Банк Santander столкнулся с серьезной кибератакой, в результате которой были похищены данные миллионов клиентов и сотрудников. Инцидент был немедленно доложен в Национальную комиссию по рынку ценных бумаг Испании (CNMV) во вторник, 14 мая.
Согласно официальному сообщению банка, злоумышленники получили несанкционированный доступ к базе данных, содержащей информацию о «всех действующих и некоторых бывших сотрудниках группы», за исключением тех, кто работает в Германии. Общее количество пострадавших сотрудников составляет около 200 000 человек.
Подробнее о происшествии можно узнать из оригинальной статьи, опубликованной на портале Sur in English.
Банк уверяет, что немедленно принял меры для решения проблемы, включая блокировку доступа к базе данных и усиление мер по предотвращению мошенничества для защиты клиентов. Однако Santander не уточнил, какое количество клиентов и какие именно данные были затронуты, хотя источники в отрасли утверждают, что речь идет о файлах миллионов людей, включая личные данные.
Важно отметить, что в базе данных не содержится критически важной информации, такой как пароли. «В базе данных отсутствует транзакционная информация или учетные данные для доступа в интернет-банкинг, которые позволили бы проводить операции с банком», — говорится в сообщении Santander.
Системы и операции Santander не пострадали, и клиенты могут продолжать свою обычную деятельность. Банк уже начал уведомление всех клиентов, чьи данные могли быть скомпрометированы.
Кибератака была осуществлена через базу данных, размещенную на сервере, управляемом одним из поставщиков банка. Атаки такого рода, направленные на компании, работающие на банки, являются наиболее распространенными из-за более высокой уязвимости систем безопасности таких аутсорсинговых фирм по сравнению с системами материнских компаний.
Председатель банка Ана Ботин выразила сожаление в связи с произошедшим и подчеркнула, что банк «активно информирует клиентов и сотрудников, непосредственно затронутых этим инцидентом». Santander также сообщил о случившемся в полицию, которая начала расследование.
В соответствии с действующими нормами, все испанские банки обязаны немедленно информировать Испанское агентство по защите данных (AEPD) и Европейский центральный банк (ЕЦБ) о любом краже данных такого масштаба из их баз данных, помимо CNMV и самих пострадавших клиентов. ЕЦБ уже наложил крупные штрафы на банки, которые сообщили о хакерских атаках, но слишком поздно после инцидента.
