Сервис аренды самокатов Whoosh обвинил сотрудника в утечке данных пользователей

Сервис аренды электросамокатов Whoosh подтвердил утечку данных пользователей: служба информационной безопасности выявила и пресекла процесс, который организовала группа хакеров, заявил Forbes представитель Whoosh. Утечка стала возможной после того, как один из сотрудников сервиса допустил «грубое нарушение установленных в компании правил и процедур», заявил представитель сервиса.

По его словам, злоумышленники получили доступ к части первичных данных миллионов пользователей. Конкретное число и долю от общего количества клиентов компания не назвала. Там заверили, что утечка не затронула наиболее чувствительные данные, как доступ к аккаунтам, информацию о трансакциях или детали поездок. Доступ хакеров к «полным платежным данным банковских карт» пользователей исключают процедуры безопасности сервиса, добавил он.

Whoosh проводит внутреннюю проверку и обратился в правоохранительные органы.

Ранее на хакерском форуме была выставлена на продажу база данных Whoosh, утверждал портал об информационной безопасности SecurityLab.ru со ссылкой на Telegram-канал «Data1eaks / Утечки баз данных». По его информации, в базе было больше 7,3 млн записей, в том числи файл с промокодами, которые позволяют бесплатно пользоваться услугами сервиса. Telegram-канал писал, что в базе есть телефонные номера, электронные почты, часть данных банковских карт и другие сведения.

В начале ноября Whoosh сообщал также, что «пресек процесс утечки персональных данных нескольких миллионов клиентов». Тогда компания говорила, что утечка была организована группой хакеров, а данные не были размещены в открытом доступе. Whoosh отмечал, что были украдены никнеймы пользователей, телефоны, адреса электронной почты и маскированные (неполные) номера банковских карт.

В августе источники «Коммерсанта» рассказывали, что Минцифры обсуждает с IT-компаниями создание фонда компенсаций за утечки данных. Идея появилась на фоне того, что в 2022 году участились случаи публикации в открытом доступе пользовательской информации различных сервисов: например, «Яндекс.Еды», Delivery Club, СДЭК. Однако крупнейшие IT-компании предложение министерства не поддержали. По их мнению, создавать фонд нецелесообразно: фактические суммы компенсаций будут «непредсказуемы», и лучше инвестировать деньги в аудит информационных систем.

Whoosh в сентябре намеревался провести IPO на Московской бирже до конца 2023 года, писал Forbes. Летом 2022 года Whoosh провел дебютный выпуск облигаций на Мосбирже и закрыл книгу заявок на сумму 3,5 млрд рублей. По информации РБК, Whoosh планирует разместить бумаги на сумму до 10 млрд рублей.