8 сентября 2023 года Роскомнадзор заявил СМИ, что ведомство проверит информацию о возможной утечке данных клиентов «МТС Банка».
«Роскомнадзор проверяет информацию о возможной утечке персональных данных клиентов "МТС Банка"», — говорится в сообщении ведомства.
По закону о персональных данных оператор ПД в течение суток с момента утечки должен уведомить Роскомнадзор об инциденте. «По состоянию на 12:00 8 сентября 2023 года Роскомнадзор не получил уведомления об инциденте от оператора ПД», — пояснил СМИ регулятор.
В случае выявления факта утечки РКН может составить и передать в суд административный протокол по ч. 1 ст. 13.11 КоАП. В этом случае за нарушение законодательства в области персональных данных «МТС Банку» грозит административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей.
7 сентября 2023 года хакер выложил в открытый доступ три файла в формате csv с 1 млн строк из базы данных клиентов «МТС Банка». Он сообщил. что у него есть полная база из 21 млн строк.
Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI пояснили, что в опубликованном файле с данными содержится 1 000 000 строк с информацией о клиентах, включая:
ФИО;
дату рождения;
пол;
номер ИНН;
гражданство.
Кроме того, во втором файле содержатся 3 095 392 строки с такими данными:
частичный (6 первых и 4 последних цифры) номер банковской карты;
дата выпуска и истечения карты;
тип карты (дебетовая, кредитная, корпоративная).
В третьем файле с контактами находится 1,8 млн уникальных номеров телефонов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы.
«МТС Банк» сообщил СМИ после публикации об утечке информации клиентов, что инфраструктура банка не подвергалась атакам, а данные пользователей вне опасности. «МТС Банк» официально опроверг факт утечки банковской тайны.
Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности.
Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично.
Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платежные данные пользователей именно в таком виде.
Инфраструктура МТС Банка не подвергалась атакам, данные пользователей вне опасности.
ИБ-эксперты по поводу публикации в открытом доступе данных клиентов разных банков, включая «МТС Банк», пояснили, что после этого инцидента количество мошеннических звонков, фишинговых писем и спама для клиентов банков значительно вырастет.
