«Микроклад» зарегистрирован в Санкт-Петербурге, состоит в государственном реестре микрофинансовых организаций ЦБ с 2014 года, а также является членом крупнейшей на рынке саморегулируемой организации «МиР» с 2015 года. По информации на сайте МКК, она входит в топ-25 крупнейших МФО в стране и выдает займы по всей России. Клиентами «Микроклада» являются более 200 тыс. человек, а по итогам 2019 года МКК было выдано займов на общую сумму 1 млрд руб.

Директор СРО «МиР» Елена Стратьева сообщила, что организация узнала об утечке от корреспондента РБК и начала проверку, хотя формально она не имеет права привлекать компании к дисциплинарной ответственности за утечки. «По опыту, к счастью, немногочисленных в сравнении с другими секторами, но все-таки имевших место быть аналогичных инцидентов прошлых лет, по нашей оценке, до двух третьих данных в таких базах являются сильно устаревшими (неактуальными). Что значительно усложняет процесс выявления, кто и когда нарушил законодательство», — добавила Стратьева.

РБК направил запрос в ЦБ.

Что могло привести к утечке

Подтвердить наличие в утекшей базе 12 млн записей без ее покупки невозможно. Продавцу нет смысла врать относительно количества строк в базе, так как на подобных форумах сделки обычно проводятся через гаранта, что позволяет покупателю проверить все до перевода денег продавцу, отмечает основатель и технический директор компании DeviceLock Ашот Оганесян. Часть клиентов в базе повторяются, так как они могли оформлять несколько заявок на займы, свидетельствуют данные пробника.

По словам Оганесяна, утечка могла произойти в результате выгрузки с сервера баз данных, который обслуживает информационную систему финансового супермаркета или МФО. При этом по набору данных постороннему лицу нельзя определить, какая именно компания допустила утечку. «Наиболее вероятно, что она [база данных] была получена либо путем взлома этого сервера, либо из резервной копии базы, случайно попавшей в руки злоумышленников или украденной инсайдером», — объясняет Оганесян.

С учетом того, что в базе есть не только контактные и паспортные данные, но и номера электронных кошельков (WebMoney), а также информация о полученных займах, злоумышленники могут использовать ее для рассылки мошеннических предложений по списанию долга за часть стоимости, платного исправления кредитной истории или попыток взять новые микрокредиты онлайн, отметил эксперт.

Подобными базами мошенники могут воспользоваться и для оформления онлайн-займов на имя жертвы — о таких случаях рассказывал ЦБ. Однако для получения быстрого кредита онлайн необходимы данные паспорта и СНИЛС — последний вид документа не содержится в продаваемой базе. Злоумышленники могут попытаться заполучить его с помощью социальной инженерии — психологических методов, основанных на обмане жертвы.

За первую половину 2019 года ЦБ обнаружил 13 тыс. объявлений о продаже и покупке баз персональных данных. 1,5 тыс. из них (12%) — это базы кредитно-финансовых организаций.