Пользователи оператора экспресс-доставки документов и грузов СДЭК ещё не успели в полной мере оценить последствия февральской утечки их данных в Сеть, а в интернете уже якобы появились «свежие» сведения о клиентах компании, вероятно, затрагивающие интересы порядка 25 млн аккаунтов и 30 тыс. контрагентов.
Источник изображения: unsplash.com
О новой утечке данных из баз оператора экспресс-доставки почты и грузов сообщили Telegram-канал компании Infosecurity, входящей в ГК Softline, и канал «Утечки информации», принадлежащий основателю DLBI Ашоту Оганесяну.
По данным канала «Утечки информации», пользователи интернета получили доступ к следующим материалам:
файл client.csv содержит 161,7 млн строк с информацией о 329 382 отправлениях, включая Ф. И. О. получателя, адрес его электронной почты, имя компании-отправителя, идентификатор отправителя/получателя и код пункта самовывоза;
файл contragent.csv содержит 30 129 288 строк с подробными данными о физических и юридических лицах, включая дату создания или обновления записи, Ф. И. О. или название компании, телефон, адрес электронной почты, почтовый адрес;
наконец, в файле phone.csv содержатся 92 610 884 строки с телефонами, идентификаторами отправителя/получателя, что позволяет связать данную базу с базой из файла client.csv. По данным «Утечек информации», после удаления дублей остаётся 24,7 млн телефонов.
По сведениям РБК, в самой СДЭК сдержанно прокомментировали информацию, ограничившись сообщением о проведении внутреннего расследования. В феврале компания официально подтвердила факт предыдущей утечки, подчеркнув, что в базе отсутствуют документы и платёжная информация.
Как сообщает РБК со ссылкой на представителя Infosecurity, с учётом предыдущего инцидента СДЭК допустила утечку данных десятков миллионов клиентов, что способно стать «рекордом на российском рынке». Эксперты предполагают, что преступники объединят все данные из компании и создадут одну из крупнейших баз данных граждан России, полученных незаконным путём. По мнению некоторых специалистов, речь может идти о 30 % российских пользователей интернета.
Источник изображения: Sigmund/unsplash.com
Если ранее в СДЭК говорили, что причиной первой утечки данных стали хакерские атаки, то причина нового инцидента пока неизвестна. Не исключено, что речь может идти о краже самими сотрудниками или наличии «лазейки», появившейся при некорректной настройке сетевого оборудования компании.
Ранее в этом году уже случались масштабные утечки у сервисов «Яндекс.Еда», Tutu.ru, Delivery Club, причём, по данным «Яндекс.Еды», извинившейся за инцидент, причиной попадания баз в открытый доступ стали недобросовестные действия одного из сотрудников — пострадавшие пользователи уже подали против компании коллективный иск.
Минцифры предлагало ввести оборотные штрафы для бизнесов, допустивших утечки персональных данных. По некоторым сведениям, такой штраф может составить 1 % от совокупной выручки за год. Не исключено, что соответствующий законопроект будет рассмотрен Госдумой уже осенью. К числу отягчающих степень наказания случаев могут отнести сокрытие сведений об утечке — недавно президентом был подписан закон, согласно которому допустившие утечку компании обязаны сообщать Роскомнадзору об этом в течение 24 часов после обнаружения факта самой утечки, а в течение 72 часов — докладывать о результатах расследования. Предполагается, что за первую утечку будет предусмотрен фиксированный штраф и только за следующие — оборотный. При этом никто не ожидает, что инцидентов с распространением данных удастся избежать полностью.
Источник: 3DNews