В апреле 2019 года компания DeviceLock обнаружила уязвимость интернет-ресурса Бинбанка, пишет «Коммерсант». Она позволяла получить персональные данные физлиц, подававших в свое время заявки на оформление кредитной карты «Эlixir». Банк «ФК Открытие», к которому Бинбанк был присоединен в январе, заблокировал лазейку, однако часть анкет уже утекла.
По данным DeviceLock, в сети продается база из 70 000 строк, собранная при помощи этой уязвимости, - по 5 руб. за позицию. На днях она была продана «эксклюзивно в одни руки», сейчас её предлагают еще несколько продавцов.
Повлияла ли утечка на эффективность социальной инженерии, неизвестно. По словам источника, близкого к правоохранительным органам, с начала 2019 года в Москве около сотни клиентов Бинбанка пожаловались на хищения со счетов. Списанные суммы составляли от 3 000 до 100 000 руб. От клиентов других крупных банков за тот же период поступило 20 – 30 заявлений, говорит собеседник.
В «ФК Открытие» настаивают, что «все проблемы с базой давно решены», общее количество пострадавших по всем видам мошенничества – это «несколько десятков по стране», и более чем трети удалось вернуть похищенное.
Если клиент лишился средств, поскольку преступники получили его данные по вине банка, то у него есть шансы взыскать убытки с организации, говорят эксперты. Источники, знакомые с ситуацией, считают, что Банк России проявляет мало внимания к безопасности санируемых банков: сотрудников FinCERT привлекают после ввода временной администрации, но их немного, и работают они формально.