Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
США и Венесуэла провели обмен заключенными Политика, 06:07
Синоптик предупредил о сильных дождях 2 и 3 октября Общество, 05:57
В Новой Каховке сообщили о работе ПВО и около десяти взрывах Политика, 05:32
Более 150 человек пострадали в протестах против правительства в Ираке Политика, 05:30
Госдеп США заверил Киев в готовности помочь в вопросе обороны Политика, 04:58
Глава штаба Британии счел, что Россия могла бы наносить удары из космоса Политика, 04:38
Пентагон напомнил, что вопрос о расширении НАТО должен решать весь альянс Политика, 03:37
Объясняем, что значат новости
Вечерняя рассылка РБК
Подпишитесь за 99 ₽ в месяц
Австралия анонсировала санкции в отношении 28 россиян Политика, 03:36
Nournews узнал, что замороженные из-за санкций США активы Ирана освободят Политика, 02:49
Вучич счел вопрос о субъектах Украины в составе России сложным для Сербии Политика, 02:13
Почему при инсульте надо успеть попасть в «терапевтическое окно» Партнерский проект, 01:44
Пентагон не увидел признаков, что Россия решила применить ядерное оружие Политика, 01:41
ВМС Франции сопроводили подлодку и буксир России в Бискайском заливе Политика, 01:21
Роспотребнадзор заявил об интенсивном снижении заболеваемости COVID-19 Общество, 00:56
Технологии и медиа ,  
0 

В Сеть потенциально попали данные 25 млн клиентов СДЭК

Вместе с февральским инцидентом эта утечка компании может стать крупнейшей этом году
Эксперты сообщили о новой утечке данных в СДЭК, которая могла коснуться 25 млн пользователей и 30 тыс. контрагентов. Несмотря на планы властей ужесточить ответственность за такие инциденты, совсем прекратить их не получится
Фото: Михаил Метцель / ТАСС
Фото: Михаил Метцель / ТАСС

У российского оператора экспресс-доставки документов и грузов СДЭК произошла новая утечка данных пользователей. Информацию об этом в среду, 13 июля, опубликовали Telegram-каналы компании Infosecurity (входит в ГК Softline) и «Утечки информации» (принадлежит основателю компании DLBI Ашоту Оганесяну).

По их информации, данные объединены в три файла. Первый содержит более 160 млн записей с данными клиентов: Ф.И.О. и адрес электронной почты получателя, название компании отправителя, идентификатор отправителя/получателя, код пункта самовывоза. Второй файл включает более 30 млн строк с информацией о физических и юридических лицах (Ф.И.О./название компании на русском и английском языках, телефоны, адрес электронной почты, почтовый адрес и др.). Третий файл содержит более 90 млн строк с телефонами, идентификаторами отправителя/получателя.

PR-директор СДЭК Анна Иоспа сообщила, что сейчас проводится внутреннее расследование, выясняются обстоятельства. От каких-либо дополнительных комментариев она отказалась.

В конце февраля этого года Telegram-каналы сообщали о другой утечке СДЭК, которая содержала файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, Ф.И.О. и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной.

Роскомнадзор составил протокол на сервис «Яндекс.Еда» из-за утечки
Общество
Фото:Владислав Шатило / РБК

Как рассказал РБК руководитель блока специальных сервисов Infosecurity Сергей Трухачев, вместе с предыдущей утечкой у СДЭК в сумме утекли данные десятков миллионов клиентов, что может стать «рекордом на российском рынке». «Прошлая утечка де-факто затронула порядка 19 млн пользователей (под одним пользователем понимается один аккаунт. — РБК). После обработки и удаления дублей в файлах новой утечки, выяснилось, что она содержит примерно 25 млн телефонных номеров получателей, а также сведения о 30 тыс. контрагентов», — говорит Трухачев. Он также предупредил, что в ближайшее время злоумышленники проанализируют и объединят обе утечки и сформируют одну из крупнейших незаконно полученных баз граждан России.

Эксперт Центра продуктов Dozor «РТК-Солар» Алексей Кубарев также считает, что утечка пока претендует на звание самой крупной в 2022 году. «Утекший из СДЭК файл с информацией о физических и юридических лицах содержит 30 млн строк данных. Общее население России на данный момент составляет около 150 млн человек, из них 90 млн являются интернет-пользователями. То есть в данной утечке могли оказаться данные до 30% российских интернет-пользователей», — заключил эксперт.

Pro
Фото: Adam Berry / Getty Images Антивеганы: почему люди по всему миру отказываются от растительной пищи
Pro
Morgan Stanley: лекарства от ожирения станут золотой жилой для бигфармы
Pro x The Economist
Фото: Hugo Philpott / Getty Images Сейчас или никогда: почему инвесторов уже не интересует отложенная выгода
Pro
Фото: Morris MacMatzen / Getty Images Как использовать зарубежный счет и избежать штрафов от налоговой
Pro
Фото: Shutterstock Как сохранить деньги, когда рынок рушится: советы экономистов
Pro
Частичная мобилизация: что делать сотрудникам, если нарушены их права
Pro
Фото: Jamie McCarthy / Getty Images В 50 лет выглядит на 30: в чем секрет молодости Джареда Лето
Pro
Фото: Dan Kitwood / Getty Images Почему бокал вина — плохой способ избавиться от стресса

Как могла произойти утечка

После первой утечки представитель СДЭК говорил РБК, что ее причиной были хакерские атаки. Стали ли они вновь причиной, сможет показать детальное расследование, отметил Алексей Кубарев. По его версии, помимо взлома извне это мог быть слив внутренним злоумышленником и некорректные настройки доступа к серверам компании из интернета.

«Коммерсантъ» узнал об иске клиентов СДЭК к компании из-за утечки данных
Бизнес
Фото:Михаил Метцел / ТАСС

Количество строк в последней базе СДЭК значительно уменьшилось, при этом увеличилось количество полей, заметил в беседе с РБК источник на рынке информационной безопасности. «Проще говоря, «людей» утекло меньше, но деталей об этих людях стало больше. Либо злоумышленники попытались обогатить старую базу публичными данными, а те строки, которые не получилось «расширить», удалили», — рассуждает собеседник.

С начала специальной военной операции российские компании регулярно подвергаются кибератакам. Их проведением в том числе занимается так называемая ИТ-армия Украины, которая, как считается, состоит из волонтеров со всего мира, которые готовы атаковать российские объекты, исходя из своих убеждений. Однако, как говорилось в недавно опубликованном докладе эксперта Центра исследования безопасности высшей технической школы Цюриха, речь может идти о вполне организованной и централизованной группе, состоящей из штатных сотрудников, «которые, похоже, имеют глубокие связи или в большинстве своем состоят из сотрудников служб обороны и разведки Украины».

Помимо СДЭК в этом году было еще несколько масштабных утечек данных пользователей: у сервисов «Яндекс.Еда», Tutu.ru, Delivery Club. У «Яндекс.Еды» в Сеть попали 6,8 млн уникальных номеров телефонов клиентов. Как объясняли в компании, причиной стали недобросовестные действия одного из сотрудников. В середине апреля клиенты «Яндекс.Еды» подали коллективный иск в Замоскворецкий суд Москвы, потребовав компенсацию за моральный вред в размере 100 тыс. руб. на каждого.

Минцифры установит для бизнеса штраф, соразмерный объему утечки данных
Бизнес
Фото:Максим Блинов / РИА Новости

В конце мая Telegram-канал In4security сообщал об утечке базы заказов Delivery Club, в которой содержались Ф.И.О. и адреса пользователей, а также информация об их заказах. Delivery Club подтверждал утечку данных о некоторых заказах, совершенных пользователями, но подчеркивали, что банковские реквизиты не были скомпрометированы. Причины инцидента в компании не комментировали. Также в мае произошла утечка данных сети клиник «Гемотест» (в компании объявили о начале внутреннего расследования).

На фоне инцидентов Минцифры предложило ввести оборотные штрафы для компаний, допустивших утечку персональных данных. В начале июля глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн анонсировал: для юридических лиц и индивидуальных предпринимателей штраф может составить 1% от совокупной выручки за год. Соответствующий законопроект планируется внести в Госдуму в осеннюю сессию. Позже представитель Минцифры указывал, что предполагается, что при первой утечке персональных данных клиентов компания будет платить штраф, соразмерный объему попавшей в Сеть информации, а оборотный штраф будет налагаться уже при повторном случае. В законопроекте определят границы для оборотных штрафов (минимальный и максимальный процент от выручки, который можно будет взыскать), опишут смягчающие и отягчающие обстоятельства. К последним могут отнести факт сокрытия информации об утечке.

В середине лета президент Владимир Путин подписал поправки к закону «О персональных данных», согласно которым все компании обязаны сообщать Роскомнадзору об утечках личных данных граждан в течение 24 часов после их обнаружения и предоставлять результаты расследования и информацию о виновных — в течение 72 часов.

Ведущий эксперт по защите персональных данных консалтинговой компании Б-152 Максим Лагутин отмечает, что исходя из заявлений Минцифры за первую утечку компаниям будут делать предупреждение, за вторую — назначать фиксированный штраф, а за третью — оборотный. «Но чаще всего публично большие утечки в компаниях происходят один раз, поэтому вряд ли это будет стимулировать компании», — рассуждает эксперт. Он также напомнил, что совсем избежать утечек не удастся. Но за счет правильных штрафов можно будет лишь минимизировать их количество, объем и последствия для пользователей, чьи данные утекли, считает Лагутин.

Авторы
Теги