Эксперты сообщили о новой утечке данных у оператора экспресс-доставки посылок СДЭК
Эксперты по кибербезопасности сообщили о новой утечке данных у оператора экспресс-доставки СДЭК. Она могла затронуть 25 млн клиентов и 30 000 контрагентов компании. В СДЭК сообщили, что проводят внутреннее расследование. В феврале компания допустила утечку данных около 19 млн пользователей, в сумме обе утечки — рекорд для российского рынка, говорят эксперты
Новая утечка данных произошла у оператора экспресс-доставки грузов и документов СДЭК. По оценкам экспертов по кибербезопасности, она затронула 25 млн телефонных номеров клиентов компании и 30 000 контрагентов, сообщает РБК. СДЭК проводит внутреннее расследование с целью выяснения обстоятельств утечки, сказали в компании.
Первыми информацию об инциденте опубликовали Telegram-каналы компании Infosecurity (входит в ГК Softline) и «Утечки информации» основателя компании DLBI Ашота Оганесяна. По их сведениям, база данных содержит три файла с более чем 250 млн строк с данными компаний и физических лиц — Ф. И. О. , адреса электронной почты, названия юрлиц, телефоны и почтовые адреса. PR-директор СДЭК Анна Иоспа сообщила, что компания проводит внутреннее расследование, чтобы выяснить обстоятельства утечки.
В конце февраля СДЭК признала факт другой утечки данных, однако заявила, что в утекшей базе нет значимой персональной информации, в том числе платежной. Эксперты по киберугрозам тогда сообщали о двух файлах — на 466 млн и 822 млн строк, в том числе с телефонами и адресами электронной почты. По словам руководителя блока специальных сервисов Infosecurity Сергея Трухачева, в сумме у СДЭК утекли данные десятков миллионов клиентов, что может стать «рекордом на российском рынке».
По оценкам Infosecurity, которые приводит эксперт, февральская утечка затронула около 19 млн пользователей, в новой — содержится около 25 млн телефонов и сведения о 30 000 контрагентов. Трухачев предупредил, что злоумышленники в ближайшее время объединят обе утечки, сформировав одну из крупнейших незаконно полученных баз данных россиян.
Эксперт Центра продуктов Dozor «РТК-Солар» Алексей Кубарев отметил, что утечка может претендовать на звание самой крупной в 2022 году. По его оценке, в ней могли оказаться данные до 30% российских интернет-пользователей. Кубарев добавил, что причиной утечки могли стать как хакерские атаки или взлом, так и слив внутренним злоумышленником и некорректные настройки доступа к серверам компании из интернета. После первой утечки СДЭК называла ее причиной «политически мотивированные хакерские атаки».
Другой собеседник РБК на рынке информационной безопасности отметил, в последней базе СДЭК число строк меньше, чем в предыдущей, но увеличилось количество полей с деталями информации о людях. Помимо СДЭК, в этом году крупные утечки данных пользователей в 2022 году допустили онлайн-сервисы «Яндекс.Еда», Delivery Club и другие. Минцифры предложило ввести оборотные штрафы для компаний, допустивших утечку персональных данных — 1% от совокупной выручки за год.
Предполагается, что при первой утечке персональных данных клиентов компания будет платить штраф, соразмерный объему попавшей в интернет информации, а оборотный штраф будет налагаться при повторном случае. В законопроекте также определят границы для оборотных штрафов (минимальный и максимальный процент от выручки, который можно будет взыскать). Факт сокрытия информации об утечке может стать отягчающим обстоятельством.
Владимир Путин 14 июля подписал поправки к закону «О персональных данных», согласно которым все компании обязаны сообщать Роскомнадзору об утечках данных граждан в течение 24 часов после их обнаружения и предоставлять результаты расследования и информацию о виновных в течение 72 часов. Ведущий эксперт по защите персональных данных консалтинговой компании Б-152 Максим Лагутин отметил, что за счет «правильных штрафов» можно будет минимизировать количество и объем утечек и их последствия для пользователей.