Хакеры продают базу паспортов и телефонов клиентов «Новой Почты» за 1500 грн. Что об этом известно

В даркнете выставили на продажу две базы клиентов «Новой Почты» — на полмиллиона и на 18 миллионов записей. Об этом на своей странице в Facebook сообщил консультант по кибербезопасности, автор серии статей «Information Security дайджест» на DOU Егор Папышев.

По утверждению Папышева, продавец предлагает два варианта базы: 500 000 записей, содержащих ФИО клиента, его телефон, город, серию и номер паспорта и email, и 18 миллионов записей, но с меньшей детализацией – только ФИО и телефон.

По словам консультанта, он связался с продавцом, который озвучил цену в гривнах и согласился проверить «качество» базы.

«Во-первых, был предоставлен произвольный кусок базы. Во-вторых, я попросил прислать мне значения записей из базы, дав ему несколько номеров телефонов для идентификации.

Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом. Ответ пришел меньше чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них).

Для дополнительной проверки я задал еще несколько телефонных номеров, которые априори не могли быть использованы в сервисе «Новой Почты» (это корпоративные номера), и верно — их в этой базе не оказалось. В «демонстрационном экземпляре» есть электронные ящики в домене «[at]novaposhta.com.ua», — отметил он.

В комментарии MC Today консультант по кибербезопасности добавил, что за базу на полмиллиона клиентов с подробными данными продавец попросил 1500 грн.

Он выбрал способ продажи, характерный для подобных сделок — через гаранта, которого может выбрать покупатель. Гарант — это пользователь форума «хакерской» тематики, который принимает товар и деньги и гарантирует осуществление сделки.

«Эта база не стоит больше. Это не данные аккаунтов к личным кабинетам в каких-то сервисах типа банков», — уточнил Папышев. Он добавил, что злоумышленники чаще всего используют такие базы для навязчивой рекламы, спама по почте и в SMS и холодного обзвона клиентов. Другой вариант — использование данных в качестве компонента атак социальной инженерии.

Как база клиентов попала в сеть?

По мнению консультанта по кибербезопасности, базу слил кто-то внутри компании «Новая Почта».

В пресс-службе «Новой Почты» утверждают, что информация Папышева «неактуальна».

«Исходя их скриншота в Facebook-публикации, о которой идет речь, наши специалисты признали информацию в ней неактуальной, — отметила в комментарии MC Today пресс-секретарь компании Татьяна Потапова. — «Новая Почта» заботится о безопасности личных данных клиентов, мы регулярно совершенствуем все уровни защиты своих баз.

Компания разделяет Общий регламент по защите данных GDPR (постановление по усилению и унификации защиты персональных данных всех лиц в Европейском союзе. — Прим. ред.) и ориентируется на изложенные в нем стандарты безопасности персональных данных».

Потапова добавила, что «Новая Почта» обратилась к автору поста, чтобы «выяснить обстоятельства якобы покупки базы, и он согласился сотрудничать по дальнейшей проверке описанного в посте случая».

«Мы разговаривали по телефону с руководителем информационной безопасности компании «Новая Почта». Они попросили максимум деталей для проведения собственного расследования. Эту информацию я им предоставлю», — рассказал Егор. Он добавил, что уже передал данные Киберполиции Украины.

Как найти виновника в воровстве базы?

Дмитрий Ганжело, технический директор Innovations Development Lab, считает, что «если продажа идет через даркнет через крипту, то виновника никто и никогда не найдет».

«Есть три варианта утечки: взлом, социальная инженерия или инсайдер», — отметил Ганжело в комментарии MC Today.

«Это мог быть и не взлом, а обиженный сотрудник. Или не обиженный, а просто уверенный в своей безнаказанности», — продолжает Дмитрий.

По его словам, в большинстве случаев IT-системы компаний построены из рук вон плохо и их не ломают только потому, что это пока никому не было нужно.

«Защититься от подобного можно только при условии комплексного подхода, — подчеркивает технический директор Innovations Development Lab. — Должна быть грамотно организованная и построенная IT-инфраструктура и грамотные бизнес-процессы выдачи и запрета доступа к тем или иным ресурсам».

Он советует «Новой Почте» провести ревизию всех сервисов и процессов, устранить найденные прорехи и в дальнейшем следить за их состоянием.

Что грозит виновнику в воровстве базы

Артем Афян, партнер юридической компании «Юскутум», квалифицирует такое нарушение как «умышленное разглашение коммерческой тайны» (232-я статья УК Украины). Оно карается штрафом от 200 до 500 необлагаемых минимумов доходов граждан или исправительными работами (лишением воли) на срок до трех лет.

По словам Афяна, в подобных случаях всегда трудно доказать вину. «Все зависит от совокупности факторов: источника слива, следов в почте и доступах и так далее», — отметил он в комментарии MC Today.

Как часто воруют базы клиентов украинских компаний?

Егор Папышев рассказал, что мониторит до десятка различных ресурсов в даркнете и старается быть в курсе событий и свежих объявлений там. На базы данных украинских пользователей он натыкается не так часто.

«За последний период это второй случай, первым была клиентская база сети «Цитрус» на 125 000 клиентов, — рассказал консультант по кибербезопасности. — База «Цитруса» всплыла на ресурсе, очень далеком от Украины как территориально, так и по аудитории, которая там пишет».

Добавим, что 19 января Папышев заявил о проблеме с информационной безопасностью у провайдера «ВОЛЯ».

«По халатности сотрудников…  скомпрометирован реестр с персональными данными более чем 45 000 абонентов этой организации (включая ФИО, актуальный адрес, контактный телефон, тариф, некоторые платежи) из разных городов и регионов. Цифра очень приблизительная, т.к. документов много и оценить реальный объем данных сложно», — написал он на странице в Facebook.

Вскоре консультант по кибербезопасности обновил пост и отметил «высокий уровень реагирования персонала «ВОЛЯ» на инцидент.

«Судя по всему, они мониторили текущие подключения, нашли искомое и вышли на основную проблему. Дыра явно закрыта на текущий момент, что, впрочем, никак не уменьшает объема вытекшей информации в течение всего того времени, пока доступ к ней существовал», — написал Егор Папышев.

Справка. Даркнет (DarkNet) — частная сеть, в которой соединения устанавливаются с использованием нестандартных протоколов и портов, а обмен файлами происходит анонимно. Часто используется для незаконной деятельности.

Авторы: Лариса Кузора и Виталий Шкиль

***

Понравился текст? Здесь мы рассказываем, что думаем о материалах и делимся личными историями: наш Telegram-канал и страницы редакторов Веры Черныш и Тимура Вороны в Facebook.