СДЭК, «Билайна» и Wildberries засветили клиентов

Источник
Хакеры заявили о похищении баз популярных российских сервисов.
В сети обновилась карта с утекшими данными пользователей сервиса «Яндекс.Еда». По мнению экспертов, благодаря этому мошенники смогут более искусно обманывать россиян при помощи социальной инженерии. Компании, которых обвинили в причастности к утечке данных, уже опровергли эту информацию. Подробности о случившемся и что теперь делать жертвам слива данных, выясняли «Известия».

Новый слив данных

В карту с утекшими данными пользователей сервиса «Яндекс.Еда» добавили новую информацию из СДЭКа, Avito, Wildberries, «Билайна», ВТБ, Pikabu, ГИБДД и других источников. Об этом сообщает портал Forbes.

Слив архива сервиса «Яндекс.Еда» с данными заказов россиян, а также жителей Белоруссии и Казахстана появился в сети в начале весны. 23 марта неизвестные оформили данные в интерактивную карту, где любой желающий мог узнать личную информацию о клиентах: имя, адрес, номер телефона и сумму, потраченную за полгода. Банковских и регистрационных данных пользователей, то есть логинов и паролей, утечка не коснулась.

В тот же день Роскомнадзор выписал «Яндекс.Еде» административный протокол и заблокировал сайт со слитыми данными, однако в мае он вновь стал доступен для пользователей. В обновленной версии содержится карта с расширенными данными клиентов различных сервисов.

Сами хакеры назвали целью создания карты дать людям возможность проверить, есть ли в утекших базах их данные.

«Все больше информации попадает в руки преступников, которые могут воспользоваться ею с целью запугивания или обмана. Чтобы понимать риски, вы можете проверить, какая персональная информация о вас уже есть у мошенников и уголовников», — отмечается на сайте проекта.

Пользователи, нашедшие себя в базе, могут попросить удалить свои данные, позвонив в службу поддержки. Авторы портала обещают сделать это «с последующим обновлением сайта».

В апреле суд оштрафовал компанию «Яндекс. Еда» на 60 тыс. рублей за нарушение закона о персональных данных. После инцидента депутаты Госдумы разработали поправки в законодательство, которыми предлагается ужесточить контроль за данными россиян: обязать организации подключаться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и информировать органы власти о любых утечках.

Реакция сервисов

Сами сервисы, указанные в материалах СМИ, опровергли слив данных своих пользователей. Avito, Wildberries, СДЭК и «Яндекс.Еда» заявили, что «никаких утечек не было, и данные их клиентов в безопасности».

— Мы можем предположить, что для этой «карты» использовались данные, выложенные в сеть в конце февраля, когда СДЭК и другие российские компании оказались заложниками ситуации и, соответственно, объектами хакерских атак. В том фрагменте, который был выложен в сеть, не было номеров документов и иной важной персональной, в том числе платежной информации. С того момента мы приняли дополнительные меры безопасности и усилили защиту во избежание новых инцидентов, — сообщили «Известиям» в СДЭКе.

В пресс-службе ВТБ заявили, что информация, о которой идет речь, не относится к персональным данным клиентов: на сайте указаны лишь номера телефонов, которые пользователи оставляли при переводах через Систему быстрых платежей (СБП). Эти данные не позволяют предпринимать какие-либо действия со счетами клиентов, потому безопасности их денег ничто не угрожает.

— Утечек персональной информации, включая паспортные данные и номера карт, мы не фиксируем, — сказали сотрудники пресс-службы «Известиям».

Также в банке добавили, что информационная безопасность клиентов является приоритетом и обеспечивается как от внешних вызовов, так и от внутренних угроз.

— Мы применяем разграничения прав доступа к информации, осуществляем жесткий контроль действий пользователей при работе с конфиденциальными данными. В ВТБ создан специальный закрытый периметр, обеспечивающий максимальную степень защиты банковских систем и внутренней информации, — заключили представители банка.

С опровержением информации о попадании в открытый доступ личных данных из баз ГИБДД, опубликованной в СМИ, выступили и в МВД России.

«Тестирование ведомственных информационных ресурсов на предмет их возможных уязвимостей проводится специалистами технических служб на постоянной основе. В данном случае опубликованная информация по результатам проведенной проверки не находит своего подтверждения», — отметили в «МВД Медиа».

Вместе с тем слив данных своих клиентов 18 мая подтвердила сеть лабораторий «Гемотест», чьих данных нет на карте. В письме, составленном руководством компании, говорится о выявлении факта хакерской атаки и «несанкционированного доступа к информационному ресурсу» 22 апреля. ООО направило заявление в правоохранительные органы, чтобы привлечь виновных к ответственности.

3 мая сообщалось, что в сеть утекли данные 30 млн клиентов «Гемотеста».

Последствия слива

По мнению экспертов, опрошенных «Известиями», утечки личной информации всегда влекут за собой всплеск мошеннической активности. Теперь данные, разрозненно слитые в сеть, могут быть связаны в единый профиль пользователя, которого станет еще проще обмануть.

— Если раньше ваш телефон и паспортные данные могли появиться в разных источниках, но не иметь связи между собой, то теперь злоумышленникам будет еще проще проводить целевые атаки и заниматься социальной инженерией. Обзвоны из банков и других мест теперь будут выглядеть еще более убедительно — ведь у злоумышленников есть бэкграунд на каждого пользователя, а спам-письма станут более персонализированными, — отмечает руководитель отдела исследования киберпреступности Threat Intelligence Group-IB Олег Деров.

По этой причине эксперт призывает россиян быть еще внимательнее к письмам, которые они открывают, и к звонкам с неизвестных номеров. В идеале стоит попытаться произвести ревизию всех своих аккаунтов или настроить параметры безопасности.

— По возможности смените почту, аккаунты, отвяжите критически важные аккаунты (госуслуги, платежные системы) от скомпрометированной почты и т.д. В случае мошеннических действий, шантажа и вмешательств со стороны злоумышленников отправляйтесь в полицию, — советует руководитель перспективных проектов в области информационной безопасности Фонда «Сколково» Оксана Ульянинкова.

Можно ли удалить слитые в сеть данные

Как утверждают собеседники «Известий», полностью удалить слитые данные из сети нельзя. Однако любая информация имеет свойство со временем стираться из «памяти» интернета: если перестать использовать электронный почтовый адрес, то со временем он все реже будет всплывать у злоумышленников в списках для рассылок.

— Пользователь не может повлиять на ситуацию, когда данные попадают в сеть не по его вине — то есть взлом происходит на стороне сервиса. Единственное, что можно порекомендовать — стараться как можно реже регистрироваться на ресурсах, которые вряд ли сильно беспокоятся о внутренней безопасности, или использовать ненастоящие данные (специальный электронный адрес, вымышленные имена). Но, как мы видим, утечки происходят и у крупных сервисов, в безопасности которых мы мало сомневались, — говорит Олег Деров.

Самое главное для пользователя, отмечает он, — не допустить утечки личных данных по собственной вине. Для этого стоит использовать только сложный и длинный пароль, всегда включать двухфакторную авторизацию, не открывать сомнительные письма и вложения.

Юрист по экспертным заключениям Европейской юридической службы Надежда Федорчук рекомендует сократить количество личных данных в других сервисах, поскольку в будущем могут быть взломаны и они.

— Например, если в сервисе доставки предполагается предоставление второстепенной информации о пользователе (номер квартиры), в целях безопасности лучше встретить курьера в подъезде или на этаже. Можно не указывать номер квартиры, — поясняет она.

Также эксперт советует проверить все сервисы, где была указаны «слитая» почта или номер телефона. Для усиления безопасности необходимо создать дополнительную защиту, например, сменить пароль на более сложный.

Что делать, если ваши данные слили в сеть

Пандемия COVID-19 приучила людей к онлайн-покупкам: теперь еду, бытовую химию, одежду и игрушки заказывают через приложения, вводя там персональные данные и информацию о банковских картах. Все это повышает риск утечек. По словам адвоката, управляющего партнера компании Legal World, посла мира UPF ООН, советника эксперта антикоррупционного комитета при президенте РФ Ирины Калининой, пользователям бывает очень сложно найти компанию, допустившую слив их персональных данных, и доказать ее причастность к произошедшему.

— Кроме того, нужно доказать, какие убытки вам причинены и какова причинно-следственная связь между ними и сливом ваших данных, — отмечает юрист.

Но в случае, если пользователь сумеет собрать все доказательства нанесенного ему ущерба, он может обратиться в компанию, допустившую утечку, с досудебной претензий и потребовать компенсацию убытков и морального ущерба. Такое возможно, например, в случае, если после слива человеку стали без конца звонить риэлторы или банки — и теперь он нервничает и не может сконцентрироваться на работе.

— Оцените свой моральный ущерб, опишите это все в досудебной претензии и укажите сумму компенсации, — говорит собеседница «Известий». — Направьте претензию в компанию, которая слила данные, и если в течение 30 дней вы не получите ответа, тогда обращайтесь в суд.

По словам юриста Венеры Шайдуллиной, суд может взыскать убытки, если будет доказано наступление вреда, противоправность поведения компании, по чьей вине произошла утечка, а также причинно-следственная связь между ними. Впрочем, как отмечает Надежда Федорчук, сама по себе утечка данных в сервисах не является доказательством их вины — ведь они также пострадали от хищений баз данных.

— Если же утечка вызвана нарушением работы сервисов обработки персональных данных, в связи с чем будет установлена вина компаний (ст. 2.1 КоАП РФ), то в судебном порядке возможно истребовать компенсацию морального вреда, — говорит Федорчук.

Ситуация усложняется, если хакеры публикуют персональные данные, украденные сразу у нескольких сервисов. В этом случае истцам будет затруднительно аргументировать претензии конкретно к тому или иному сервису.
Персоны Компании
Больше банков в Потанина не лезет
«Интеррос» после покупки Росбанка и 35% в Тинькофф Банке больше не планирует новых приобретений в банковской сфере, заявил основной владелец компании Владимир Потанин. 
Театр кибервоенных действий
Как виртуальный фронт повлиял на российскую власть, силовиков и преступность.
Cобянин пересаживается на "Москвич"
Завод Renault поступит на баланс столицы, производство «москвичей» при партнерстве КамАЗа будет возобновлено. 
Александр Удодов передумал делать ставки
Всего через несколько недель после покупки букмекерской конторы «Фонбет» и ее конкурента «Парибет» бывший зять Михаила Мишустина Александр Удодов перепродал обе компании.
Куда катится поселок Молодежный? Или тайная игра мэра Степанова
О точечной застройке под прикрытием чеченской братвы прямо в центре Молодежного мы уже не раз рассказывали. Застройку вели лучшие друзья Степанова. Дело дошло даже до Генеральной прокуратуры
Глава ВТБ Андрей Костин выводит деньги через Донстрой и готовит банкротство девелопера
При чем здесь Ротенберги, Игорь Шувалов, Дмитрий Рогозин и другие предполагаемые бенефициары девелопера.
Медийному топ-менеджеру Александру Лаврову дома не сиделось
За нарушение условий домашнего ареста медиаменеджера отправили в тюрьму.
Экс-гендиректор "Контент Юнион" домашний арест сменил на СИЗО за общение с соучастниками и свидетелями по делу о захвате медиахолдинга
В Москве заключен под стражу Александр Лавров, экс-гендиректор медиахолдинга «Контент Юнион С. А.», объединяющего пакет популярных телеканалов — «Охота и рыбалка», «Русский иллюзион»
Тиньков продал банк на всякий пожарный
Как Олег Тинькофф продавал Тинькофф банк и что с ним будет дальше.
Миллиардеры Судариков и Свиблов рвутся в цари золотой горы
Цены на золото с 2020 года бьют исторические рекорды. Драгоценный металл привлекает все новых инвесторов, среди которых богатейшие люди России. 
Rutube и атака клонов
Спустя два дня после взлома Rutube восстановил работу. Компания планирует обратиться в правоохранительные органы для поиска злоумышленников, организовавших атаку. Ответственность за взлом взяла на себя хакерская группировка Anonymous, которая заявила, что фактически уничтожила Rutube.
Шутки про YouTube в Госдуме кончились
Депутаты оценивают информационный ущерб от блокировки YouTube-каналов.
Бизнес братьев Березуцких подпитают кофе
Совладельцы группы «Амулекс» (ООО «Национальная юридическая служба»), бывшие футболисты сборной России Алексей и Василий Березуцкие привлекли инвестора Сергея Дашкова, владельца кофеен «Даблби».
«Сбер» без SWIFT, зато ВТБ - с Крымом
ЕС отключит «Сбер» от SWIFT. Евросоюз уточнил детали шестого пакета санкций против России.
Мартиросян и Мавлянов сковырнули «Яшму» на пару
Элитный объект в Сочи попал в банкротство экс-совладельца.
Марктеплейсы, съемка с дронов и шеринг самокатов - ТОП молодых российских бизнесменов
Рейтинг перспективных предпринимателей моложе 30 лет.
Понасенкова приплели к Невзорову не глядя
Евгений Понасенков считает, что никаких фейков про армию не распространял. Объявленный одновременно с ним иноагентом Александр невзоров разыскивается полицией.
Братьям Чигиринским удается жить на два дома
Минфин США 20 апреля обнародовал очередной санкционный список, в который вошли еще 29 физических и 40 юрлиц. Но девелоперов Чигиринских, ведущих бизнес в РФ и США, там нет.