Банк «Санкт-Петербург» пожалел 29 млн рублей за украденные данные 300 тысяч клиентов

Банк «Санкт-Петербург» взломали хакеры и угнали данные о 300 000 клиентов, потребовав 29 млн рублей за молчание, сообщает "Фонтанка.ру". 20 июля хакеры сообщили представителям банка, что они создали сайт с похищенной информацией и поиском по базе данных, а также подготовили хэштеги в соцсетях для быстрого распространения информации. Банк хакерам решил отказать.

При этом злоумышленники пообещали организовать публикацию во всевозможных СМИ по банковской тематике и оповестить Visa, Mastercard, ЦБ и Роспотребнадзор о случившемся. Как сообщили представители банка изданию CNews публикация в "Фонтанке" была сделана именно для того, чтобы опередить хакеров.

Хакеры оказались фанатами сай-фая: ультиматум пришёл от пользователя с псевдонимом Айзек Азимов (известный писатель), а сама атака началась в день его смерти - 6 апреля. В апреле же, по словам представителей "Санкт-Петербурга", банк заметил «нетипичную для поведения клиентов активность в информационной базе». Представители банка прокомментировали, что случилось при атаке:

Специалисты банка изучили ситуацию и пришли к выводу, что данные, получаемые хакерами, не являются критичными для клиентов и не могут повлечь за собой возможность проведения мошеннических операций по их счетам. В результате было принято решение сразу не блокировать их доступ к этой информации, а дождаться, когда правоохранительные органы смогут найти улики, дающие возможность задержать преступников в будущем.

Дейсвительно, хакеры не смогли получить данные о сроках действия карт и коды CVC/CVV, а следовательно они не могут воспользоваться полученными данными для совершения покупок. По этой причине "Санкт-Петербург" успокаивает клиентов и предлагает заменить карты при первой просьбе, подчёркивая, однако, что в этом нет никакой необходимости. Сейчас в отношении злоумышленников ведётся следствие.

 

Добавить 6 комментариев

  • Ответить

    > не смогли получить данные о сроках действия карт и коды CVC/CVV

    12 месяцев * 3 года * 1000 (CVC/CVV) = 36000.

    300 000 карт.

    ~8% угадают при однократной попытке на каждую карту

  • Ответить

    Да, процент после восьмерки лишний, случайно написал.

    29 миллионов рублей, имхо, многова-то для такой информации. Вряд ли им удастся больше 50 карт взломать, если система безопасности банка отслеживает подозрительные попытки онлайн платежей… И сколько с них можно будет унести? Сколько вообще на картах держат денег? Вряд ли больше миллиона, ведь необычные платежи тоже должны отслеживаются… Разве что репутационный урон банку, но тут уж им виднее сколько он стоит.

  • Ответить

    > Дейсвительно, хакеры не смогли получить данные о сроках действия карт и коды CVC/CVV

    А причина одна: хранить коды CVC/CVV прямо запрещено стандартом PCI-DSS (то есть теми же Visa/Mastercard) То есть уводить было нечего. А хранили бы — и их бы стащили.

    Кстати в статье так и не сказано — увели номера кредиток или нет. Скорее всего увели.

  • Ответить
    Альтер Эго > контекст

    C CVC/CVV данные могут утекать через платежные шлюзы (это случалось с РЖД и ВТБ24 — https://roem.ru/16-04-2014/111486/aleksey-kopylov-podtverdil-utechku-dannyh-pokupateley-biletov-rjd/ )

    Но что это за платежный шлюз может быть, где данные только ПСБ?

    И что за хакеры-дебилы, угрожающие тем, чего не может быть, если огрести за это по голове можно точно также, как если оно у тебя есть?

  • Ответить

    Ну, конечно, идиоты:

    1. публичность (репутационный ущеб уже нанесен, и деньги за «по-тихому» уже не дадут)

    2. сумма в 29 миллионов за, предположительно, 300 000 карт без даты и cvv, чтобы организовать скрытый перебор это нужно будет еще некоторое количество бабла потратить, и что в итоге? Несколько десятков взломанных карт? И это если еще система безопасности не выявила список украденых карт. Причем после уплаты 29 лямов, данные то останутся, т.е. карты и так и так придется перевыпускать.

    Мне вот просто тупо непонятно что банк получит за 29 лямов? Список украденных карт? Предположительно весь?

    Может не в воровстве дело? Может цель — испортить репутацию банка или платежного сервиса?