Данные 9 млн клиентов «Билайна» утекли в сеть


    Фото: Олег Харсеев / Коммерсант

    На днях стало известно о новой крупной утечке персональных данных россиян — на этот раз в сеть выложили около 9 млн записей клиентов «Билайна». Речь идет о клиентах компании, которые подключили домашний интернет. Эксперты, которые проверили актуальность выложенных данных, заявляют о том, что большое количество учеток до сих пор действительны.

    Специалисты по кибербезопасности заявляют, что данных, попавших в сеть, вполне достаточно для совершения различных атак, включая самый опасный метод — социальную инженерию. Опасна она потому, что защититься от злоумышленников крайне сложно, мошенники ежегодно обманывают таким образом множество людей.

    База содержит данные пользователей со всей России, она включает ФИО, адрес, мобильный и домашний телефоны. При этом выявлены как действующие, так и закрытые договоры. Как оказалось, в базу включены данные по состоянию на ноябрь 2016 года.

    Представители «Билайна» уже провели расследование этого случая, заявив, что количество ШПД-абонентов у «Билайна» не превышает 3 млн человек. «Данная информация — небольшая часть базы 2017 года. Утечку данных мы зафиксировали два года назад,— пояснили там.— Все виновные были выявлены и понесли наказание, на текущий момент большая часть информации — это уже устаревшие данные», — сообщили в компании. Сейчас расследование этого случая продолжается.

    То, что многие пользователи уже не являются пользователями компании, никак не влияет на риски для тех людей, чьи данные скомпрометированы. Сведения из этой базы могут быть объединены с информацией из других баз, после чего мошенникам будет гораздо проще вводить потенциальных жертв в заблуждение. Например, злоумышленники могут попытаться узнать данные банковских карт у пострадавших.

    C другой стороны, поскольку в базе нет номеров карт, договоров и т.п., она не является очень уж желанной для мошенников высокого уровня. «Подобные базы, не имеющие банковской информации — номеров карт, договоров, историй операций и т. д., активно продаются. Те, кто профессионально занимается прозвоном банковских клиентов, давно уже получили к ним доступ»,— говорит начальник отдела по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов. Но для начинающих «социальных инженеров» утекшие в интернет данные могут быть полезны.

    Что касается источника самой утечки, то игроки рынка считают необходимым искать и привлекать к ответственности тех, кто занимается «сливом». «На мой взгляд, не выход наказывать тех, у кого утекли сведения, европейский вариант многомиллионных штрафов за утечку данных также не сработает,— указывает господин Лукацкий.— Другое дело, что в настоящее время ни УПК, ни следственные органы, ни суды не готовы к рассмотрению подобных дел», — заявил бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий.

    Недавно глава Сбербанка Герман Греф рассказал о том, что как служба безопасности организации смогла найти виновника утечки по кредитным картам своих клиентов. Данные об утечке была размещена на специализированном форуме, который заблокирован РКН. Продавец заявлял, что в базе содержалась информация о данных нескольких десятков миллионов кредиток. Продавец давал возможность ознакомиться с базой, высылая произвольные строки базы, около 200 строк для каждого потенциального покупателя.

    Служба безопасности быстро смогла понять, что внешний взлом невозможен, поскольку база изолирована от внешней сети. Ну а в результате внутреннего расследования служба безопасности банка совместно с правоохранительными органами смогла найти виновника 1991 года рождения.

    После того, как стало известно о продаже данных, представитель службы безопасности банка связался с подозреваемым. Служба безопасности смогла определить, что источник утечки — внутренний, так что банк стал проверять своих сотрудников. С течением времени виновник был обнаружен и теперь ему грозит уголовная ответственность. Этот человек пытался украсть клиентскую информацию по кредитным картам клиентов в корыстных целях.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 26

      +18
      Ну фиг с ними с минусами, тут уже иначе не скажешь.
      image
        –13
        Хоть одна из этих утечек привела к сколько нибудь значимым последствиям? Насколько я знаю нет.
          +11

          может для вас лично нет, а для миллионов людей, которым звонят и представляются банком, налоговой, пенсионным фондом, называя вас по имени и произнося точный адрес и даже ваш паспорт, втираясь в доверие и с помощью небрльшой доли нлп убеждают вас перевести деньги или сообщить номер карты — да, последствия значимы, лично знаю десяток пострадвших, обычно женщины.
          ps: а еще тут недавно были отличные статьи про подделку электронных подписей, данные "клиента" уже полдела.

            +5
            Я думаю вопрос был о последствиях для контор которые слили п... упустили данные пользователей
            +1
            Если вы потеряли ключи от квартиры, не обязательно злоумышленник в тот же день воспользуется ими, но смена замка уменьшает вероятность наступления значимых последствий.
            Если ваши персональные данные утекли из «Билайна», не обязательно злоумышленник в тот же день воспользуется ими, но смена «Билайна» уменьшает вероятность наступления значимых последствий (номер телефона будет не валидный).

            Все виновные были выявлены и понесли наказание, на текущий момент большая часть информации — это уже устаревшие данные», — сообщили в компании.

            ОК! Как оператор предлагает обезопасить клиентов чьи данные не устаревшие, какие оргмероприятия проводятся?
              +1
              Как оператор предлагает обезопасить клиентов чьи данные не устаревшие

              Свалить к другому, данные которого… наверняка тоже утекли.

                0
                личный телефон губернатора Комаровой атаковали спамеры
                Номер мобильного телефона губернатора Югры Натальи Комаровой узнали злоумышленники, после чего в адрес главы региона началась спам-атака. Об этом «URA.RU» рассказал осведомленный источник из числа силовиков.

                Вариант свалить реально помогает в такой ситуации.
                  0
                  Да, но утекли то они до того как вы к нему свалите. А значит вы на время до следующей утечки уже у нового оператора получите хотя бы номер спамерам неизвестный.
              –1
              Резюмируя: т.е. торговлей утекшими данными будeт торговать не только агрегатор,
              а «Роскомпозору» что то из этих денег достанется?

              P.S, Пока будут ответственность перекладывать на «стрелочников», ничего не изменится.
                +8
                на текущий момент большая часть информации — это уже устаревшие данные

                Что, люди сменили имя, адрес и домашний телефон?

                  +2
                  И пол.
                  Кстати, про Пчелайн. Являюсь их абонентом уже лет как бы не двадцать и года четыре назад мне понадобилось заменить симку и заодно обновить паспортные данные (в связи со сменой паспорта). Пришлось обойти полгорода в поисках салона где это сумели сделать вроде бы (данные обновить). А перед прошлым новым годом мне понадобилось снова заменить симку и что вы таки думаете? Никаких моих данных, кроме фамилии и имени у них нет. Это всё, что надо знать об этой конторе.
                    0
                    Ага, а с другой стороны читаешь истории, как клон симки хоть по мыльному ксероксу «доверенности» могут выдать. Неровный сервис, однако!
                      0
                      хз, два года назад, тоже обновлял паспортные данные, зашёл в случайный, маленький салон и быстренько мне сменили паспортные данные буквально за 5 минут
                    +4
                    Интересно, а когда до наших законодателей дойдёт что в краже виноват не тот кто украл, а организация которая обеспечивает неконтролируемый доступ в свои базы произвольным ОООшкам на рынке.
                      0
                      Так оно уже, у РКН вполне хватает полномочий чтобы наказывать за такие вещи. Но начинаются же вопли про то, что «бизнесь кашмарят» и «работать невозможно!».

                      Есть замечательный ГОСТ 57580.1-2017, но к сожалению, он распространяется только на банки (и всякие финансовые организации). Его бы на всех натянуть, но тогда сразу всё встанет (особенно в тяп-ляп стартапчиках), потому что никто о данных клиентов думать не привык.
                        +3
                        Так видите, даже экперты-консультанты считают, что, кхм "<...>не выход наказывать тех, у кого утекли сведения<...>".
                        Т.е. зачем уважаемых людей отвлекать от стрижки купюр? Им все одно не интересно беспокоиться о клиентской инфе и приватности.
                        +1
                        Тут нужны одновременно и многомиллионные штрафы для компаний, и многолетние сроки для непосредственных виновных. Вот тогда будет толк. А если по отдельности — то нет, в случае «только штрафы для компаний» у сотрудников останется соблазн сливать данные, «только сроки для исполнителей» — у компаний появится соблази назначать «стрелочников».
                          0
                          Штрафы для компаний тоже не помогут — фэйсбук вон штрафовали, но не помогло, так же не очевидно, что компания реально заплатит штраф, а не занесет кому надо взяток, и потом выпустит пресс-релиз. Пусть платят компенсации всем пострадавшим (всем попавшим в утекшую базу) или по-иному как-то компенсируют, потому что получается, что пострадавшие даже в случае штрафа для компании довольствуются «извинениями за неудобство» и вынужденны разгребать последствия самостоятельно.
                            +2
                            Штраф для ФБ не помог только из-за того, сколько у этого ФБ денег. Когда сумма становится для них заметной они начинают что-то делать.
                            +1
                            Нереально. Крупных игроков рынка будет защищать само государство, особенно если организации принадлежат «особо приближённым» олигархам, а виновных будут просто назначать.
                              0
                              многолетние сроки для непосредственных виновных


                              УК РФ Статья 272 — до 4 лет — это при наличии всех возможных и невозможных отягчающих обстоятельств. А стрелочника можно и просто уволить.
                              0
                              Вот интересно, почему подобные «утечки» всегда выкладываются не в SQLite или ином вменяемом формате, а непременно CronosPlus/CronosPRO? А в данном случае база вообще открывается только 5-й версией, которую ломанную хрен найдёшь, а пробная версия не открывает базы длиннее 5000 записей… Ну и винда нужна, потому что версии под Linux у этой СУБД нет.
                                0
                                Потому что продавец покупателя найдет итак, ему нет необходимости делать больше.
                                0
                                Себя и соседей нашёл. Информация максимум начала 2016. Слава богу, хоть паспортных данных нет. Только то, что отображается в личном кабинете.
                                  0
                                  Шутка юмора в том, что чем больше законодатели беспокоятся о «защиты персональных данных», тем больше этих персональных данных утекает =)
                                  Да, сливы были и раньше, сливают все и всегда. Но этот месяц — прям-таки особенно «злачный». Осталось загибать пальцы и считать то, что еще не утекло.
                                    0
                                    Сливы «неизбежны», но наши законодатели под лозунгoм «цифровой экономики», ещё больше в итоге, своими действиями, облегчают этот процесс. :)

                                    P.S. Сколько и где подписей приходится ставить гражданину в бланках на согласие на обработку персональных данных?
                                    Не перебор ли это?(при формальном соблюдении закона, в «частных» организациях и прописана ли ответственность сторон при подписании этого документа?)
                                    Скоро в «свой туалет» не сходишь без oформления цифровой подписи на обработку персональных данных. :)

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое