В Сеть попали данные желающих взять кредит в Совкомбанке

В интернете в свободном доступе опубликовали более 150 тыс. анкет с данными россиян, которые подавали онлайн-заявки на кредит в Совкомбанке. Данные выгрузил недобросовестный сотрудник банка. Ими могут воспользоваться мошенники.

В интернете опубликовали в свободном доступе данные граждан, которые оставляли онлайн-заявки на кредиты в Совкомбанке. Объявление появилось на специализированном теневом сайте 20 сентября. Представитель Совкомбанка подтвердил факт утечки.

О появлении файла РБК рассказал основатель сервиса анализа утечек данных DLBI Ашот Оганесян. В самом объявлении не указано, что заявки на кредиты принадлежат Совкомбанку, но в опубликованных анкетах неоднократно упоминается его название.

Файл содержит более 150 тыс. анкет граждан, подававших заявки на кредит в 2019–2020 годах. В каждой анкете Ф.И.О., номер телефона, паспортные данные, тип запрашиваемого кредита, адрес проживания, семейное положение, Ф.И.О. и контакты родственников, место работы, должность, размер дохода, дата и время звонка от специалистов банка, а также ответы клиентов во время звонка при обработке заявки и т.д. В этих комментариях упоминался Совкомбанк. Кроме того, в файле обозначена CRM-система, с помощью которой собирались и обрабатывались заявки, — это платформа Pyrus. На официальном сайте компании перечислены партнеры, которые пользуются ее решениями. Совкомбанк — единственная кредитная организация из них.

«В мае 2020 года в банке выявили сотрудника внешнего call-центра, незаконно копировавшего поступавшие ему для обзвона интернет-заявки от лидогенераторов (сервиса по приему заявок). Скопированные данные он планировал продать в даркнете. Злоумышленник был задержан сотрудниками полиции и впоследствии отпущен под подписку о невыезде. Имевшиеся копии списков заявок на жестком диске его компьютера и внешних носителях были изъяты. В декабре 2020 года бывший сотрудник банка был признан виновным по ст. 183 ч. 3 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) и осужден на два года условно», — рассказал представитель Совкомбанка.

В ходе следствия этот сотрудник повторно разместил объявление о продаже данных интернет-заявок на кредиты через собственный Telegram-канал, сообщили в банке. «Совкомбанк подал новое заявление в полицию по второму эпизоду попытки мошенничества», — подчеркнул представитель банка. Отдел МВД по Каспийску (Дагестан) возбудил уголовное дело, а потом передал его в региональное управление ФСБ. Сейчас дело направлено в суд по ст. 183 ч. 3 (разглашение банковской тайны) и ст. 274.1 ч. 2 (неправомерный доступ к охраняемой компьютерной информации).

Теперь украденная база размещена в открытом доступе на специализированном сайте.

«Особый цинизм в том, что повторная попытка мошенничества произошла в момент, когда уже было подано заявление в полицию и активно велись следственные действия. Эта ситуация наглядно демонстрирует излишнюю мягкость российских законов в отношении данного типа преступлений, которой активно пользуются мошенники. Мы считаем, что российское законодательство по защите информации и коммерческой тайны давно требует ужесточения», — говорится в заявлении совладельца и первого зампреда Совкомбанка Сергея Хотимского, которое распространила пресс-служба банка.

Как данные могут быть использованы

Информацией могут воспользоваться мошенники, которые звонят своим потенциальным жертвам от имени служб безопасности или других сотрудников банка, говорит Оганесян. Сведения, которые утекли, особенно информация о том, что человек планировал брать кредит в банке, впишутся во многие популярные сейчас схемы телефонного мошенничества, соглашается руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.

По словам Мальнева, в среднем не менее половины всех ИБ-инцидентов в организации идут изнутри. «Для противодействия угрозам компрометации данных CRM (система взаимоотношений с клиентами. — РБК) и любых других информационных систем необходим комплексный подход на уровне многоуровневой инфраструктурной защиты. Также важно повышать осведомленность сотрудников в области информационной безопасности», — считает эксперт. Кроме того, необходимо выстроить в компании процесс мониторинга таких инцидентов и на постоянной основе проверять, нет ли корпоративных данных компании в интернете, добавил Мальнев.

Евгения Чернышова

Тематики: Финансы, Безопасность

Ключевые слова: информационная безопасность, персональные данные