Персональні дані 18 млн клієнтів «Нової пошти» продають в Інтернеті. Тож отримати інформацію про тернополян можуть за цілком доступними цінами. Про це повідомив у Facebook 6 лютого консультант з кібербезпеки Єгор Папишев. У той же час, у компанії базу даних назвали нерелевантною.
За словами консультанта, на продаж виставили дві бази – на півмільйона осіб (з інформацією про ПІБ, телефон, місто, серія, номер паспорті, пошта) та на 18 млн з меншою кількістю даних (ПІБ та телефон). Він також розповів, що представившись покупцем, перевірив актуальність бази даних.
– По-перше, дається довільний шматок бази, – пише він. – По-друге, я попросив надіслати мені значення записів з бази, давши йому кілька номерів телефонів для ідентифікації.
Номери належали зовсім різним людям з різних міст і ніяк не були пов’язані один з одним. Відповідь прийшла менше, ніж через п’ять хвилин, і містив абсолютно точні і свіжі дані про клієнтів (включаючи змінену в зв’язку з недавнім заміжжям прізвище однієї з них). Для додаткової перевірки я задав ще кілька телефонних номерів, які апріорі не могли бути використані в сервісі «Нової Пошти» (це корпоративні номери) і правильно – їх в цій базі не виявилося.
У свою чергу, Папишев припустив, як використовуватимуть дані покупці бази.
– Перш за все, нав’язлива реклама, спам SMS і по електронній пошті, холодний дзвінки. Далі йдуть варіанти використання цих даних в якості компонента атак соціальної інженерії, з різноманітними, далекосяжними наслідками, – написав він.
Представник компанії «Нова пошта» Тетяна Потапова в коментарі до повідомлення Папишева написала, що база даних клієнтів компанії, якою торгують в мережі, не є релевантною. На питання блогера, чи можна вважати базу даних нерелевантною, якщо він там знайшов свої персональні дані, представник компанії не відповіла.
Винуватця такої затії знайти буде важко, адже продаж можна проводити через даркнет через крипту, пояснює технічний директор Innovations Development Lab Дмитро Гаджело в коментарі MC Today.
– Є три варіанти витоку: злом, соціальна інженерія або інсайд, – зазначив Дмитро Гаджело. – Це міг бути також просто скривджений співробітник. Захиститися від подібного можна лише за умови комплексного підходу. Повинна бути грамотно організована і побудована IT-інфраструктура і грамотні бізнес-процеси видачі і заборони доступу до тих чи інших ресурсів
Джерело.
