Фото: Олег Харсеев / Коммерсант
На днях стало известно о новой крупной утечке персональных данных россиян — на этот раз в сеть выложили около 9 млн записей клиентов «Билайна». Речь идет о клиентах компании, которые подключили домашний интернет. Эксперты, которые проверили актуальность выложенных данных, заявляют о том, что большое количество учеток до сих пор действительны.
Специалисты по кибербезопасности заявляют, что данных, попавших в сеть, вполне достаточно для совершения различных атак, включая самый опасный метод — социальную инженерию. Опасна она потому, что защититься от злоумышленников крайне сложно, мошенники ежегодно обманывают таким образом множество людей.
База содержит данные пользователей со всей России, она включает ФИО, адрес, мобильный и домашний телефоны. При этом выявлены как действующие, так и закрытые договоры. Как оказалось, в базу включены данные по состоянию на ноябрь 2016 года.
Представители «Билайна» уже провели расследование этого случая, заявив, что количество ШПД-абонентов у «Билайна» не превышает 3 млн человек. «Данная информация — небольшая часть базы 2017 года. Утечку данных мы зафиксировали два года назад,— пояснили там.— Все виновные были выявлены и понесли наказание, на текущий момент большая часть информации — это уже устаревшие данные», — сообщили в компании. Сейчас расследование этого случая продолжается.
То, что многие пользователи уже не являются пользователями компании, никак не влияет на риски для тех людей, чьи данные скомпрометированы. Сведения из этой базы могут быть объединены с информацией из других баз, после чего мошенникам будет гораздо проще вводить потенциальных жертв в заблуждение. Например, злоумышленники могут попытаться узнать данные банковских карт у пострадавших.
C другой стороны, поскольку в базе нет номеров карт, договоров и т.п., она не является очень уж желанной для мошенников высокого уровня. «Подобные базы, не имеющие банковской информации — номеров карт, договоров, историй операций и т. д., активно продаются. Те, кто профессионально занимается прозвоном банковских клиентов, давно уже получили к ним доступ»,— говорит начальник отдела по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов. Но для начинающих «социальных инженеров» утекшие в интернет данные могут быть полезны.
Что касается источника самой утечки, то игроки рынка считают необходимым искать и привлекать к ответственности тех, кто занимается «сливом». «На мой взгляд, не выход наказывать тех, у кого утекли сведения, европейский вариант многомиллионных штрафов за утечку данных также не сработает,— указывает господин Лукацкий.— Другое дело, что в настоящее время ни УПК, ни следственные органы, ни суды не готовы к рассмотрению подобных дел», — заявил бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий.
Недавно глава Сбербанка Герман Греф рассказал о том, что как служба безопасности организации смогла найти виновника утечки по кредитным картам своих клиентов. Данные об утечке была размещена на специализированном форуме, который заблокирован РКН. Продавец заявлял, что в базе содержалась информация о данных нескольких десятков миллионов кредиток. Продавец давал возможность ознакомиться с базой, высылая произвольные строки базы, около 200 строк для каждого потенциального покупателя.
Служба безопасности быстро смогла понять, что внешний взлом невозможен, поскольку база изолирована от внешней сети. Ну а в результате внутреннего расследования служба безопасности банка совместно с правоохранительными органами смогла найти виновника 1991 года рождения.
После того, как стало известно о продаже данных, представитель службы безопасности банка связался с подозреваемым. Служба безопасности смогла определить, что источник утечки — внутренний, так что банк стал проверять своих сотрудников. С течением времени виновник был обнаружен и теперь ему грозит уголовная ответственность. Этот человек пытался украсть клиентскую информацию по кредитным картам клиентов в корыстных целях.
Комментарии (26)
linux_id
07.10.2019 01:33Хоть одна из этих утечек привела к сколько нибудь значимым последствиям? Насколько я знаю нет.
Pyhesty
07.10.2019 01:43+2может для вас лично нет, а для миллионов людей, которым звонят и представляются банком, налоговой, пенсионным фондом, называя вас по имени и произнося точный адрес и даже ваш паспорт, втираясь в доверие и с помощью небрльшой доли нлп убеждают вас перевести деньги или сообщить номер карты — да, последствия значимы, лично знаю десяток пострадвших, обычно женщины.
ps: а еще тут недавно были отличные статьи про подделку электронных подписей, данные "клиента" уже полдела.Viacheslav01
07.10.2019 03:37Я думаю вопрос был о последствиях для контор которые
слилип...упустили данные пользователей
KonkovVladimir
07.10.2019 05:47Если вы потеряли ключи от квартиры, не обязательно злоумышленник в тот же день воспользуется ими, но смена замка уменьшает вероятность наступления значимых последствий.
Если ваши персональные данные утекли из «Билайна», не обязательно злоумышленник в тот же день воспользуется ими, но смена «Билайна» уменьшает вероятность наступления значимых последствий (номер телефона будет не валидный).
Все виновные были выявлены и понесли наказание, на текущий момент большая часть информации — это уже устаревшие данные», — сообщили в компании.
ОК! Как оператор предлагает обезопасить клиентов чьи данные не устаревшие, какие оргмероприятия проводятся?roscomtheend
07.10.2019 10:54Как оператор предлагает обезопасить клиентов чьи данные не устаревшие
Свалить к другому, данные которого… наверняка тоже утекли.
KonkovVladimir
07.10.2019 11:18личный телефон губернатора Комаровой атаковали спамеры
Номер мобильного телефона губернатора Югры Натальи Комаровой узнали злоумышленники, после чего в адрес главы региона началась спам-атака. Об этом «URA.RU» рассказал осведомленный источник из числа силовиков.
Вариант свалить реально помогает в такой ситуации.
dimm_ddr
07.10.2019 13:58Да, но утекли то они до того как вы к нему свалите. А значит вы на время до следующей утечки уже у нового оператора получите хотя бы номер спамерам неизвестный.
FForth
07.10.2019 01:43-1Резюмируя: т.е. торговлей утекшими данными будeт торговать не только агрегатор,
а «Роскомпозору» что то из этих денег достанется?
P.S, Пока будут ответственность перекладывать на «стрелочников», ничего не изменится.
pronvit
07.10.2019 02:57+1на текущий момент большая часть информации — это уже устаревшие данные
Что, люди сменили имя, адрес и домашний телефон?
tvr
07.10.2019 10:06И пол.
UberSchlag
07.10.2019 12:51Ага, а с другой стороны читаешь истории, как клон симки хоть по мыльному ксероксу «доверенности» могут выдать. Неровный сервис, однако!
Oplkill
07.10.2019 22:13хз, два года назад, тоже обновлял паспортные данные, зашёл в случайный, маленький салон и быстренько мне сменили паспортные данные буквально за 5 минут
Aquahawk
07.10.2019 08:31Интересно, а когда до наших законодателей дойдёт что в краже виноват не тот кто украл, а организация которая обеспечивает неконтролируемый доступ в свои базы произвольным ОООшкам на рынке.
erty
07.10.2019 09:11Так оно уже, у РКН вполне хватает полномочий чтобы наказывать за такие вещи. Но начинаются же вопли про то, что «бизнесь кашмарят» и «работать невозможно!».
Есть замечательный ГОСТ 57580.1-2017, но к сожалению, он распространяется только на банки (и всякие финансовые организации). Его бы на всех натянуть, но тогда сразу всё встанет (особенно в тяп-ляп стартапчиках), потому что никто о данных клиентов думать не привык.
UberSchlag
07.10.2019 09:25Так видите, даже экперты-консультанты считают, что, кхм "<...>не выход наказывать тех, у кого утекли сведения<...>".
Т.е. зачем уважаемых людей отвлекать от стрижки купюр? Им все одно не интересно беспокоиться о клиентской инфе и приватности.
NeoCode
07.10.2019 09:24Тут нужны одновременно и многомиллионные штрафы для компаний, и многолетние сроки для непосредственных виновных. Вот тогда будет толк. А если по отдельности — то нет, в случае «только штрафы для компаний» у сотрудников останется соблазн сливать данные, «только сроки для исполнителей» — у компаний появится соблази назначать «стрелочников».
Neuromantix
07.10.2019 09:45Штрафы для компаний тоже не помогут — фэйсбук вон штрафовали, но не помогло, так же не очевидно, что компания реально заплатит штраф, а не занесет кому надо взяток, и потом выпустит пресс-релиз. Пусть платят компенсации всем пострадавшим (всем попавшим в утекшую базу) или по-иному как-то компенсируют, потому что получается, что пострадавшие даже в случае штрафа для компании довольствуются «извинениями за неудобство» и вынужденны разгребать последствия самостоятельно.
dimm_ddr
07.10.2019 11:15Штраф для ФБ не помог только из-за того, сколько у этого ФБ денег. Когда сумма становится для них заметной они начинают что-то делать.
Alonerover
07.10.2019 10:12+1Нереально. Крупных игроков рынка будет защищать само государство, особенно если организации принадлежат «особо приближённым» олигархам, а виновных будут просто назначать.
iig
07.10.2019 12:16многолетние сроки для непосредственных виновных
УК РФ Статья 272 — до 4 лет — это при наличии всех возможных и невозможных отягчающих обстоятельств. А стрелочника можно и просто уволить.
Alexey2005
07.10.2019 12:09Вот интересно, почему подобные «утечки» всегда выкладываются не в SQLite или ином вменяемом формате, а непременно CronosPlus/CronosPRO? А в данном случае база вообще открывается только 5-й версией, которую ломанную хрен найдёшь, а пробная версия не открывает базы длиннее 5000 записей… Ну и винда нужна, потому что версии под Linux у этой СУБД нет.
dimm_ddr
07.10.2019 14:00Потому что продавец покупателя найдет итак, ему нет необходимости делать больше.
YuriM1983
07.10.2019 17:21Себя и соседей нашёл. Информация максимум начала 2016. Слава богу, хоть паспортных данных нет. Только то, что отображается в личном кабинете.
member0
07.10.2019 18:30Шутка юмора в том, что чем больше законодатели беспокоятся о «защиты персональных данных», тем больше этих персональных данных утекает =)
Да, сливы были и раньше, сливают все и всегда. Но этот месяц — прям-таки особенно «злачный». Осталось загибать пальцы и считать то, что еще не утекло.FForth
07.10.2019 20:33Сливы «неизбежны», но наши законодатели под лозунгoм «цифровой экономики», ещё больше в итоге, своими действиями, облегчают этот процесс. :)
P.S. Сколько и где подписей приходится ставить гражданину в бланках на согласие на обработку персональных данных?
Не перебор ли это?(при формальном соблюдении закона, в «частных» организациях)
Скоро в «свой туалет» не сходишь без oформления цифровой подписи на обработку персональных данных. :)
Andrey_Dolg
Ну фиг с ними с минусами, тут уже иначе не скажешь.