В Сети выставили на продажу базу заказов белорусского сервиса доставки еды

На теневом форуме пытаются продать дамп (файл) базы данных заказов белорусского сервиса доставки еды just-eat.by. В нем содержится более 700 тыс. заказов и персональные данные заказчиков. На это обратил внимание российский телеграм-канал «Утечки информации».

По сведениям канала, который уже не первый раз сигнализирует об утечке персональных данных белорусов, в ходе анализа установлено, что дамп выставлен на продажу 26 августа и в нем содержится 700 тыс. 1 заказ с персональными данными клиентов, а именно:

• имя заказчика;

• адрес электронной почты (115 639 уникальных адресов);

• телефон (239 201 уникальный номер);

• домашний адрес (включая код домофона, подъезд и этаж);

• IP-адрес;

• состав и стоимость заказа;

• комментарий к заказу.

В данном случае речь может идти о том, что злоумышленник похитил персональные данные более 200 тыс. белорусов. К месту заметить, сервис just-eat.by сам ничего не готовит и доставкой еды не занимается. Он представляет собой сайт-агрегатор, выступающий, по сути, посредником между заказчиком и реальными заведениями. Получить комментарий от представителей этого сервиса не удалось. Журналист «ЭГ» дважды направлял письменные запросы (через обратную связь сервиса и по электронной почте) с просьбой подтвердить или опровергнуть утечку данных, но никакой реакции не последовало.

Ранее, напомним, в аналогичной ситуации оказался белорусский ретейлер «Соседи». Тот же телеграм-канал 7 июля с.г. сообщил о выложенной в открытый доступ базе данных клиентов этой сети магазинов. Дамп содержал персональные данные (логин, e-mail, телефон, хешированный пароль) более 634 тыс. зарегистрированных пользователей. Автор этих строк на свой письменный запрос оперативно получил от представителя ретейлера отклик, что «хостер выясняет актуальность данного инцидента». Позже на сайте «Соседей» появилось официальное сообщение такого содержания:

«В результате недобросовестных действий третьих лиц в интернете были опубликованы персональные данные части участников программы лояльности Купилка. Утечка не коснулась данных о покупках клиентов. Эти данные в безопасности. По итогам внутренней проверки мы ужесточили подход к хранению чувствительной информации и обеспечению более высокой степени ее защиты, сократили число сотрудников, которые имеют доступ к информации о покупателях, внедрили авторизацию на сайте с помощью одноразового СМС-пароля. Кроме того, мы готовим материалы для обращения в правоохранительные органы с заявлением о несанкционированном доступе к данным покупателей и прилагаем усилия для того, чтобы предотвратить распространение опубликованной информации».

Произошедшее не осталось без внимания Национального центра защиты персональных данных, который проинформировал об удалении похищенных данных «с интернет-ресурса, на котором они были размещены». Также Центр заявил о проведении внеплановой проверки торговой сети «Соседи», по результатам которой «будет дана оценка соответствия (несоответствия) требованиям законодательства о персональных данных принятых мер по обеспечению защиты персональных данных, а также их достаточности для защиты персональных данных».

Утечки данных регулярны

За период 2019-2020 гг. в исследовании Экспертно-аналитического центра группы компаний InfoWatch зафиксировано 22 случая утечки данных из белорусских компаний и государственных органов (речь о данных, опубликованных на русском языке). Свой интерес к теме утечки данных в Беларуси российские аналитики тесными экономическими и культурными отношениями двух государств.

В составе зарегистрированных утечек имеется 13 кейсов, в ходе которых были скомпрометированы более 22,4 тыс. записей персональных данных и платежной информации. Более 40% утечек произошли в результате действий внешних нарушителей. При этом 75% утечек внутреннего характера стали следствием умышленных действий. В результате эксперты пришли к выводу, что в 2020 году, по сравнению с 2019-м, число утечек информации в Беларуси увеличилось на 44%

Авторы исследования отмечают, что и в России, и в Беларуси одна из основных проблем в сфере информационной безопасности связана с защитой персональных данных и таких сведений, как коммерческая тайна, прежде всего от внутренних нарушителей. Структура даже относительно небольшого числа выявленных инцидентов – 22 случая за 24 месяца – свидетельствует о назревшей необходимости усилить защиту информации как в госсекторе, так и в ряде отраслей экономики Беларуси.

Зачем воруют персональные данные?

Информацию называют самым дорогим товаром в мире. Персональные данные, которые утекли в сеть, из этой же категории. Для одних это товар, который выставляется на продажу на теневых форумах, как в вышеописанных случаях. Для других – исходные данные для последующей не всегда легальной деятельности.

Наверное, каждый из нас получал предложение по телефону принять участие в какой-либо акции сетевых маркетологов, о которых никогда не слышал. А откуда у них ваш номер телефона? Не исключено, приобрели на теневом форуме или у недобросовестного сотрудника компании, имевшего доступ к базе данных. Это еще не самый тяжелый случай. Хуже, когда личная информация становится достоянием мошенников, которые хотят использовать ее в своих корыстных и, как правило, противозаконных целях. Например, прислать своей жертве фишинговое письмо и в итоге получить доступ к банковскому счету. Также с помощью персональных данных пользователя можно получить доступ к его аккаунтам и устройствам и пользоваться ими в своих целях. Примеров, увы, более чем достаточно.

Как решить проблему?

С этим вопросом журналист «ЭГ» обратился к одному из руководителей ООО «Мультитек Инжиниринг» Михаилу КРАСНИЦКОМУ. Эта компания специализируется на информационной безопасности. Михаил Давидович был лаконичен:

– Утечки, на которые вы ссылаетесь, как, впрочем, и любые другие, вызваны игнорированием руководителями организаций, допустивших эти утечки, действующего законодательства по защите информации, включая персональные данные. Рецепт против таких утечек один – нужно четко выполнять требования приказа Оперативно-аналитического центра при Президенте РБ от 20.02.2020 № 66.