Хакеры обнародовали данные клиентов платежного сервиса Best2Pay

Как   сообщает Telegram-канал Data1eaks, неизвестные злоумышленники обнародовали данные 1 миллиона пользователей платежного сервиса Best2Pay, принадлежащего "Совкомбанку".

Выложенный файл содержит ФИО, 338 118 уникальных номеров телефонов, адреса электронной почты, типы проводимого платежа, неполные данные карты, а также дату платежа и технические детали.

Специалисты выяснили, что “утекшие” данные актуальны на 23 января 2023 года.

Более детальный анализ утечки показал, что в ней фигурируют 204 тысячи уникальных банковских карт, выпущенных банками из 102 стран мира. Причем эксперты предполагают, что, возможно, это лишь часть базы, имеющейся в распоряжении взломщиков.

Большинство обнародованной информации касается российских карт. Из 2429 BIN-ов российским банкам принадлежит 1399 идентификаторов.

Эксперты утверждают, что утечка затронула клиентов 185 российских банков, отметив, что всего в России 331 банк. При этом несколько карт из утечки были выпущены уже прекратившими деятельность кредитными организациями.

Хотя база данных не содержит полных номеров карт, киберпреступники могут ее использовать для проведения целенаправленных атак с применением методов социальной инженерии на клиентов банков

Согласно официальному заявлению Best2pay, в декабре 2022 года информационные системы компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из подрядчиков, работавшего в изолированной тестовой среде. С использованием аккаунта подрядчика была скомпрометирована Тестовая система формирования отчетов.

Представители Best2pay утверждают, что тестовая среда полностью изолирована от основных информационных систем компании, а размещенные в ней данные были подготовлены специально для работы с внешними подрядчиками. Актуальность обнародованных данных относится к периоду с начала 2019 г. по июнь 2021 г. Кроме того, в похищенном массиве отсутствуют полные данные карт (только маска) и иные платежные реквизиты.

Все боевые системы, которые отвечают за обработку и хранение карточных данных полностью отделены от всех тестовых сред и надежно защищены по всем стандартам PCI DSS, что ежегодно подтверждается независимыми аудитами уже более 10 лет. Платежные данные клиентов не пострадали и находятся в безопасности, говорится в сообщении Best2pay.

Напомним, Best2pay — это открытая финансовая платформа в сфере платежных сервисов для банков, финансовых организаций, финтех-компаний и маркетплейсов.