Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI проанализировали более 3 млн строк из недавней утечки базы данных клиентов банков и выяснили. что там только BIN-коды, принадлежащие одному эмитенту («МТС Банку»), а часть информации из опубликованной базы (даты выпуска карт и ИНН) обычно ретейлерам недоступна.
В DLBI пояснили, что всего в файле, содержащем хешированные (SHA1 без соли) и частичные (6 первых и 4 последних цифры) номера платёжных карт находятся 3 095 392 строк с записями данных клиентов.
По мнению экспертов, как и в случае с утечкой данных бонусной программы «СберСпасибо», полные номера банковских карт хранятся в виде хеша, но из-за использования устаревшей функции хеширования SHA1, нет никаких проблем восстановить их реальные значения прямым перебором всех цифр (а ещё эту математическуо-программную задачу значительно упрощает то, что 10 цифр уже и так известны).
Эксперты проанализировали 3 095 245 BIN-кодов (первые 6 цифр номера карты) и все они относятся к «МТС Банку». В анализе DLBI использовали сервисы Finanso.com, Mastercard.us и bincheck.io.«Таким образом, все карты в этой утечке относят к одному эмитенту. Нет никаких "различных эмитентов" о которых пишут другие источники.
Кроме того, в файле с номерами карт содержатся даты их выпуска (помимо дат окончания срока действия) - такая информация не доступна сторонним сервисам, занимающимся процессингом платежей.
И ещё, файл с персональными данными граждан содержит ИНН, что исключает возможность утечки из "ретейл-компании".
Мы не утверждаем, что утечка произошла конкретно из "МТС Банка", мы лишь показываем на неточности и несостыковки в определении источника утечки», — заявили в DLBI.
Ранее Роскомнадзор заявил СМИ, что ведомство проверит информацию о возможной утечке данных клиентов «МТС Банка».
«Роскомнадзор проверяет информацию о возможной утечке персональных данных клиентов "МТС Банка"», — говорится в сообщении ведомства.
По закону о персональных данных оператор ПД в течение суток с момента утечки должен уведомить Роскомнадзор об инциденте. «По состоянию на 12:00 8 сентября 2023 года Роскомнадзор не получил уведомления об инциденте от оператора ПД», — пояснил СМИ регулятор.
В случае выявления факта утечки РКН может составить и передать в суд административный протокол по ч. 1 ст. 13.11 КоАП. В этом случае за нарушение законодательства в области персональных данных «МТС Банку» грозит административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей.
7 сентября 2023 года хакер выложил в открытый доступ три файла в формате csv с 1 млн строк из базы данных клиентов «МТС Банка». Он сообщил. что у него есть полная база из 21 млн строк.
Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI пояснили, что в опубликованном файле с данными содержится 1 000 000 строк с информацией о клиентах, включая:
ФИО;
дату рождения;
пол;
номер ИНН;
гражданство.
Кроме того, во втором файле содержатся 3 095 392 строки с такими данными:
частичный (6 первых и 4 последних цифры) номер банковской карты;
дата выпуска и истечения карты;
тип карты (дебетовая, кредитная, корпоративная).
В третьем файле с контактами находится 1,8 млн уникальных номеров телефонов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы.
«МТС Банк» сообщил СМИ после публикации об утечке информации клиентов, что инфраструктура банка не подвергалась атакам, а данные пользователей вне опасности. «МТС Банк» официально опроверг факт утечки банковской тайны.Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности.
Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично.
Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платежные данные пользователей именно в таком виде.
Инфраструктура МТС Банка не подвергалась атакам, данные пользователей вне опасности.
ИБ-эксперты по поводу публикации в открытом доступе данных клиентов разных банков, включая «МТС Банк», пояснили, что после этого инцидента количество мошеннических звонков, фишинговых писем и спама для клиентов банков значительно вырастет.
Источник новости: habr.com