ИБ-исследователи сообщили, что в открытом доступе появилась вторая часть дампа, предположительно полученного из мобильного приложения бонусной программы «СберСпасибо» (spasibosberbank.ru).

Специалисты Data Leakage & Breach Intelligence (DLBI) и Telegram-канала in2security пишут, что структура второго «слива» совпадает с первой утечкой, опубликованной в начале марта 2023 года. В дампе так же содержатся номера телефонов, даты рождения, регистрации в сервисе, дата последнего входа, а также хэшированные номера карт.

По информации DLBI, новый файл содержит:

  • телефоны (4,5 млн уникальных номеров);
  • хешированные (SHA1 без соли) номера банковских карт (основной карты и дополнительных);
  • даты рождения;
  • даты создания и обновления записи (с 05 июня 2022 по 22 января 2023);

Теперь в общей сложности были обнародованы 51 977 405 уникальных номеров телефонов и 3 298 456 уникальных email-адресов.

Еще во время первого «слива» эксперты предупреждали, что хотя номера банковских карт хранятся в одном из файлов в виде хеша, из-за использования устаревшего алгоритма SHA1, «восстановить» реальные значения карт не составит никакого труда (при помощи обычного перебора). Напомню, что в первом дампе содержится 100 092 292 уникальных хешей карт.

Ранее исследователи DLBI писали, что им удалось «восстановить» 96 676 846 номеров карт, из них:

  • более 51% идентифицируются как карты VISA;
  • 32% — Mastercard и Maestro;
  • 16% — МИР;
  • менее 1% — карты Priority Pass и American Express.

Выборочная проверка номеров банковских карт (через переводы с карты на карту) показала, что часть карт действительны и перевод на них возможен, а на часть карт, видимо, уже неактивны, так как перевод на них невозможен.

В середине марта представители «СберСпасибо» уже сообщали СМИ, что проверят информацию о возможной утечке:

«Мы проверяем информацию и ее достоверность. Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных», — заявляли в компании.

Источник: xakep