Стало известно о новой утечке данных СДЭК — инцидент мог затронуть 25 млн пользователей сервиса

Пользователи оператора экспресс-доставки документов и грузов СДЭК ещё не успели в полной мере оценить последствия февральской утечки их данных в Сеть, а в интернете уже якобы появились «свежие» сведения о клиентах компании, вероятно, затрагивающие интересы порядка 25 млн аккаунтов и 30 тыс. контрагентов.

Источник изображения: unsplash.com

О новой утечке данных из баз оператора экспресс-доставки почты и грузов сообщили Telegram-канал компании Infosecurity, входящей в ГК Softline, и канал «Утечки информации», принадлежащий основателю DLBI Ашоту Оганесяну.

По данным канала «Утечки информации», пользователи интернета получили доступ к следующим материалам:

• файл client.csv содержит 161,7 млн строк с информацией о 329 382 отправлениях, включая Ф. И. О. получателя, адрес его электронной почты, имя компании-отправителя, идентификатор отправителя/получателя и код пункта самовывоза;
• файл contragent.csv содержит 30 129 288 строк с подробными данными о физических и юридических лицах, включая дату создания или обновления записи, Ф. И. О. или название компании, телефон, адрес электронной почты, почтовый адрес;
• наконец, в файле phone.csv содержатся 92 610 884 строки с телефонами, идентификаторами отправителя/получателя, что позволяет связать данную базу с базой из файла client.csv. По данным «Утечек информации», после удаления дублей остаётся 24,7 млн телефонов.

По сведениям РБК, в самой СДЭК сдержанно прокомментировали информацию, ограничившись сообщением о проведении внутреннего расследования. В феврале компания официально подтвердила факт предыдущей утечки, подчеркнув, что в базе отсутствуют документы и платёжная информация.

Как сообщает РБК со ссылкой на представителя Infosecurity, с учётом предыдущего инцидента СДЭК допустила утечку данных десятков миллионов клиентов, что способно стать «рекордом на российском рынке». Эксперты предполагают, что преступники объединят все данные из компании и создадут одну из крупнейших баз данных граждан России, полученных незаконным путём. По мнению некоторых специалистов, речь может идти о 30 % российских пользователей интернета.

Источник изображения: Sigmund/unsplash.com

Если ранее в СДЭК говорили, что причиной первой утечки данных стали хакерские атаки, то причина нового инцидента пока неизвестна. Не исключено, что речь может идти о краже самими сотрудниками или наличии «лазейки», появившейся при некорректной настройке сетевого оборудования компании.

Ранее в этом году уже случались масштабные утечки у сервисов «Яндекс.Еда», Tutu.ru, Delivery Club, причём, по данным «Яндекс.Еды», извинившейся за инцидент, причиной попадания баз в открытый доступ стали недобросовестные действия одного из сотрудников — пострадавшие пользователи уже подали против компании коллективный иск.

Минцифры предлагало ввести оборотные штрафы для бизнесов, допустивших утечки персональных данных. По некоторым сведениям, такой штраф может составить 1 % от совокупной выручки за год. Не исключено, что соответствующий законопроект будет рассмотрен Госдумой уже осенью. К числу отягчающих степень наказания случаев могут отнести сокрытие сведений об утечке — недавно президентом был подписан закон, согласно которому допустившие утечку компании обязаны сообщать Роскомнадзору об этом в течение 24 часов после обнаружения факта самой утечки, а в течение 72 часов — докладывать о результатах расследования. Предполагается, что за первую утечку будет предусмотрен фиксированный штраф и только за следующие — оборотный. При этом никто не ожидает, что инцидентов с распространением данных удастся избежать полностью.