В свободном доступе оказались данные покупателей магазина «Магнолия». Интернет-магазин сети супермаркетов «Магнолия» столкнулся сразу с двумя утечками пользовательских данных, сообщает ComNews со ссылкой на данные компании DLBI, специализирующейся на информационной безопасности.
В результате первой утечки в свободном доступе оказался массив информации, содержащей 252 тыс. уникальных записей. По итогам второй утечки в сети обнаружено еще 256 тыс. записей.
Массивы информации содержат ФИО пользователей, адреса доставки, номера телефонов, адреса электронной почты, составы заказов, а также хешированные пароли и купоны на скидки.
Самые последние данные в первой утечке датированы 9 июня 2024 года, во второй – 24 июня 2024 года.
Основная причина в халатности
По сведениям компании StormWall, во втором квартале 2024 года ритейл вошел в лидирующую группу по числу попыток внешнего вмешательства.
Член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин отмечает, что «рынок электронной коммерции в нашей стране развивается стремительно. Современный ритейл аккумулирует большое количество данных – от даты заказа до адреса, при этом нередко ведется и сбор другой чувствительной информации. Однако обработка данных, а также степень обеспечения их безопасности оставляет желать лучшего, поэтому именно в этом секторе утечки – скорее часть повседневной рутины. Например, данные не только не обезличивают, но и допускают сотрудничество с несколькими подрядчиками одновременно, из-за чего риск утечки повышается. Возможно, такой подход и мог бы быть оправдан для молодых стартапов, но не для крупных организаций, уже зарекомендовавших себя на рынке. Именно халатность остается основной причиной утечек: как при непосредственной работе с пользовательскими данными, так и при построении общей архитектуры информационной безопасности».
Почерк злоумышленников
Повторение инцидента через несколько дней – достаточно распространенная практика.
«На самом деле именно так и строят свою работу злоумышленники. Спустя некоторое время после первого удачного инцидента проводится еще один тестовый заход, и если владельцем ресурса не были решены системные проблемы, то атака повторяется и будет продолжаться до тех пор, пока компания не устранит уязвимости», – пояснил депутат.
Предупредить о возможной атаке
Вероятность того, что в скором времени покупатели магазина столкнутся с мошенническими звонками, велика.
«Кроме того, возможно проведение и персонализированных мошеннических атак. Поэтому крайне важно, чтобы ритейлер предупредил своих покупателей о факте утечки и возможных атаках злоумышленников. Использование персданных позволит мошенникам без труда завоевать доверие граждан. В телефонных разговорах они могут называть гражданина по имени и отчеству, сообщать адрес его проживания и иную личную информацию, поэтому важно быть внимательным. По всей видимости, мы также можем ожидать рост числа спам-звонков», – сказал депутат.
Несмотря на то, что в опубликованных данных содержатся хешированные пароли, злоумышленники вряд ли смогут получить доступ к сервисам пользователей. Основное свойство хеш-функции – необратимость. Злоумышленник не может просто взять и развернуть алгоритм, чтобы прочитать исходное сообщение.
Неотложный вопрос
Обнаружив факт неправомерной или случайной передачи персональных данных, операторы обязаны в течение первых 24 часов сообщить об инциденте в Роскомнадзор.
«В дальнейшим будет назначена проверка и вероятнее всего штраф — неоправданно низкий в сравнении с тем, какой потенциальный вред был нанесен пользователям. Поэтому в ближайшем будущем Госдумой будет принят окончательный вариант законопроекта об ужесточении ответственности за допущение утечек. Напомню, что компании-нарушители столкнутся со штрафными санкциями в размере от 3 до 15 млн рублей, а повторное правонарушение приведет уже к оборотному штрафу, который составит до 3% выручки за предшествующий год. Не думаю, что вопрос информзащиты нужно откладывать, инвестировать в безопасность нужно начинать уже сегодня. Особенно недавно пришедшим в онлайн компаниям, у которых пока нет соответствующего опыта», – подчеркнул депутат.
