Ретейлер «Спортмастер» подтвердил факт утечки части данных клиентов. Файл с базой данных зарегистрированных пользователей компании неизвестные хакеры начали распространять 31 декабря 2022 года. В «Спортмастере» заверили, что утечка не включает в себя платежную информацию покупателей, а компания начала внутреннюю проверку и уведомила Роскомнадзор об инциденте.
«31 декабря в одном из Telegram-каналов был опубликован архив с данными клиентов „Спортмастера“. В распоряжении злоумышленников оказались имена, даты рождения, номера телефонов и адреса электронной почты. По результатам изучения архива подтверждено, что инцидент не затрагивает логины и пароли пользователей, платежную информацию, а также учетные данные сотрудников», — сообщил представитель «Спортмастера». Согласно анализу экспертов компании, данные в утечке могут быть актуальны на 2019 год.
В «Спортмастере» пояснили, что компания проводит расследование и выясняет причины инцидента. По предварительным данным, утечка произошла через одного из подрядчиков компании, который имел доступ к указанной информации. В рамках работ по обеспечению безопасности уже существенно ограничены доступы сотрудникам и подрядчикам к внутренним информационным системам, кроме необходимых для обеспечения работоспособности сервисов компании.
«Уведомление об инциденте направлено в Роскомнадзор. Результаты внутреннего расследования позволят устранить уязвимости в защите данных для избежания повторения подобных ситуаций», — рассказал СМИ представитель «Спортмастера».
В выложенном в общий доступ файле содержатся 1 655 406 строк с такой информацией о пользователях:
- имя (в некоторых случаях ФИО);
- дата рождения;
- пол;
- номер мобильного телефона (1 178 116 уникальных значений);
- электронная почта;
- адрес доставки;
- идентификатор клиента.
Большая часть данных в утечке от 2013 года, но есть информация об изменениях в некоторых профилях от августа 2021 года.
С начала 2022 года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
27 декабря «Ситимобил» обратилась в правоохранительные органы в связи с утечкой данных водителей и обезличенной информации клиентов. Причина обращения в полицию — шантаж со стороны злоумышленников по поводу выкладывания новых данных компании в общий доступ, если им не будет предоставлен выкуп.
