Бинбанк уже после ликвидации обнародовал персональные данные своих экс-клиентов

Бинбанк уже после ликвидации обнародовал персональные данные своих экс-клиентов

Утечка персональных данных может произойти из финансовой организации в любой момент. Даже, как в случае с Бинбанком, когда кредитное учреждение уже ликвидировано.
Банки / 17 Апр 2019, 11:00
Бинбанк уже после ликвидации обнародовал персональные данные своих экс-клиентов

Как стало известно компании DeviceLock, данные клиентов-физических лиц, некогда подававших заявки на получение кредитной карты Бинбанка «Эlixir», появились в открытом доступе. Это фамилия имя и отчество клиента банка, его паспортные данные, телефон и адрес проживания.

По словам основателя компании Ашота Оганесяна, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе кредитного учреждения для передачи заявок на выпуск карт «Эlixir».

«Уже найдено более тысячи анкет. Однако при помощи автоматизированного перебора возможно получить все заявки, доступные через это API, а их могут быть десятки или даже сотни тысяч», – указывает Оганесян, отмечая, что если систему для Бинбанка делали сторонние разработчики, то велика вероятность подобных проблем и в других банках, использовавших то же решение.

Кстати, подобная утечка не является единичным случаем. По словам вице-президента группы компаний InfoWatch Рустема Хайретдинова, схожая публичная история была еще в 2015 году с банком «Санкт-Петербург», когда злоумышленники также получили доступ к данным клиентов, после чего финансовая организация пересмотрела свой взгляд на безопасность.

«Пресловутый принцип time-to-market требует от компаний выпускать новые сервисы как можно быстрее. И из-за этого банки порой отказываются от дополнительного времени на тестирование и исправление ошибок», – комментирует эксперт.

Руководитель группы анализа защищенности Solar JSOC «Ростелеком-Solar» Александра Колесова высказывает предположение, что в данном случае в ходе заполнения заявки на выдачу карты каждая страница сохранялась в кэше. Это требуется для того, чтобы сотрудник банка мог перезвонить клиенту, если тот вдруг передумал и не закончил процесс оформления.

«Однако эти страницы хранились без каких-либо ограничений доступа по прямой ссылке», – отметил он, указывая, что разные вариации данной уязвимости «встречаются довольно часто в банках».

Отметим, что тем гражданам, чьи данные попали в открытый доступ, подобные утечки грозят как минимум атаками с использованием социальной инженерии. Решать же проблему придется совершенно другому игроку – банку ФК «Открытие», к которому Бинбанк присоединился с 1 января 2019 года и где не обладают полной информацией, что происходило в присоединенной финансовой организации.

Вместе с тем там не смогли ответить на вопрос, сколько всего было получено заявок через сайт – то есть сколько данных клиентов могут быть под угрозой.

Подписывайтесь на нашу рубрику:
Для подписки необходимо авторизироваться
Укажите вашу электронную почту в личном кабинете
Комментарий
Чтобы оставить комментарий необходимо авторизироваться