В Сеть потенциально попали данные 25 млн клиентов СДЭК
Вместе с февральским инцидентом эта утечка компании может стать крупнейшей этом годуУ российского оператора экспресс-доставки документов и грузов СДЭК произошла новая утечка данных пользователей. Информацию об этом в среду, 13 июля, опубликовали Telegram-каналы компании Infosecurity (входит в ГК Softline) и «Утечки информации» (принадлежит основателю компании DLBI Ашоту Оганесяну).
По их информации, данные объединены в три файла. Первый содержит более 160 млн записей с данными клиентов: Ф.И.О. и адрес электронной почты получателя, название компании отправителя, идентификатор отправителя/получателя, код пункта самовывоза. Второй файл включает более 30 млн строк с информацией о физических и юридических лицах (Ф.И.О./название компании на русском и английском языках, телефоны, адрес электронной почты, почтовый адрес и др.). Третий файл содержит более 90 млн строк с телефонами, идентификаторами отправителя/получателя.
PR-директор СДЭК Анна Иоспа сообщила, что сейчас проводится внутреннее расследование, выясняются обстоятельства. От каких-либо дополнительных комментариев она отказалась.
В конце февраля этого года Telegram-каналы сообщали о другой утечке СДЭК, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.
Как рассказал РБК руководитель блока специальных сервисов Infosecurity Сергей Трухачев, вместе с предыдущей утечкой у СДЭК в сумме утекли данные десятков миллионов клиентов, что может стать «рекордом на российском рынке». «Прошлая утечка де-факто затронула порядка 19 млн пользователей (под одним пользователем понимается один аккаунт. — РБК). После обработки и удаления дублей в файлах новой утечки, выяснилось, что она содержит примерно 25 млн телефонных номеров получателей, а также сведения о 30 тыс. контрагентов», — говорит Трухачев. Он также предупредил, что в ближайшее время злоумышленники проанализируют и объединят обе утечки и сформируют одну из крупнейших незаконно полученных баз граждан России.
Эксперт Центра продуктов Dozor «РТК-Солар» Алексей Кубарев также считает, что утечка пока претендует на звание самой крупной в 2022 году. «Утекший из СДЭК файл с информацией о физических и юридических лицах содержит 30 млн строк данных. Общее население России на данный момент составляет около 150 млн человек, из них 90 млн являются интернет-пользователями. То есть в данной утечке могли оказаться данные до 30% российских интернет-пользователей», — заключил эксперт.
Как могла произойти утечка
После первой утечки представитель СДЭК говорил РБК, что ее причиной были хакерские атаки. Стали ли они вновь причиной, сможет показать детальное расследование, отметил Алексей Кубарев. По его версии, помимо взлома извне это мог быть слив внутренним злоумышленником и некорректные настройки доступа к серверам компании из интернета.
Количество строк в последней базе СДЭК значительно уменьшилось, при этом увеличилось количество полей, заметил в беседе с РБК источник на рынке информационной безопасности. «Проще говоря, «людей» утекло меньше, но деталей об этих людях стало больше. Либо злоумышленники попытались обогатить старую базу публичными данными, а те строки, которые не получилось «расширить», удалили», — рассуждает собеседник.
С начала специальной военной операции российские компании регулярно подвергаются кибератакам. Их проведением в том числе занимается так называемая ИТ-армия Украины, которая, как считается, состоит из волонтеров со всего мира, которые готовы атаковать российские объекты, исходя из своих убеждений. Однако, как говорилось в недавно опубликованном докладе эксперта Центра исследования безопасности высшей технической школы Цюриха, речь может идти о вполне организованной и централизованной группе, состоящей из штатных сотрудников, «которые, похоже, имеют глубокие связи или в большинстве своем состоят из сотрудников служб обороны и разведки Украины».
Помимо СДЭК в этом году было еще несколько масштабных утечек данных пользователей: у сервисов «Яндекс.Еда», Tutu.ru, Delivery Club. У «Яндекс.Еды» в Сеть попали 6,8 млн уникальных номеров телефонов клиентов. Как объясняли в компании, причиной стали недобросовестные действия одного из сотрудников. В середине апреля клиенты «Яндекс.Еды» подали коллективный иск в Замоскворецкий суд Москвы, потребовав компенсацию за моральный вред в размере 100 тыс. руб. на каждого.
В конце мая Telegram-канал In4security сообщал об утечке базы заказов Delivery Club, в которой содержались Ф.И.О. и адреса пользователей, а также информация об их заказах. Delivery Club подтверждал утечку данных о некоторых заказах, совершенных пользователями, но подчеркивали, что банковские реквизиты не были скомпрометированы. Причины инцидента в компании не комментировали. Также в мае произошла утечка данных сети клиник «Гемотест» (в компании объявили о начале внутреннего расследования).
На фоне инцидентов Минцифры предложило ввести оборотные штрафы для компаний, допустивших утечку персональных данных. В начале июля глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн анонсировал: для юридических лиц и индивидуальных предпринимателей штраф может составить 1% от совокупной выручки за год. Соответствующий законопроект планируется внести в Госдуму в осеннюю сессию. Позже представитель Минцифры указывал, что предполагается, что при первой утечке персональных данных клиентов компания будет платить штраф, соразмерный объему попавшей в Сеть информации, а оборотный штраф будет налагаться уже при повторном случае. В законопроекте определят границы для оборотных штрафов (минимальный и максимальный процент от выручки, который можно будет взыскать), опишут смягчающие и отягчающие обстоятельства. К последним могут отнести факт сокрытия информации об утечке.
В середине лета президент Владимир Путин подписал поправки к закону «О персональных данных», согласно которым все компании обязаны сообщать Роскомнадзору об утечках личных данных граждан в течение 24 часов после их обнаружения и предоставлять результаты расследования и информацию о виновных — в течение 72 часов.
Ведущий эксперт по защите персональных данных консалтинговой компании Б-152 Максим Лагутин отмечает, что исходя из заявлений Минцифры за первую утечку компаниям будут делать предупреждение, за вторую — назначать фиксированный штраф, а за третью — оборотный. «Но чаще всего публично большие утечки в компаниях происходят один раз, поэтому вряд ли это будет стимулировать компании», — рассуждает эксперт. Он также напомнил, что совсем избежать утечек не удастся. Но за счет правильных штрафов можно будет лишь минимизировать их количество, объем и последствия для пользователей, чьи данные утекли, считает Лагутин.