Хакерская группировка DumpForums объявила о взломе сайта оператора платежной системы «Мир» — НСПК (Национальная система платежных карт). Информацию о взломе подтвердили в НСПК, там заявили, что сайт компании не имеет отношения к платежной инфраструктуре и не содержит конфиденциальных данных. Эксперты,
«Ведомостями», сомневаются, что в результате взлома могли быть похищены какие-то важные для процессинга сведения.
Русскоязычная хакерская группа DumpForums в своем Telegram-канале сообщила, что «оставила послание администраторам на главном сайте» НСПК. «Нам удалось взломать не только НСПК, мы выгрузили множество интересной информации из серверов платежной системы "Мир", здорово провели время в их внутренней сети и теперь готовы заявить о взломе крупнейшего платежного оператора», — говорится в сообщении группировки.
На главной странице НСПК хакеры разместили объявление от имени организации. Представитель НСПК
«Ведомостям», что сайт — это визитная карточка с информацией о деятельности компании. «Получить с сайта доступ к каким-либо системам компании невозможно», — отметил он.
По словам представителя компании, сайт разработан и обслуживается сторонним подрядчиком. Назвать его он отказался. Сервера и центры обработки данных НСПК не имеют доступа в интернет, добавил собеседник газеты. Обработка всех платежей по банковским картам и операций через СБП (Система быстрых платежей) проводится НСПК в штатном режиме, заверил он.
Сайт НСПК никак не связан с процессинговым центром, где происходит обработка транзакций банковских карт, подтвердил стратегический директор по ИТ, продуктам и сервисам PRO32 Руслан Сулейманов. Маловероятна утечка данных, связанных с процессингом банковских карт (BIN карт, CVV, данные владельцев карт и др.), при взломе сайта, уточнил он.
Эксперт инжинирингового центра SafeNet НТИ (Национальная технологическая инициатива) Игорь Бедеров полагает, что атака коснулась только сайта. По его словам, максимум, что могло быть украдено — логи сайта и почты связанных лиц, и то пароли к ним хранятся в хэше, который DumpForums, вероятно, даже не смогли расшифровать. Взломать сайт, или получить к нему доступ — не то же самое, что получить доступ к внутренней инфраструктуре, сказал генеральный директор iTPROTECT Андрей Мишуков. «В худшем случае могла утечь информация о программе лояльности, например, но не платежные данные или информация о транзакциях», — предположил он.
Национальная система платежных карт (НСПК) была создана в 2014 году после введения западных санкций против России из-за Крыма. Эмиссия карт «Мир» началась в 2015 году. НСПК с 2015 года обрабатывает все транзакции по всем банковским картам внутри страны. НСПК совместно с ЦБ разработали СБП и запустили ее в 2019 году. К СБП подключено более 200 банков, она позволяет осуществлять межбанковские переводы по номеру мобильного телефона, а также оплачивать покупки по QR-коду.
