Персональные данные в сфере финансов: утечки по вине сотрудников

В 2022 году во всем мире утекли персональные данные сотен миллионов клиентов банков, бирж, страховых компаний, криптоплатформ и других участников финансового рынка. И хотя большинство случаев утечек информации были вызваны хакерскими атаками, персональные данные по-прежнему довольно часто утекают и по вине сотрудников финансовых организаций.

По данным компании Safety Detectives, весной 2022 г. произошла крупная утечка конфиденциальной информации пользователей мобильных кредитных платформ CashMama, LoanZone/Vayloan и MeraLoan. Эти приложения популярны на индийском рынке. Из-за неправильной конфигурации кластера на сервисе Amazon S3 были скомпрометированы более 6,5 млн различных документов общим объемом 1 ТБ. Перечень утекшей информации весьма обширен: полные имена клиентов, даты рождения, домашние адреса, адреса электронной почты, сведения о занятости, реквизиты банковских счетов, идентификационные номера индийских налогоплательщиков (PAN), фотографии, сведения о платежах и многое другое. Утекли не только персональные данные, но также данные SMS, контактная информация, сведения о заряде батареи мобильных устройств и даже отпечатки пальцев (для пользователей приложения Vaylon).

Финансовая компания Block утверждает, что ее бывший сотрудник скачал из приложения Cash App отчеты, содержащие персональную информацию порядка 8,2 млн бывших и текущих клиентов. Экс-менеджер получил доступ к таким данным, как ФИО и номера брокерских счетов, связанных с инвестиционной деятельностью. При этом данные номеров социального страхования, данные банковских счетов не были скомпрометированы, уверяют в Block.

В результате внутреннего инцидента в частном бельгийском банке раскрыты персональные данные сотен клиентов по всей стране. Специалисты учреждения подозревают, что данные были украдены одним из сотрудников. В уведомлении о кибератаке утверждается, что конфиденциальные клиентские файлы, связанные с опционным планом, были выгружены на IP-адрес, не относящийся к системам банка.

В Екатеринбурге возбуждено уголовное дело против сотрудника банка. Мужчину обвиняют в продаже персональных данных клиентов анонимным покупателям в интернете. Полицейские утверждают, что недобросовестный клерк успел отправить данные более тысячи человек. Также мужчина пытался промышлять мошенничеством, обзванивая клиентом и представляясь сотрудником «службы безопасности».

Государственная страховая компания Icare (Австралия) скомпрометировала данные почти 193 тыс. работников. Их информация по ошибке была передана 587 работодателям и страховым брокерам. Согласно сообщению Icare, разослала отчет, содержащий ограниченный объем данных с требованиями о компенсациях, не тем работодателям.