В интернете выставили на продажу данные граждан, которые обращались в банк «Дом.РФ» для оформления потребительского кредита. Соответствующее объявление опубликовано на специализированном сайте 3 апреля.
Представитель банка «Дом.РФ» подтвердил факт утечки РБК: она произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита наличными. «В рамках оперативных работ она была в короткий срок устранена, в настоящий момент все системы банка функционируют в штатном режиме. В профилактических целях служба безопасности банка «Дом.РФ» проверила целостность работ всех других систем банка и не выявила нарушений», — сказал он, подчеркнув, что данные не позволяют получить доступ к счетам клиентов. Оператор call-центра банка сообщил РБК, что подать заявку на кредит наличными можно через сайт или по телефону.
По словам источника РБК на финансовом рынке, об утечке известно Банку России, он ведет проверку. РБК направил запрос в ЦБ.
Как указано в сообщении, файл содержит 104,8 тыс. записей. Первые из них датируются февралем 2020 года, последние — мартом 2021 года. Записи могут содержать сумму потенциального кредита, номер телефона и адрес электронной почты при минимальном заполнении заявки либо полный набор персональных данных, которые требуются для оформления кредита: ФИО, дата рождения, сумма и вид кредита (потребительский), номер телефона, почтовый ящик, паспортные данные, ИНН, СНИЛС, домашний адрес, адрес места работы, должность, размер дохода, а также информацию о доверенном лице (ФИО, номер телефона, кем приходится заемщику и т.п.) и другие сведения. В объявлении для ознакомления опубликована запись одного из участников базы с почти полным набором данных.
РБК ознакомился с пробником базы из десяти клиентских записей c полным или почти полным набором данных. На звонок корреспондента РБК ответили шесть человек, четверо подтвердили, что обращались в банк «Дом.РФ» за кредитом или уже являются его действующими клиентами. Двое из них пояснили, что подавали заявку несколько дней назад, еще двое подтвердили другую личную информацию из файла (ФИО, контактный номер телефона, домашний адрес или место работы), отказавшись говорить о своих заявках на кредит.
По словам продавца, полная база стоит 100 тыс. руб. Отдельные строки с данными за 2021 год продаются за 15 руб., за вторую половину 2020 года — 10 руб., за первую половину 2020 года — 7 руб.
«Потенциально злоумышленники могли завладеть сведениями из первичных заявок с неподтвержденными данными, которые не позволяют получить доступ к счетам клиентов и производить манипуляции с денежными средствами», — сказал представитель банка «Дом.РФ». Он подчеркнул, что это первый случай, когда мошенникам удалось найти частичный доступ к внешним заявкам банка. При этом утечка произошла не из учетных систем кредитной организации, а безопасности счетов ничего не угрожает, заявил он. Службы банка «намерены провести работы по предотвращению распространения данных».
Полный набор данных мошенники могут использовать для дистанционного оформления кредита на человека без его ведома в небольших банках, разного рода кредитных кооперативах и микрофинансовых организациях, предупреждает управляющий партнер юридической компании «Иккерт и партнеры» Павел Иккерт. Для оформления кредита в крупном банке этих данных недостаточно, так как нужен доступ в личный кабинет.
«Таких историй, когда граждане узнавали о наличии у них долга по кредитам и займам, которые они не оформляли, но кредитор все равно требовал от них исполнения обязательств и даже инициировал исполнительное производство в их отношении, на самом деле огромное количество. На деле исключительно трудно доказать, что кредит был оформлен злоумышленниками, а не человеком, чьи персональные данные «утекли» в Сеть, даже если факт утечки подтверждается возбуждением уголовного дела», — рассказал юрист. При этом, по словам Иккерта, никаких эффективных правовых механизмов, которые позволили бы исключить совершение противоправных действий с использованием «утекших» персональных данных клиентов банков нет: «Можно заблокировать страницы, на которых эти данные размещены в открытом доступе, но технически предотвратить их передачу от одного лица другому невозможно».
Для исключения риска мошеннического оформления кредита первое, что должны сделать в такой ситуации пострадавшие, — сменить паспорт, а также обратиться с заявлением в полицию или прокуратуру для возбуждения уголовного дела по факту утечки данных, считает юрист.
Использовать такие данные также можно с целью мошенничества путем социальной инженерии (методы обмана и введения в заблуждения банковских клиентов), говорит директор по стратегическим коммуникациям Infosecurity a Softline Company Александр Дворянский.
Комментарии
Реальная тема, дня два назад мне звонили по поводу запроса 2018 (!) года о кредите с сайта банки ру.
Я-то просто изучал ставки ... и вот через три года мне звонят и говорят что ваш кредит одобрен )))
когда мне звонят из банка, я обычно прошу собеседника представиться по полной.. имя, фамилия, погоняло, статья по которой отбывает наказание...
Зачет!
В следующий раз воспользуюсь :)
О том, что банковские мошенники - это зеки из подмосковья, я узнал случайно. Но меня до сих пор мучает вопрос - когда посадят начальников этих заведений. Ведь представить себе что зеки сами организовали этот бизнес, значит быть тупым идиотом. Москва. Опять Москва. Продажные полицаи. Я лично хотел бы услышать московского полицейского, что он обо всём этом думает. Но ведь никто не выходит на связь. Опущенная сволота. Вот, что я о вас думаю.
Я тебе открою секрет, наверное, сказав, что УФСИН и полиция это, мягко скажем, принципиально разные службы, да?
А я спрашиваю, не холодно ли у них в камере?
Коллега поставил на свой старый айфон какой-то блокиратор звонков. Доволен. Банки и стоматологи больше не звонят. Изредка ложно блочит, кого нет в адресной, но, говорит, что пока терпимо.
Кстати, у меня тоже стоит какой-то антиспам. До 4-х звонков в день отсекает. Никто не звонит. Правда последним двум безопасникам от сб я пожелал окосеть, охрометь, ожиреть, никогда не знать радостей секса и все такое. С тех пор и не звонят
На iPhone с недавних пор есть кнопочка, просто заглушает все звонки, которые не записаны в контактной книге.
Удобненько. Просто светятся неизвестные номера в пропущенных.
Этот юрист не родственник этого банкира?..
До тех пор, пока в полиции не изменят отношение к заявлениям граждан о несуществующих кредитах, ситуация с использованием чужих данных так и будет оставаться не решенной. Я понимаю когда ещё на гражданина оформляют подтверждаемый по смс онлайн-микрозайм, тут много проблем при поиске преступника, хотя в наше время все равно решаемо, но когда тоже самое случается и по банковским кредитам, которые оформляются через заключение договора на бумаге - ситуация с отказами в возбуждении уголовных дел на основании того, что "ну не вас же обманули, ну у вас же ничего не украли" больше похожа на издевательство.
слив данных пользователей фейсбука теперь уже вряд ли кто переплюнет
Что за слив? Там тупо спарсили открытую информацию из профиля. То, что некоторые туда телефоны писали, так то ж ССЗБ.
Сам себе злобный Буратино. Мало кто знает расшифровку.
>Там тупо спарсили открытую информацию из профиля.
что же тогда в фейсбуке фиксили https://mobile.twitter.com/Liz_Shepherd/status/1378398011747938305
Как раз запрещали автоматизированный парсинг. Там у пендосов много юридических нюансов.. даже если сам человек у себя в профиле вписал свой номер - это нормально, а вот если автоматизированно парсится подобная информация с миллионов страниц - это уже уголовно наказуемо по факту того, что эта информация может использоваться для спама и прочего.
> Как раз запрещали автоматизированный парсинг.
походу вы не понимаете как работает "автоматический парсинг"