8 января украинские хакеры из KibOrg опубликовали базу клиентов «Альфа-Банка», которая состоит из 38 млн строк данных о физических и юридических лицах. Специалисты по безопасности «Теплицы» рассказывают, как это могло произойти, что делать держателям карт и почему банк никак не реагирует на случившееся.
Как так вышло?
KibOrg и NLB взломали базу еще в октябре прошлого года. Тогда они выложили ее часть, около 44 тыс. строк. Скорее всего, все это время хакеры пытались найти покупателя, или успешно продали базу и ждали оговоренное время перед обнародованием. «Альфа» ограничивается тем, что называет факт взлома фейком. Банк не прав: независимые журналисты подтвердили, что в базе реальные данные российских граждан. Хакеры получили доступ к ФИО, дате рождения, номеру счета, телефону и тд. По закону, использовать и даже цитировать выложенную базу «Альфы» нельзя.
Если раньше утечки происходили, как правило, по вине сотрудников, сейчас — в результате кибератак. KibOrg не раскрыл детали взлома, но есть несколько конвенциональных способов это сделать, кроме подкупа сотрудника изнутри. Большинство атак проводится через уязвимости приложений, например, через используемые для их создания библиотеки, уязвимости ПО или подбор аккаунта сотрудника для удаленного управления. Также популярный способ — client-side атаки, в частности, подбор пароля реального пользователя.
Что теперь делать?
«Ну пускай» — прокомментировал взлом глава банка Михаил Фридман. Такая апатия в отношении личной информации клиентов, недопустимая со стороны руководства, превалирует и в отношении россиян к случившемуся. Глобально на ситуацию повлиять сложно — чтобы полностью обезопасить себя от последствий утечек, нужно сменить паспорт, номер телефона и переехать в другую страну. «Теплица» выяснила у адвоката Архипа Свердлова, который специализируется на защите цифровых прав, что можно сделать для собственного спокойствия (имя изменено по просьбе героя).
- Заказать перевыпуск карты. Сейчас в России с этим проблема: из-за санкций возник дефицит уникальных чипов. Лучше поговорить с банком: возможно, получится договориться на смену номера виртуальной карты и тд.
- Сменить пароль в личном кабинете и установить двухфакторную аутентификацию, если еще не. Нельзя точно определить, какие данные были похищены, все ли похищенные данные были опубликованы, и также неизвестно, насколько надежно банк хранит пароли. Поэтому лучше уменьшить площадь возможной атаки.
- Отслеживать появление своего имени через скоринговые бюро. Это поможет поймать момент, в который на вас попытаются взять кредит. Для этого нужно узнать, в каком бюро кредитной истории хранится ваша история, и направить туда запрос. Узнать можно здесь или через Госуслуги.
- Писать заявления оператору данных с требованием компенсации и жалобы в Роскомнадзор. «Вы получаете теоретическую возможность получить компенсацию от оператора данных, то есть от компании, которой вы передавали свое согласие на обработку данных» — говорит эксперт. — «И возможность получить ответы на ваши жалобы в качестве возражения по делу о, например, внезапно возникшем кредите».
- Приготовиться к волне фишинговых писем. Такие сообщения выглядят, как будто их отправили известные бренды, банки, почтовые провайдеры и тп. Письма содержат ссылку на веб-сайт, который будет похож на настоящий, но в реальности контролируется мошенником. Стоит соблюдать принцип zero trust: по умолчанию считать все письма не от личных контактов подозрительными, не переходить по ссылкам и не указывать личную информацию.
В целом важно ограничивать доступ к своим данным, особенно для онлайн-сервисов. Согласно статье 14.8 КоАП, если продавец отказывается заключать договор с потребителем, который не представляет свои персональные данные, то он будет оштрафован. Не всем захочется разбираться с продавцом из-за требований указать свои номер и почту, тогда можно оставить только один настоящий канал связи.
Мошенники смогут украсть деньги со счета с помощью этих данных?
Напрямую нет. Чтобы украсть деньги со счета, нужно знать больше, чем информацию о личности: пароли, пин-коды и тд. То есть, понадобится более глубокий уровень врубки в банковскую систему. Чаще преступники заставляют жертву саму перевести деньги, используя социальную инженерию. Однако, из-за этой утечки возрастает риск других мошенничеств: злоумышленники могут войти в доверие, используя раскрытые конфиденциальные данные, получить доступ к другим аккаунтам, взять кредит на человека и тд.
Привлекут ли «Альфу» к ответственности?
Серьезных прецедентов наказаний за допущение утечек персональных данных не было. Яндекс. Еду, Гемотест, Delivery Club и др. оштрафовали на суммы до 100 тыс. руб. Нескольким гражданам удалось получить компенсацию за моральный ущерб до 5 тыс. руб. «Законодательное регулирование и судебная практика прямо указывают операторам персональных данных, что фактический ущерб, причиненный клиентам, и их мнение должны учитываться в последнюю очередь. Главное — решить вопрос с регулятором, т.е Роскомнадзором» — комментирует эксперт. — «Между тем, только РКН может провести проверку и заставить организацию усилить защиту».
Масштабные утечки случались и до начала полномасштабной войны, причем без вмешательства «врагов» России. В 2019 году экс-начальник управления прямых продаж «Сбербанка» украл подробный архив операций клиентов и их персональных данных, чтобы продать его на черном рынке. Он получил чуть меньше трех лет колонии, а штрафа в 26 млн руб. ему удалось избежать. Подрядчик «Совкомбанка» пытался получить деньги за анкеты с данными потенциальных заемщиков, и был осужден на два года условно. Банки никакой ответственности не понесли.
В международном правоприменении существует практика штрафования техногигантов за нарушение обращения с персональными данными. В 2019 году американское кредитное бюро Equifax было оштрафовано за утечку персональных и финансовых данных клиентов на 575 млн долларов за то, что оно «не предприняло элементарных шагов, которые могли бы предотвратить нарушение». В конце прошлого года TikTok обязали выплатить штраф в 370 млн долларов за нарушение GDPR. В списке ответчиков также находятся Meta, Amazon и китайский транспортный агрегатор Didi Global, который должен выплатить 1,2 млрд долларов.
Что ожидать в будущем?
В отличие от боевых действий в реальной жизни, кибервойна не затихает. За 1–9 января, во время новогодних выходных, хакеры выложили в открытый доступ 5 Тб персональных данных россиян, причем 99% данных были украдены у компаний финансового сектора. Цель политически мотивированных хакеров — не только получить деньги за продажу похищенной информации, но и создать ощущение угрозы для такого болезненного вопроса, как личные финансы. Впрочем, безразличие россиян представляет серьезное препятствие этой задаче.
Источники
Net Freedoms Project_War of the Leaks RUS.pdf