Хакер проби iCard и публикува личните данни на 1800 лица

Кредитните досиета на 1800 клиента на финансовата институция iCard (Айкарт) станаха публично достъпни вчера. Архивът с 21 гигабайта данни беше публикуван от хакер с псевдоним Kyulev в интернет форум. Той твърди, че го е направил като отмъщение, защото не е получил поискан откуп за източените данни. От iCard първоначално отрекоха информацията, но впоследствие признаха за проблема. Стои отворен въпросът дали клиентите и Комисията за защита на личните данни са били информирани в законосъобразния срок, тъй като за пробива се е знаело отдавна.

БРРД верифицира информацията и публикува съобщение във Facebook вчера следобед (25.11.2020). Към този момент от iCard отричаха да е имало пробив и теч, но впоследствие признаха за проблема в уведомление, публикувано на сайта на финансовата институция.

Става въпрос за архивни данни, а не за текущи сметки на потребители на услугата iCard, показа нашата проверка. Потърпевши са най-вече клиенти – физически и юридически лица, срещу които са образувани изпълнителни производства за възстановяване на дългове към “Интеркарт Кредит” (предишното име на “Айкарт”) в периода 2009 – 2014 г. Физическите лица са около 1300 души. Информацията за тях е изключително подробна и засяга всички аспекти на личния им и професионален живот, необходими за съставяне на кредитно досие – личен и професионален адрес, имоти, роднини, марка автомобил и т.н. Засегнати от теча обаче са не само клиентите, а и техните гаранти.

Има-няма теч

Вчера от iCard разпространиха опровержение в своя блог, подписано от изпълнителния директор Явор Петров. Той твърди, че информацията за изтичане на лични карти на клиенти е фалшива. “Тази атака цели да дискредитира успешното българско дружество за електронни пари с водеща позиция на европейската финтех сцена” – се казва в съобщението.

По-късно обаче на сайта беше качено дискретно уведомление, с което се признава за пробива и се уточнява, че той засяга около 1800 души. “Няма каквито и да е индикации, че настоящите активни клиенти на услугите на „Айкарт Кредит“ ЕАД, както и техните лични данни, в това число – движение по усвоени кредитни линии, стойност на предоставен кредит, данни за платежни инструменти, са засегнати от този пробив в сигурността. Няма нарушение в сигурността на информационните системи на „Айкарт Кредит“ ЕАД, които поддържат предоставянето на финансовите услуги към настоящите активни клиенти на дружеството.” – се казва в съобщението.

Като лицензиран от БНБ fintech оператор (лиценз номер 4703-5081) iCard има договори с MasterCard и Visa за издаване на кредитни и платежни карти. Освен това iCard стои зад дигиталния портфейл A1 на едноименния мобилен оператор и услугата MyPOS. Преди две години фирмата се похвали с над 500 000 потребители на нейния дигитален портфейл в Европа. Тогава от Айкарт твърдяха, че само за 2018 г. iCard.bg е обработила 47 милиона трансакции на стойност над 1,7 милиарда евро. Актуалната информация на сайта на фирмата е доста по-скромна – 250 хил. частни и над 55 хил. бизнес клиенти и 10 милиона трансакции годишно.

Кога е уведомена КЗЛД?

Хакерът Kyulev твърди, че е осъществил пробива в системата на iCard преди време и е водил преговори за откуп. Законово задължение на фирмата е да уведоми засегнатите лица и Комисията по защита на личните данни в рамките на 48 часа след констатирането на теча. Изглежда обаче това не е направено до момента, в който историята придоби публичност. БРРД изпрати запитване до КЗЛД дали там са информирани за проблема, но засега отговор от Комисията няма.

Кой стои зад iCard?

Основен акционер в iCard е българинът Христо Георгиев. Той стана известен като основател на малтийската банка Satabank, затворена от ЕЦБ по искане на малтийският финансов регулатор през 2018 г. Тя е В малтийската преса като причини за затварянето на банката се изтъкват съмнения за “високорисков финансов модел и клиенти свързани с организираната престъпност”. По информация на Financial Times, затварянето на банката е засегнало и клиенти на платежната услуга Lео Pay, чиито сметки били затворени без предупреждение. След като проблемът станал известен от сайта на Leo Pay веднага отстранили информацията, че зад услугата стои Satabank.

От iCard квалифицират тези твърдения като клевета и твърдят, че са завели дела срещу малтийските медии, които са ги тиражирали.

Позиция: Този iCard не е онзи iCard

БРРД изпрати няколко въпроса относно инцидента до ПР-агенция, която обслужва компанията. Отговорът дойде от името на фирмата “Айкарт Кредит” ЕАД. Попитахме защо първоначално от iCard отричаха теча на данни след хакерска атака.

***

Разследващата журналистика е разузнаването на гражданите. BIRD се финансира от дарения. Ние не публикуваме реклами. Не получаваме държавни субсидии. Не разчитаме на грантове. Финансирането чрез малки дарения от читатели е гаранция за нашата независимост. Включете се, за да продължим да разкриваме злоупотреби и да държим отговорни властимащите. Използваме Вашите пари за хонорари на журналистите, командировки, изграждане и поддръжка на нашите информационни системи, такси за фирмени и имотни регистри у нас и по света, придобиване на техника и специално оборудване, осигуряване на нашата безопасност и други важни работни мисии. Важно: Ако дарявате всеки месец това ще ни даде възможност да планираме и организираме нашата работа. Благодарим Ви! Нас ни има, защото Вас Ви има!

This post is also available in: English (Английски)