Совпадение паролей привело к утечке данных

Как кражу средств со счетов клиентов банка «Точка» связали с мобильным оператором

Клиенты банка «Точка» пострадали от утечки данных абонентов «Билайн». Мошенники вывели деньги со счетов как минимум десяти человек. Выяснилось, что у всех пострадавших был один оператор связи. Пароль для входа в интернет-банк совпадал с паролем от личного кабинета пользователя, сообщает издание The Bell. При этом у клиентов была включена переадресация звонков, хотя они сами ее не активировали. О сумме ущерба не сообщается. Ранее в открытом доступе появились данные почти 9 млн пользователей домашнего интернета «Билайн». В компании утверждали, что почти вся информация была устаревшей.

Фото: Сафрон Голиков, Коммерсантъ

Теперь «Билайн» совместно с банком «Точка» проводит внутреннее расследование, рассказала “Ъ FM” пресс-секретарь оператора связи Анна Айбашева: «В утечке, которая фигурировала ранее, речь шла о данных клиентов проводного интернета “Билайн”, поскольку специалисты “Точки” объясняют хищение средств их клиентов наличием в публичном доступе номера мобильного телефона. Есть несколько важных моментов. На сегодняшний день установка переадресации с одного мобильного номера на другой невозможна без идентификации. Это может сделать лишь сам владелец со своего мобильного телефона. Переадресация СМС технически невозможна. Опять же, если банк объясняет утечку средств его клиентов тем, что с помощью знания мобильного номера были взломаны личные кабинеты, и пароль к личному кабинету банка якобы совпадал с личным кабинетом у оператора, то важно отметить, что получить пароль к личному кабинету на сайте оператора через call-центр невозможно. Тем не менее, мы взаимодействуем со специалистами банка “Точка” для выяснения всех технических деталей, и надеемся разрешить эту ситуацию».

В базе «Билайна» были имена, адреса и номера телефонов пользователей. Имея эту информацию, мошенники действительно могут получить доступ к банковским счетам, отмечает технический директор компании Qrator Labs Артем Гавриченков. Но, по его словам, здесь есть и вина самих клиентов: «Если пароль и телефон пользователя совпадают с тем, что прописаны в банк-клиенте, злоумышленник может настроить себе, используя тот же пароль, переадресацию входящих сообщений и звонков на свой мобильный номер, и, таким образом, получать подтверждающие СМС или звонки от банка самостоятельно.

Если пароль от личного кабинета в интернете подходит к банку, то в руках у злоумышленника оказываются оба фактора аутентификации: пароль для доступа к банку и подтверждающее СМС или звонки от банка.

Иметь один и тот же пароль к мобильному телефону, домашнему интернету и банк-клиенту, конечно, абсолютно безответственно».

Банк «Точка» компенсирует клиентам потери за свой счет, хотя кредитные организации редко на это идут добровольно, говорит гендиректор компании «IT-Юрист» Алексей Шаталов. В этом случае банк поступает правильно, а предъявлять претензии «Билайну» пока рано, предупреждает эксперт: «Нужно ликвидировать все узлы связи, данные по лог-файлам. Затем установить, где была брешь, как произошла утечка, и если совпадение было по логинам, вполне возможно, что просто кто-то знал логин из “Билайн”. Я имею в виду не кого-то из сотрудников компании-оператора, а в целом кто-то знал эти логины и просто путем подбора осуществил мошенническое действие. Обращаться в таких случаях в суд и требовать взыскать что-то с банка очень тяжело, потому что банк юридически себя максимально отдаляет от таких случаев.

В данном случае неправомерны действия третьих лиц, вследствие которых клиент банка потерпел убытки.

Если клиент банка не застрахован от таких случаев, то взыскать с самого банка что-либо проблематично. Банк “Точка”, видимо, из-за репутационных причин идет навстречу своим клиентам и просто выплачивает потери, тем более клиентов не так много. Так как это все-таки преступление, у нас есть такой отдел "К" МВД России, который занимается компьютерными преступлениями, у них есть эксперты, которые должны найти, откуда была утечка и были ли в этой утечке виновны действия или бездействия тех или иных компаний. Если подавать иски на компанию, то нам все-таки нужно понимать, какая компания виновата. Может быть, здесь вины “Билайна” нет как таковой, а есть неправомерный доступ к компьютерной информации, в том числе и к их серверам и оборудованию».

Кто виновен в утечке баз данных РЖД

Смотреть

Ранее "Ъ" сообщил об утечке данных держателей 60 млн кредитных карт Сбербанка. Сначала в организации признали, что в открытом доступе оказалось лишь 200 профилей. Глава банка Герман Греф извинился перед клиентами и сообщил, что виновный установлен — им оказался сотрудник Сбербанка, возглавлявший сектор в одном из бизнес-подразделений. В понедельник число жертв утечки возросло до 5 тысяч.

Анна Никитина

Вся лента