Хакеры продают базу паспортов и телефонов клиентов «Новой Почты» за 1500 грн. Что об этом известно

Лариса Кузора

Шеф-редактор спецпроектов в MC.today

В даркнете выставили на продажу две базы клиентов «Новой Почты» — на полмиллиона и на 18 миллионов записей. Об этом на своей странице в Facebook сообщил консультант по кибербезопасности, автор серии статей «Information Security дайджест» на DOU Егор Папышев.

По утверждению Папышева, продавец предлагает два варианта базы: 500 000 записей, содержащих ФИО клиента, его телефон, город, серию и номер паспорта и email, и 18 миллионов записей, но с меньшей детализацией – только ФИО и телефон.

По словам консультанта, он связался с продавцом, который озвучил цену в гривнах и согласился проверить «качество» базы.

Консультант по кибербезопасности Егор Папышев

«Во-первых, был предоставлен произвольный кусок базы. Во-вторых, я попросил прислать мне значения записей из базы, дав ему несколько номеров телефонов для идентификации.

Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом. Ответ пришел меньше чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них).

Для дополнительной проверки я задал еще несколько телефонных номеров, которые априори не могли быть использованы в сервисе «Новой Почты» (это корпоративные номера), и верно — их в этой базе не оказалось. В «демонстрационном экземпляре» есть электронные ящики в домене «[at]novaposhta.com.ua», — отметил он.

В комментарии MC Today консультант по кибербезопасности добавил, что за базу на полмиллиона клиентов с подробными данными продавец попросил 1500 грн.

Он выбрал способ продажи, характерный для подобных сделок — через гаранта, которого может выбрать покупатель. Гарант — это пользователь форума «хакерской» тематики, который принимает товар и деньги и гарантирует осуществление сделки.

«Эта база не стоит больше. Это не данные аккаунтов к личным кабинетам в каких-то сервисах типа банков», — уточнил Папышев. Он добавил, что злоумышленники чаще всего используют такие базы для навязчивой рекламы, спама по почте и в SMS и холодного обзвона клиентов. Другой вариант — использование данных в качестве компонента атак социальной инженерии.

Как база клиентов попала в сеть?

По мнению консультанта по кибербезопасности, базу слил кто-то внутри компании «Новая Почта».

В пресс-службе «Новой Почты» утверждают, что информация Папышева «неактуальна».

«Исходя их скриншота в Facebook-публикации, о которой идет речь, наши специалисты признали информацию в ней неактуальной, — отметила в комментарии MC Today пресс-секретарь компании Татьяна Потапова. — «Новая Почта» заботится о безопасности личных данных клиентов, мы регулярно совершенствуем все уровни защиты своих баз.

Скриншот «произвольного куска базы», который выложил Егор Папышев

Компания разделяет Общий регламент по защите данных GDPR (постановление по усилению и унификации защиты персональных данных всех лиц в Европейском союзе. — Прим. ред.) и ориентируется на изложенные в нем стандарты безопасности персональных данных».

Потапова добавила, что «Новая Почта» обратилась к автору поста, чтобы «выяснить обстоятельства якобы покупки базы, и он согласился сотрудничать по дальнейшей проверке описанного в посте случая».

«Мы разговаривали по телефону с руководителем информационной безопасности компании «Новая Почта». Они попросили максимум деталей для проведения собственного расследования. Эту информацию я им предоставлю», — рассказал Егор. Он добавил, что уже передал данные Киберполиции Украины.

Как найти виновника в воровстве базы?

Дмитрий Ганжело, технический директор Innovations Development Lab, считает, что «если продажа идет через даркнет через крипту, то виновника никто и никогда не найдет».

«Есть три варианта утечки: взлом, социальная инженерия или инсайдер», — отметил Ганжело в комментарии MC Today.

«Это мог быть и не взлом, а обиженный сотрудник. Или не обиженный, а просто уверенный в своей безнаказанности», — продолжает Дмитрий.

По его словам, в большинстве случаев IT-системы компаний построены из рук вон плохо и их не ломают только потому, что это пока никому не было нужно.

«Защититься от подобного можно только при условии комплексного подхода, — подчеркивает технический директор Innovations Development Lab. — Должна быть грамотно организованная и построенная IT-инфраструктура и грамотные бизнес-процессы выдачи и запрета доступа к тем или иным ресурсам».

Он советует «Новой Почте» провести ревизию всех сервисов и процессов, устранить найденные прорехи и в дальнейшем следить за их состоянием.

Что грозит виновнику в воровстве базы

Артем Афян, партнер юридической компании «Юскутум», квалифицирует такое нарушение как «умышленное разглашение коммерческой тайны» (232-я статья УК Украины). Оно карается штрафом от 200 до 500 необлагаемых минимумов доходов граждан или исправительными работами (лишением воли) на срок до трех лет.

По словам Афяна, в подобных случаях всегда трудно доказать вину. «Все зависит от совокупности факторов: источника слива, следов в почте и доступах и так далее», — отметил он в комментарии MC Today.

Как часто воруют базы клиентов украинских компаний?

Егор Папышев рассказал, что мониторит до десятка различных ресурсов в даркнете и старается быть в курсе событий и свежих объявлений там. На базы данных украинских пользователей он натыкается не так часто.

«За последний период это второй случай, первым была клиентская база сети «Цитрус» на 125 000 клиентов, — рассказал консультант по кибербезопасности. — База «Цитруса» всплыла на ресурсе, очень далеком от Украины как территориально, так и по аудитории, которая там пишет».

Добавим, что 19 января Папышев заявил о проблеме с информационной безопасностью у провайдера «ВОЛЯ».

«По халатности сотрудников…  скомпрометирован реестр с персональными данными более чем 45 000 абонентов этой организации (включая ФИО, актуальный адрес, контактный телефон, тариф, некоторые платежи) из разных городов и регионов. Цифра очень приблизительная, т.к. документов много и оценить реальный объем данных сложно», — написал он на странице в Facebook.

Вскоре консультант по кибербезопасности обновил пост и отметил «высокий уровень реагирования персонала «ВОЛЯ» на инцидент.

«Судя по всему, они мониторили текущие подключения, нашли искомое и вышли на основную проблему. Дыра явно закрыта на текущий момент, что, впрочем, никак не уменьшает объема вытекшей информации в течение всего того времени, пока доступ к ней существовал», — написал Егор Папышев.

Справка. Даркнет (DarkNet) — частная сеть, в которой соединения устанавливаются с использованием нестандартных протоколов и портов, а обмен файлами происходит анонимно. Часто используется для незаконной деятельности.

Авторы: Лариса Кузора и Виталий Шкиль

***

Понравился текст? Здесь мы рассказываем, что думаем о материалах и делимся личными историями: наш Telegram-канал и страницы редакторов Веры Черныш и Тимура Вороны в Facebook.