Роскомнадзор подтвердил инцидент с масштабной утечкой данных клиентов «МТС Банка»

19 октября 2023 года Роскомнадзор после проведения расследования инцидента подтвердил факт масштабной утечкой данных клиентов «МТС Банка».

По итогам проведённой проверки Роскомнадзор «составил административный протокол о нарушении законодательства о защите персональных данных, он будет передан в суд», заявил СМИ представитель ведомства.

Эксперты пояснили, что по результатам расследования РКН составил и передаст в суд административный протокол по ч. 1 ст. 13.11 КоАП. В этом случае за нарушение законодательства в области персональных данных «МТС Банку» грозит административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей.

Хронология инцидента по ИБ в «МТС Банке»

7 сентября 2023 года хакер выложил в открытый доступ три файла в формате csv с 1 млн строк из базы дан��ых клиентов «МТС Банка». Он сообщил. что у него есть полная база из 21 млн строк.

Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI пояснили, что в опубликованном файле с данными содержится 1 000 000 строк с информацией о клиентах, включая:

• ФИО;

• дату рождения;

• пол;

• номер ИНН;

• гражданство.

Кроме того, во втором файле содержатся 3 095 392 строки с такими данными:

• частичный (6 первых и 4 последних цифры) номер банковской карты;

• дата выпуска и истечения карты;

• тип карты (дебетовая, кредитная, корпоративная).

В третьем файле с контактами находится 1,8 млн уникальных номеров телефонов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы.

Вечером 7 сентября «МТС Банк» сообщил СМИ после публикации об утечке информации клиентов, что инфраструктура банка не подвергалась атакам, а данные пользователей вне опасности. «МТС Банк» официально опроверг факт утечки банковской тайны.

Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности.

Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично.

Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платёжные данные пользователей именно в таком виде.

Инфраструктура МТС Банка не подвергалась атакам, данные пользователей вне опасности.

После утечки Роскомнадзор заявил СМИ, что ведомство проверит информацию о возможной утечке данных клиентов «МТС Банка». «Роскомнадзор проверяет информацию о возможной утечке персональных данных клиентов "МТС Банка"», — говорится в сообщении ведомства.

По закону о персональных данных оператор ПД в течение суток с момента утечки должен уведомить Роскомнадзор об инциденте. «По состоянию на 12:00 8 сентября 2023 года Роскомнадзор не получил уведомления об инциденте от оператора ПД», — пояснил СМИ регулятор.

ИБ-эксперты по поводу публикации в открытом доступе данных клиентов разных банков, включая «МТС Банк», пояснили, что после этого инцидента количество мошеннических звонков, фишинговых писем и спама для клиентов банков значительно вырастет.

8 сентября эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI проанализировали более 3 млн строк из утечки базы данных клиентов банков и выяснили. что там только BIN-коды, принадлежащие одному эмитенту («МТС Банку»), а часть информации из опубликованной базы (даты выпуска карт и ИНН) обычно ретейлерам недоступна.