«Ъ»: в сеть попали персональные данные 900 тысяч клиентов трех российских банков

Данные примерно 900 тысяч клиентов ОТП-банка, Альфа-банка и ХКФ-банка оказались в открытом доступе, сообщает «Ъ». Это обнаружил программный комплекс для предотвращения утечек информации DeviceLock.

В пресс-службе Альфа-банка заявили, что проводят проверку достоверности и актуальности опубликованных в интернете персональных данных лиц, которые могут являться клиентами банка. В ХКФ-банке сообщили, что «происхождение данных в указанном файле банку неизвестно, но мы примем меры для его установления». В ОТП-банке отрицают утечку информации и заявили, что «происхождение данной базы им неизвестно».

Базы данных банков были выложены в сеть в заархивированном виде в конце мая. Сведения в них собирались несколько лет назад, но существенная часть информации сохраняет актуальность.

В одной из баз, датируемой 2014—2015 годами, содержатся данные о более чем 55 тысячах клиентов Альфа-банка, включая их полные имена, телефоны (мобильный, домашний и рабочий), адрес проживания и место работы. Среди них «Ъ» обнаружил по месту работы помимо сотрудников частных компаний около 500 сотрудников МВД и порядка 40 человек из ФСБ. Все люди из этой базы проживают в Северо-Западном федеральном округе.

Во второй базе 504 записи, но в них указаны такие сведения, как год рождения клиента, паспортные данные, обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130—160 тысяч рублей.

Еще в двух базах содержатся данные клиентов ОТП-банка (800 тысяч человек) и ХКФ-банка (24,4 тысячи человек). Издание дозвонилось по одному из указанных телефонов — и  человек подтвердил, что брал кредит в ХКФ-банке, но давно, примерно в 2009 году. Несколько людей из другого списка также подтвердили, что брали кредиты в ОТП-банке в 2013 году.

Основатель и технический директор DeviceLock Ашот Оганесян предположил, что база с 55 тысячами данных клиентов Альфа-банка могла утечь во время массового увольнения регионального IT-отдела осенью 2014 года, после чего их перепродавали на черном рынке. Вторую базу с 504 записями, по мнению специалиста по борьбе с мошенничествами, мог взять клиентский менеджер.

UPD. Роскомнадзор запросил у «Ъ» ссылки на базы персональных данных россиян и намерен обратиться в суд для блокировки ресурса, где они были опубликованы, сообщает ТАСС. Пресс-секретарь ведомства Вадим Ампелонский также назвал ситуацию «вопиющей». По его словам, форум, где были выложены базы, зарегистрирован американским регистратором на имя украинского гражданина, а сервера находятся на территории Германии.

В апреле «Ъ» сообщил, что в интернете опубликована база данных со сведениями о 120 тысячах клиентов Центробанка, которым было отказано в обслуживании на основании Федерального закона № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Записи содержат личную информацию физических лиц, например ФИО, дату рождения и другие паспортные данные, а также сведения об ИНН индивидуальных предпринимателей и юрлиц. Представитель одного из российских банков на условиях анонимности подтвердил журналистам достоверность черного списка ЦБ.

Международная правозащитная группа «Агора» предложила правовую защиту клиентам банков, пострадавшим от разглашения сведений о них.

В ноябре 2018 года стало известно, что на компьютерах общего доступа в МФЦ обнаружены незащищенные персональные данные россиян, доступ к которым могут получить любые посетители центров. Этих сведений порой достаточно, чтобы получить микрозаем или кредит. В тот же период Сбербанк допустил утечку личной информации более 421 тысячи своих сотрудников: в Сеть попали ФИО, адреса электронной почты и данные о подразделениях, в которых они работают.