В интернет утекла база программы лояльности сети «Красное и белое». В документе содержатся записи о 17 млн человек, якобы имеющих карты лояльности этой сети. В базе есть их фамилия, имя, отчество, дата рождения и номер телефона.
С сентября 2019 г. часть базы с данными о 124 000 человек продавалась в даркнете на форуме «Дубликаты». За нее просили 15 000 руб. С октября по январь база на форуме постоянно пополнялась. 25 января база на 2 млн человек появилась на форуме «Фрикер клуб», а затем, уже на 4 млн, – на англоязычном форуме Raid. Вслед за тем Telegram-канал специалиста по информационной безопасности Павла Ситникова Freedom Fox опубликовал базу на 17 млн записей. Правда, многие из этих записей содержат недействительные даты (1 января 1753 г.), многие номера телефонов повторяются. «Ведомости» позвонили по случайно выбранным телефонным номерам из базы. Большинство были отключены. Но до нескольких человек удалось дозвониться. Они подтвердили, что их имена и фамилии совпадают с указанными в базе и они действительно являются владельцами карт программы лояльности сети.
«Красное и белое» проверяет информацию об утечке личных данных. Пока она не подтверждается, уверяет представитель сети. По его словам, компания тщательно следит за конфиденциальностью личных данных клиентов, а базы закрыты от внешнего доступа.
Эксперты скептически оценивают качество опубликованной базы данных. «База плохая – очень некачественно собранная, много опечаток, фиктивных дат рождения и номеров», – указывает основатель и технический директор DeviceLock DLP, специализирующейся на кибербезопасности и защите данных, Ашот Оганесян. Число клиентов, чьи персональные данные могли оказаться в открытом доступе, скорее всего, завышено, считает гендиректор «Infoline-аналитики» Михаил Бурмистров: «В программе лояльности «Красного и белого» зарегистрировано 6,5 млн пользователей». По числу участников программы лояльности «Красное и белое» – один из крупнейших ритейлеров. Сеть уступает только лидерам рынка – X5, «Магниту» и «Ленте», добавил Бурмистров.
Не первая утечка
Это не первый случай утечки баз данных клиентов программы лояльности у ритейла. Летом 2019 года РБК писала oб утечке данных 400 000 клиентoв компании Ozon. По факту проверки, интернет-магазин признал, что были скомпрометированы данные лишь 30 000 пользователей.
Это мог быть как взлом, так и работа инсайдера, считает директор компании Qrator Labs Артем Гавриченков. «Теоретически доступ в базу на чтение и запись есть у каждого розничного магазина; вопрос, как организована защита от доступа к базе сотрудников магазинов и организована ли она вообще, – рассуждает он. – В противном случае нечистый на руку кассир розничного магазина мог счесть 15 000 руб. достойной прибавкой к своей зарплате». На такой вариант указывает и характер утечек: по 100 000–200 000 каждый месяц, говорит он.
Подобные утечки нередко случаются у крупных компаний, которые хранят данные на множестве разных серверов. И поддерживать защиту каждого из элементов инфраструктуры бывает затруднительно и местами могут возникнуть уязвимости, отмечает антивирусный эксперт «Лаборатории Касперского» Дмитрий Галов. В этом случае данные могли быть похищены как в ходе таргетированной атаки на систему ритейлера, так и по случайности. Во втором случае злоумышленникам, как правило, не важно, что за компанию они атакуют. Они прибегают к автоматизированному поиску данных: сканируют IP-адреса, ищут открытые порты и открытые базы данных, а затем выкачивают найденную информацию.
Основная ценность опубликованной базы в том, что в основном в ней содержатся, очевидно, ФИО и номера телефонов представителей наиболее незащищенных социальных слоев населения. Это золотая жила для разного рода телефонных мошенников и аферистов, отмечает Гавриченков. «О том, что утечки данных в России, по сути, стали рядовой рутиной, говорит и выставленный злоумышленником ценник – по 1 руб. за 1000 записей. Огромный объем данных, содержащихся в базе, по мнению самого продавца, не имеет большого значения, поскольку такие данные уже утекали ранее неоднократно», – заключает он.
Как правило, похищенные данные используются злоумышленниками, чтобы втереться в доверие к потенциальной жертве и извлечь из нее более ценную информацию, например данные банковской карты или же одноразовый пароль, который нужен для входа в личный банковский аккаунт, говорит Галов. Используя номера, можно было бы дать рекламу для аудитории во «В контакте» или Facebook, настроив рекламную кампанию по схожим профилям, рассуждает Оганесян. Так как база недорогая и фактически отдавалась даром, с минимальными потерями ее могла бы использовать любая другая алкогольная розница для звонков и рассылок.