Спецпроекты

Безопасность Бизнес Законодательство Телеком Техника

Знаменитый взломщик «слил» в интернет данные 7,5 миллионов клиентов Tele2

В открытом доступе оказались данные участников программы лояльности оператора связи Tele2. Неизвестный выложил в сеть 7,5 млн уникальных номеров мобильного телефона. Компания проводит внутреннее расследование.

Неизвестный инсайдер

В сети оказались данные участников программы лояльности оператора связи Tele2, сообщает Telegram-канал «Утечки информации». Речь идет о 7,5 млн строках, в которых содержится ФИО (часто – лишь имя), номер телефона, адрес электронной почты и пол.

Есть также ссылки на страницы пользователей на домене l.tele2.ru, дата создания и обновления записи. Судя по списку, под угрозой оказались пользователи программы лояльности, создавшие аккаунты на домене с 5 сентября 2017 г. по 27 июня 2022 г. Известно также, что в доступе 7,457 млн уникальных номеров и 5,707 млн уникальных адресов электронной почты.

В списке указывается идентификатор BERCUT_CONTACT_ID – и это, по мнению авторов «Утечек информации» (канал принадлежит техдиректору ИБ-компании Devicelock Ашоту Оганесяну) указывает на утечку из системы bercut.com. Bercut – это поставщик BSS-решений (Business Support Systems), с которым работает Tele2. Представители Bercut причастность к инциденту и вину в утечке отрицают.

Директор по информационной безопасности Bercut Алексей Кощиенко пояснил CNews: «В продуктах компании Bercut не используется упомянутый идентификатор. Служебное расследование Tele2 также не установило, что информационные системы Bercut имеют какое-либо отношение к данному инциденту. Таким образом, факт утечек с нашей стороны исключен».

В Tele2 сообщили, что проводят служебное расследование

Автор поста сообщает что данные «слил» тот же источник, что распространил не так давно персональные данные клиентов «Почты России», образовательного портала GeekBrains, службы доставки Delivery Club и сервиса покупки билетов tutu.ru.

Представители Tele2 сообщили CNews, что ответственность лежит на ИТ-партнере, которого атаковали хакеры.

«Нам очень жаль, что произошел инцидент, в результате которого данные ряда наших клиентов могли быть скомпрометированы, – отметили в компании. – Мы ведем расследование. Вместе с тем сейчас известно, что чувствительная информация, которая может навредить абонентам, не была раскрыта. Такие данные, как финансовые сведения, адреса места жительства и паспортные данные, не пострадали. Инцидент не несет никаких финансовых рисков для клиентов».

Представители оператора уточнили, что в сети оказались данные отдельных категорий абонентов, которые пользовались партнерскими предложениями в рамках программы лояльности. Это отрывочные сведения, по которым в большинстве случаев невозможно идентифицировать клиента. Значительная часть данных, которые попали в сеть – номера телефонов без указания ФИО или какой-либо другой информации о владельце номера. В ряде случаев – это псевдоним клиента, только имя или только фамилия, идентификационный номер во внутренних системах партнера.

В дампе оказалось 7,5 млн строк

Череда крупных утечек

Весной 2022 г. в свободном доступе оказались данные сервисов СДЭК (два файла по 466 и 822 млн строк), «Яндекс.Еды» (700 тыс. строк), Avito (100 тыс. строк), Wildberries (3,4 млн строк), Delivery Club (350 млн строк) и «Ростелекома» (109,4 тыс. строк).

«Ростелеком» позже заявил, что к инциденту причастен бывший сотрудник оператора. По мнению администраторов канала «Утечки информации», организатор «слива» также несет ответственность за утечки данных образовательного портала GeekBrains, «Школы управления «Сколково», якутского портала Ykt.Ru и службы доставки Delivery Club.

Представители Avito утверждают, что данные их клиентов оказались в открытом доступе не вследствие утечки, а в результате «обогащения информации цифровым следом пользователя, который он самостоятельно оставляет открытым в интернете. В Авито не было утечек», - заявляют представители компании.

С мая по июнь 2022 г. аналитики Group-IB сообщали о рекордном количестве баз данных российских организаций в даркнете — их число достигло пяти десятков. Крупные утечки происходят на фоне лавинообразного роста предложений к российским ИТ-специалистам из-за рубежа – за крупные суммы им предлагается открыть доступ к закрытым данным их компаний. Таких предложений по сравнению с 2021 г. стало больше в десятки раз.

Что говорит законодательство

За хищение баз данных, не составляющих коммерческой тайны, но содержащих данные персональные, физическому лицу грозит административная ответственность со штрафами не более 20 тыс. руб. Для юридических лиц штрафы выше: по статье 13.11 КоАП первая утечка персональных данных обойдется компании в сумму от 60 тыс. руб. до 100 тыс. руб. За вторую и последующие утечки — 500 тыс. руб. Эксперты называли такие меры слишком мягкими – они не стимулируют компании тратиться на информационную защиту. К примеру, сервис «Яндекс.еда» за крупную утечку данных своих пользователей в марте 2022 г. заплатил всего лишь 60 тыс. руб.

На фоне крупных утечек в феврале 2022 г. Минцифры предложило ввести оборотные штрафы для компаний, допустивших утечки. В июле стало известно, что новая версия законопроекта уже готовится, но в значительно смягченном варианте. Так, штрафы собираются назначать в два этапа. За первую утечку штраф будет фиксированным и зависеть от объема «слитых» данных. В случае повторной утечки будет применяться оборотный штраф – при этом будут учитываться смягчающие и отягчающие обстоятельства. К примеру, важно, чтобы компания, допустившая оплошность, вовремя уведомила об этом Роскомнадзор, а не скрывала инцидент.

На уступки министерство пошло после совещания с представителями «Ростелекома», МТС, «Вымпелкома», VK, «Яндекса», «Авито» и Ozon, которые выступили против неподъемных штрафов в непростых экономических условиях.

Анжела Патракова

Короткая ссылка