СДЭК, «Билайна» и Wildberries засветили клиентов

В сети обновилась карта с утекшими данными пользователей сервиса «Яндекс.Еда». По мнению экспертов, благодаря этому мошенники смогут более искусно обманывать россиян при помощи социальной инженерии. Компании, которых обвинили в причастности к утечке данных, уже опровергли эту информацию. Подробности о случившемся и что теперь делать жертвам слива данных, выясняли «Известия».

Новый слив данных

В карту с утекшими данными пользователей сервиса «Яндекс.Еда» добавили новую информацию из СДЭКа, Avito, Wildberries, «Билайна», ВТБ, Pikabu, ГИБДД и других источников. Об этом сообщает портал Forbes.

Слив архива сервиса «Яндекс.Еда» с данными заказов россиян, а также жителей Белоруссии и Казахстана появился в сети в начале весны. 23 марта неизвестные оформили данные в интерактивную карту, где любой желающий мог узнать личную информацию о клиентах: имя, адрес, номер телефона и сумму, потраченную за полгода. Банковских и регистрационных данных пользователей, то есть логинов и паролей, утечка не коснулась.

В тот же день Роскомнадзор выписал «Яндекс.Еде» административный протокол и заблокировал сайт со слитыми данными, однако в мае он вновь стал доступен для пользователей. В обновленной версии содержится карта с расширенными данными клиентов различных сервисов.

Сами хакеры назвали целью создания карты дать людям возможность проверить, есть ли в утекших базах их данные.

«Всё больше информации попадает в руки преступников, которые могут воспользоваться ею с целью запугивания или обмана. Чтобы понимать риски, вы можете проверить, какая персональная информация о вас уже есть у мошенников и уголовников», — отмечается на сайте проекта.

Пользователи, нашедшие себя в базе, могут попросить удалить свои данные, позвонив в службу поддержки. Авторы портала обещают сделать это «с последующим обновлением сайта».

В апреле суд оштрафовал компанию «Яндекс. Еда» на 60 тыс. рублей за нарушение закона о персональных данных. После инцидента депутаты Госдумы разработали поправки в законодательство, которыми предлагается ужесточить контроль за данными россиян: обязать организации подключаться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и информировать органы власти о любых утечках.

Реакция сервисов

Сами сервисы, указанные в материалах СМИ, опровергли слив данных своих пользователей. Avito, Wildberries, СДЭК и «Яндекс.Еда» заявили, что «никаких утечек не было, и данные их клиентов в безопасности».

— Мы можем предположить, что для этой «карты» использовались данные, выложенные в сеть в конце февраля, когда СДЭК и другие российские компании оказались заложниками ситуации и, соответственно, объектами хакерских атак. В том фрагменте, который был выложен в сеть, не было номеров документов и иной важной персональной, в том числе платежной информации. С того момента мы приняли дополнительные меры безопасности и усилили защиту во избежание новых инцидентов, — сообщили «Известиям» в СДЭКе.

В пресс-службе ВТБ заявили, что информация, о которой идет речь, не относится к персональным данным клиентов: на сайте указаны лишь номера телефонов, которые пользователи оставляли при переводах через Систему быстрых платежей (СБП). Эти данные не позволяют предпринимать какие-либо действия со счетами клиентов, потому безопасности их денег ничто не угрожает.

— Утечек персональной информации, включая паспортные данные и номера карт, мы не фиксируем, — сказали сотрудники пресс-службы «Известиям».

Также в банке добавили, что информационная безопасность клиентов является приоритетом и обеспечивается как от внешних вызовов, так и от внутренних угроз.

— Мы применяем разграничения прав доступа к информации, осуществляем жесткий контроль действий пользователей при работе с конфиденциальными данными. В ВТБ создан специальный закрытый периметр, обеспечивающий максимальную степень защиты банковских систем и внутренней информации, — заключили представители банка.

С опровержением информации о попадании в открытый доступ личных данных из баз ГИБДД, опубликованной в СМИ, выступили и в МВД России.

«Тестирование ведомственных информационных ресурсов на предмет их возможных уязвимостей проводится специалистами технических служб на постоянной основе. В данном случае опубликованная информация по результатам проведенной проверки не находит своего подтверждения», — отметили в «МВД Медиа».

Вместе с тем слив данных своих клиентов 18 мая подтвердила сеть лабораторий «Гемотест», чьих данных нет на карте. В письме, составленном руководством компании, говорится о выявлении факта хакерской атаки и «несанкционированного доступа к информационному ресурсу» 22 апреля. ООО направило заявление в правоохранительные органы, чтобы привлечь виновных к ответственности.

3 мая сообщалось, что в сеть утекли данные 30 млн клиентов «Гемотеста».

Последствия слива

По мнению экспертов, опрошенных «Известиями», утечки личной информации всегда влекут за собой всплеск мошеннической активности. Теперь данные, разрозненно слитые в сеть, могут быть связаны в единый профиль пользователя, которого станет еще проще обмануть.

— Если раньше ваш телефон и паспортные данные могли появиться в разных источниках, но не иметь связи между собой, то теперь злоумышленникам будет еще проще проводить целевые атаки и заниматься социальной инженерией. Обзвоны из банков и других мест теперь будут выглядеть еще более убедительно — ведь у злоумышленников есть бэкграунд на каждого пользователя, а спам-письма станут более персонализированными, — отмечает руководитель отдела исследования киберпреступности Threat Intelligence Group-IB Олег Деров.

По этой причине эксперт призывает россиян быть еще внимательнее к письмам, которые они открывают, и к звонкам с неизвестных номеров. В идеале стоит попытаться произвести ревизию всех своих аккаунтов или настроить параметры безопасности.

— По возможности смените почту, аккаунты, отвяжите критически важные аккаунты (госуслуги, платежные системы) от скомпрометированной почты и т.д. В случае мошеннических действий, шантажа и вмешательств со стороны злоумышленников отправляйтесь в полицию, — советует руководитель перспективных проектов в области информационной безопасности Фонда «Сколково» Оксана Ульянинкова.

Можно ли удалить слитые в сеть данные

Как утверждают собеседники «Известий», полностью удалить слитые данные из сети нельзя. Однако любая информация имеет свойство со временем стираться из «памяти» интернета: если перестать использовать электронный почтовый адрес, то со временем он всё реже будет всплывать у злоумышленников в списках для рассылок.

— Пользователь не может повлиять на ситуацию, когда данные попадают в сеть не по его вине — то есть взлом происходит на стороне сервиса. Единственное, что можно порекомендовать — стараться как можно реже регистрироваться на ресурсах, которые вряд ли сильно беспокоятся о внутренней безопасности, или использовать ненастоящие данные (специальный электронный адрес, вымышленные имена). Но, как мы видим, утечки происходят и у крупных сервисов, в безопасности которых мы мало сомневались, — говорит Олег Деров.

Самое главное для пользователя, отмечает он, — не допустить утечки личных данных по собственной вине. Для этого стоит использовать только сложный и длинный пароль, всегда включать двухфакторную авторизацию, не открывать сомнительные письма и вложения.

Юрист по экспертным заключениям Европейской юридической службы Надежда Федорчук рекомендует сократить количество личных данных в других сервисах, поскольку в будущем могут быть взломаны и они.

— Например, если в сервисе доставки предполагается предоставление второстепенной информации о пользователе (номер квартиры), в целях безопасности лучше встретить курьера в подъезде или на этаже. Можно не указывать номер квартиры, — поясняет она.

Также эксперт советует проверить все сервисы, где была указаны «слитая» почта или номер телефона. Для усиления безопасности необходимо создать дополнительную защиту, например, сменить пароль на более сложный.

Что делать, если ваши данные слили в сеть

Пандемия COVID-19 приучила людей к онлайн-покупкам: теперь еду, бытовую химию, одежду и игрушки заказывают через приложения, вводя там персональные данные и информацию о банковских картах. Всё это повышает риск утечек. По словам адвоката, управляющего партнера компании Legal World, посла мира UPF ООН, советника эксперта антикоррупционного комитета при президенте РФ Ирины Калининой, пользователям бывает очень сложно найти компанию, допустившую слив их персональных данных, и доказать ее причастность к произошедшему.

— Кроме того, нужно доказать, какие убытки вам причинены и какова причинно-следственная связь между ними и сливом ваших данных, — отмечает юрист.

Но в случае, если пользователь сумеет собрать все доказательства нанесенного ему ущерба, он может обратиться в компанию, допустившую утечку, с досудебной претензий и потребовать компенсацию убытков и морального ущерба. Такое возможно, например, в случае, если после слива человеку стали без конца звонить риэлторы или банки — и теперь он нервничает и не может сконцентрироваться на работе.

— Оцените свой моральный ущерб, опишите это всё в досудебной претензии и укажите сумму компенсации, — говорит собеседница «Известий». — Направьте претензию в компанию, которая слила данные, и если в течение 30 дней вы не получите ответа, тогда обращайтесь в суд.

По словам юриста Венеры Шайдуллиной, суд может взыскать убытки, если будет доказано наступление вреда, противоправность поведения компании, по чьей вине произошла утечка, а также причинно-следственная связь между ними. Впрочем, как отмечает Надежда Федорчук, сама по себе утечка данных в сервисах не является доказательством их вины — ведь они также пострадали от хищений баз данных.

— Если же утечка вызвана нарушением работы сервисов обработки персональных данных, в связи с чем будет установлена вина компаний (ст. 2.1 КоАП РФ), то в судебном порядке возможно истребовать компенсацию морального вреда, — говорит Федорчук.

Ситуация усложняется, если хакеры публикуют персональные данные, украденные сразу у нескольких сервисов. В этом случае истцам будет затруднительно аргументировать претензии конкретно к тому или иному сервису.