, является контрольной суммой. Есть формула "Луна", по которой можно проверить, настоящий это номер карты или нет.

Я бы делал ставку на то, что будут атаковать именно юрлиц, поскольку у них потенциально больше денег. Кроме того, теперь есть больше данных для того, чтобы к этому юрлицу зайти с более или менее правдоподобным основанием. Оно поверит, что ему звонит налоговая, служба безопасности банка или еще кто-нибудь».

В МТС-банке при этом отрицали атаку на свою инфраструктуру. Там отметили, что в базе содержатся номера карт разных эмитентов, а значит, утечка могла произойти у ритейлера или поставщика цифровых сервисов. Эксперты по кибербезопасности также допускали, что источником данных мог стать какой-то из подрядчиков компании.

И если это удастся доказать, банк может избежать ответственности, отмечает юрист, партнер компании «Томашевская и партнеры» Роман Янковский: «Подрядчик должен получить эти данные по соглашению с компанией. Владельцы сведений, пользователи услуг МТС-банка, должны были дать на это свое разрешение.

Соответственно, подрядчик будет нести самостоятельную ответственность, поскольку пользователи разрешили в том числе ему обрабатывать эту информацию.

Но здесь еще вопрос в том, в результате каких действий эти данные ушли, был ли в этом замешан МТС-банк.

Если, условно говоря, изначально был выбран какой-то некорректный протокол передачи данных и небезопасный способ их обработки и так далее, в этом случае могут привлечь к ответственности и сам банк. Но, по общему правилу, если пользователи разрешили использовать свою информацию какой-то компании, она ее применяет, то отвечает за утечки, произошедшие у нее и по ее вине, тоже организация».

На сообщение Роскомнадзора обратили внимание в Думе. Там заявили, что закон об оборотных штрафах за утечки данных, который обсуждают уже полтора года, нужно принять прямо сейчас.

С нами все ясно — Telegram-канал "Ъ FM".

Илья Сизов