Житель Киева Егор Папышев написал заявление в Киберполицию по факту обнаружения в Интернете человека, продающего базу данных клиентов Новой Почты – с ФИО, номером мобильного, паспортными данными... Почему данная организация не обеспечила сохранности конфиденциальных данных? Имеют ли право жители Кривого Рога подавать на Новую Почту в суд с требованием возмещения материального и морального ущерба, если данный факт будет подтвержден правоохранителями?
Егор ПАПЫШЕВ, 5 февраля в 22:54 •
Приветствую. Такие новости уже переходят в разряд рядовых, в общем потоке взломов и компрометации пользовательских данных. Но мне кажется, не будет лишним в очередной раз обратить ваше внимание на то, что информацией о себе следует распоряжаться бережно.
Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов Нова Пошта.
Как таковых баз две: первая содержит информацию порядка полумиллиона человек, с персональными данными в разбивке ФИО/ телефон/ город/ серия и номер паспорта/ email. Вторая - 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон).
Мне удалось связаться с продавцом (который, внезапно, озвучил цены за базы в гривнах) и проверить "качество" информации.
Во-первых, предоставлен произвольный кусок базы.
Во-вторых, я попросил прислать мне значения записей из базы, дав ему несколько номеров телефонов для идентификации.
Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом.
Ответ пришел меньше, чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них). Для дополнительной проверки я задал еще несколько телефонных номеров, которые априори не могли быть использованы в сервисе Новой Почты (это корпоративные номера) и верно - их в этой базе не оказалось.
Кроме того, в демонстрационном экземпляре я наблюдаю как минимум нескольких человек с емейлами в домене [at]novaposhta.com.ua.
Итоги подведем: объемная и судя по всему актуальная клиентская база Нова Пошта действительно продается в даркнете, за вполне подъемные деньги.
Как используются эти данные злоумышленниками?
Прежде всего, навязчивая реклама, спам SMS и по электронной почте, холодный обзвон. Далее идут варианты использования этих данных в качестве компонента атак социальной инженерии, с разнообразными, далеко идущими последствиями.
Вам, друзья мои, пожелаю тщательно относиться к выбору, кому, куда и зачем вы предоставляете информацию о себе. Организации - искать точку компрометации (судя по всему - инсайдера), вводить дополнительные контроли и так далее.
Ну и отчетик, про инцидент, как в цивилизованном мире делается.
Если бы Новая Почта была регламентирована европейским GDPR (и оно уже вступило бы в силу), и уплыли данные граждан ЕС, то компании вполне серьезно светил бы штраф в 4% от годового оборота за предыдущий финансовый год.
Или двадцать миллионов евро (в зависимости от того, что больше).
UPD: сегодня был довольно насыщенный день. Я встречал разные мнения о этой публикации. Некоторые из них были даже обидными и полными несправедливости, с моей точки зрения. Пускай, люди обсуждают и не у всех есть возможность объективно оценить ситуацию, прежде чем делать выводы.
О главном. Позиция компании Новая Почта понятна и комментировать ее я не стану. В целом, она похожа на большинство подобных кейсов в других украинских компаниях по сходным проблемам за последний период.
Тем не менее, подтверждаю, что сегодня не раз общался с руководителем направления информационной безопасности Новой Почты, и постарался предоставить тот объем информации, который поможет им провести расследование инцидента.
Департамент кіберполіції Національної поліції України проявил реальную активность, причем оперативней всех, и получил от меня все детали по выявленной проблеме. Рассчитываю на успех по пресечению деятельности по продаже персональных данных наших граждан (и моих в том числе)...
Подготовила к публикации
Юлия ЛАПОЧКИНА,
специально для рубрики
Новости Кривого Рога
сайта Весь Кривой Рог
Фото – из редакционного архива