В Сеть «слили» базу даных клиентов «Новой почты» и торгуют ей. Об этом сообщил специалист по кибербезопасности Егор Папышев.
«Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов «Новой Почты». Как таковых баз две: первая содержит информацию порядка полумиллиона человек, с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email. Вторая — 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон)», — пишет Папышев.
Эксперт связался с продавцом данной базы и запросил часть данных для проверки.
«Я попросил прислать мне значения записей из базы, дав ему несколько номеров телефонов для идентификации. Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом. Ответ пришел меньше, чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них). Для дополнительной проверки я задал еще несколько телефонных номеров, которые априори не могли быть использованы в сервисе Новой Почты (это корпоративные номера) и верно — их в этой базе не оказалось», — сообщил эксперт.
По мнению Егора Папышева в Сети продается актуальная база «Новой почты» и «за вполне подъемные деньги». Он добавил, что данные номера телефонов и e-mail могут быть использованы для рассылки СПАМа, не исключив атаки социальной инженерии с далеко идущими последствиями.
Папышев посоветовал Новой почте — «искать точку компрометации (судя по всему — инсайдера), вводить дополнительные контроли и так далее. Ну и отчетик, про инцидент, как в цивилизованном мире делается. Если бы Новая Почта была регламентирована европейским GDPR (и оно уже вступило бы в силу), и уплыли данные граждан ЕС, то компании вполне серьезно светил бы штраф в 4% от годового оборота за предыдущий финансовый год. Или двадцать миллионов евро (в зависимости от того, что больше)», — резюмировал он.
В комментарии изданию InternetUA он уточнил, что продавец вышел на связь с российского почтового сервера и указал цену в 1500 гривен за детализированную базу (полмиллиона клиентов).
В тоже время в Новой почте заявили, что безопасность личных данных клиентов один из приоритетов компании.
«Безопасность личных данных клиентов и постоянная защита своих баз — один из ключевых приоритетов Новая Почта. Коллеги уже проанализировали информацию в посте, хотя это лишь часть того, что, очевидно, у вас есть. По их заключению, база, фигурирует в посте, не является релевантной. В то же время, коллеги из онлайн-поддержки с вами обязательно свяжутся, спасибо, что сообщили нам об инциденте». — написала представитель компании Татьяна Потапова в комментарии под записью эксперта.