Роскомнадзор зафиксировал утечку данных клиентов из МФО
Базы со сведениями о россиянах обнаружили в КазахстанеРоскомнадзор располагает информацией об утечке данных российских клиентов микрофинансовой организации, он также проверяет информацию о возможной компрометации персональных данных из еще одной МФО. Об этом РБК сообщил представитель Роскомнадзора.
«Роскомнадзор располагает информацией об утечке данных российских клиентов микрофинансовой организации, ведомство принимает меры реагирования. Кроме того, Роскомнадзор проверяет информацию о возможной утечке персональных данных у еще одной микрофинансовой компании», — сказал представитель Роскомнадзора, отвечая на запрос РБК о возможной утечке данных клиентов МФО «Займер» и «А Деньги», о которых сообщили власти Казахстана. Однако представитель ведомства не уточнил названия МФО.
Что известно об утечке
Ранее Минцифры Казахстана сообщило, что «Государственная техническая служба» (госпредприятие по обеспечению информационной безопасности) 5 марта обнаружила утечку более 2 млн персональных данных казахстанцев, являющихся клиентами казахстанской МФО «Займер» (ТОО «МФО «Робокэш.кз»). В обнаруженном файле также содержались данные клиентов российских МФО, «функционирующих на платформе Robo.finance»: 16,8 млн данных клиентов российского «Займера» и 6,8 млн данных клиентов микрокредитной компании «А Деньги». Последняя является «дочкой» Альфа-банка, которому принадлежит 51,5%, свидетельствуют данные «РБК Компаний». До мая 2022 года 27% компании принадлежали «Займеру».
«Взлома информационной базы МФК «Займер» не было. Детальный анализ информационных систем показал, что данные личных кабинетов клиентов, включая финансовую информацию, находятся в полной безопасности», — сообщил РБК представитель «Займера».
«У нас нет никаких утечек», — сообщила пресс-служба сервиса «А Деньги».
Сервис DLBI, специализирующийся на анализе утечек, в своем телеграм-канале сообщал, что в открытом доступе в Telegram появились несколько файлов баз данных клиентов МФО, среди которых российский и казахстанский «Займер». В частности, файл с данными клиентов российского «Займера» содержит Ф.И.О., номера телефонов, адреса электронных почт, паспортные данные, адрес, дату и место рождения, ИНН и т.д. Как пояснил РБК основатель DLBI Ашот Оганесян, утечка баз данных нескольких МФО могла произойти из-за взлома финтех-компании «Робофинанс».
На сайте казахстанского «Займера» указано, что компания принимает меры для расследования инцидента и проверки информации. «Личные кабинеты заемщиков МФО «Робокэш.кз» надежно защищены. Информацию о банковских картах и счетах своих клиентов МФО не хранит, так как процесс выдачи микрокредита электронным способом с использованием таких данных проходит только через независимую стороннюю процессинговую компанию, которая занимается обработкой платежей», — говорится в сообщении.
Как сообщает казахстанская газета «Курсив», учредителем МФО «Робокэш.кз» является ROBOCASH PTE.LTD, зарегистрированная в Сингапуре. Ей же на 100% принадлежит «Робофинанс». Должность председателя совета директоров сингапурской Robocash (сейчас называется Una Financial) занимает Сергей Седов. Основателем российского «Займера» тоже является Сергей Седов.
Наиболее вероятно, что данные утекли в результате ошибки сотрудника платформы для МФО, рассуждает руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев. «В открытом доступе могла оказаться база микрофинансовых сервисов, хранившаяся в облаке. Возможно, к утечке данных привели ошибки при миграции базы или обновлении ПО. Подобные нарушения со стороны сотрудников, к сожалению, весьма распространены, так как связаны с человеческим фактором. Хотя в последнее время они встречаются реже, чем еще три-четыре года назад, так как у компаний появились более эффективные инструменты контроля цифровых ресурсов», — добавляет он.
В начале 2020 года данные клиентов «Займера» уже могли попасть в руки мошенников. Тогда на специализированном интернет-сайте были выставлены на продажу данные клиентов микрофинансовых организаций. Как уверял продавец, в базе содержались данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке. По словам клиентов, с которыми связался РБК, они обращались за займами в «Быстроденьги», «Займер» «еКапуста», «Лайм» и «Микроклад».
Какими могут быть последствия утечки
«Каждая новая порция скомпрометированных персональных данных обогащает серый «цифровой профиль» человека, позволяя совершать в отношении него мошенничество и вовлекать в противоправные действия», — сказал РБК представитель Роскомнадзора. Тот факт, что преступники располагают большими объемами персональных данных, подтверждает необходимость перехода к модели, когда к компаниям, обрабатывающим значительные объемы персональных данных, предъявляются повышенные требования по безопасности данных и соблюдению принципов работы с персональными данными, добавил он.
В сообщении на сайте Минцифры Казахстана указано, что по данному факту планируется провести внеплановые проверки в отношении операторов баз данных, в которых произошла утечка персональных данных казахстанцев. «По результатам проверок при обнаружении нарушений требований законодательства в отношении операторов баз данных будут выданы предписания об устранении выявленных нарушений, а также выписаны административные штрафы в размере от 100 до 1000 МРП в зависимости от категории субъекта и состава правонарушения», — уточняется там. МРП — это месячный расчетный показатель, применяемый для расчета штрафных санкций, налогов и других платежей в Казахстане. На 2024 год составляет 3692 тенге, то есть около 750 руб. Казахстанское Минцифры также массово разослало предупреждающие уведомления казахстанцам об утечке данных.
Клиентам, чьи данные утекли, могут звонить мошенники. Также файл содержит информацию о месте работы, поэтому мошенники могут писать потенциальным жертвам с поддельных аккаунтов руководителей и таким образом выманивать деньги, предупреждает Оганесян.
Даже если злоумышленникам удалось получить ограниченный набор данных (имена и контактная информация), это несет серьезную угрозу для клиентов МФО, считает Арсентьев. «Такие данные могут быть использованы для атак с применением методов социальной инженерии, чтобы получить доступ к счетам клиентов, — например, звонки «из службы безопасности банка» с требованием перевести деньги на «безопасный счет». Стоит отметить, что клиентами МФО в силу специфики этого сегмента финансового рынка часто становятся заемщики с плохими кредитными историями, которым банки отказывают в получении кредитов. Среди таких заемщиков довольно много людей с низкой финансовой грамотностью, а значит, высоки риски того, что они попадутся на удочку мошенников», — говорит эксперт.
На оператора данных, допустившего утечку, может быть наложен штраф от 50 тыс. до 100 тыс. руб. для юрлиц, от 8 тыс. до 20 тыс. руб. для должностных и от 1 тыс. до 4 тыс. руб. — для физических лиц, отмечает управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин: «Штрафы относительно невелики, если учесть масштаб возможных последствий такой утечки для субъектов персональных данных. Собственно, субъектам персональных данных придется добиваться защиты своих интересов самостоятельно». Сама по себе утечка материального ущерба не формирует, даже если ее следствием будет совершение в отношении субъекта мошеннических действий, добавляет юрист.
«Риски для субъектов, с одной стороны, очевидны, с другой стороны, переоценивать их тоже не стоит. Во-первых, это риски того, что разного рода организации, те же МФО, будут очень активно навязывать вам свои услуги. Во-вторых, это риски того, что участятся звонки со стороны мошенников, хотя в последние годы, я бы сказал, риски эти возникают вне зависимости от того, утекали ли ваши данные или нет, они возникают просто в силу наличия у человека мобильного телефона с функцией приема входящих звонков, остальное — дело социальной инженерии», — рассуждает Федюкин. Персональные данные при этом сами по себе не «позволяют причинить имущественный или моральный вред субъекту, даже находясь не в тех руках», подчеркивает он.
В 2023 году из банков и финансовых компаний утекло 170,3 млн записей персональных данных клиентов, подсчитали ранее в InfoWatch. За год их число выросло в 3,2 раза. На долю МФО приходилось 9,4% утечек. По оценкам Роскомнадзора, всего в прошлом году произошло 168 утечек персональных данных из российских компаний (не только финансовых). В открытый доступ попало 300 млн записей. По информации DLBI, за 2023 год утекли 240 млн уникальных телефонных номеров россиян, в эту статистику входят не только банки и финансовые организации, но и сегмент электронной коммерции, компании здравоохранения, досуга и т.п.