В результате выявления уязвимости веб-ресурса ликвидированного Бинбанка персональные данные граждан, направляемые кредитной организации при запросе на выдачу кредита или карты, оказались в открытом доступе.В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших заявки на получение кредитной карты Бинбанка «Эlixir», которые не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании.

По словам основателя DeviceLock Ашота Оганесяна, в настоящее время известно, что уже найдено более 1 тыс. анкет, однако при помощи автоматизированного перебора возможно получить все заявки, а их могут быть десятки или даже сотни тысяч. Также велика вероятность подобных проблем и в других банках, использовавших то же решение для системы безопасности.

Как напомнил вице-президент группы компаний InfoWatch Рустем Хайретдинов, схожая публичная история была в 2015 году с банком «Санкт-Петербург», когда злоумышленники также получили доступ к данным клиентов, после чего банк пересмотрел свой взгляд на безопасность. Руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин сообщил, что очевидно также отсутствие защиты от атаки перебором.

Решать проблему приходится банку «ФК Открытие», к которому Бинбанк присоединился с 1 января 2019 года и где не обладают полной информацией, что происходило в присоединенном банке. В банке не смогли ответить на вопрос «Коммерсанта», сколько всего было получено заявок через сайт, то есть сколько данных клиентов могут быть под угрозой. «Мы знаем, что с конца 2012 года Бинбанк действительно выпускал данный карточный продукт. В 2014 году проект был закрыт. В настоящее время установить разработчиков сервиса и ответственных за продукт практически невозможно. Сайты, на которых размещались данные, заблокированы», — отметили в пресс-службе «ФК Открытие».