По информации сервиса поиска утечек и мониторинга даркнета DLBI, утекла база данных клиентов медицинской лаборатории «Гемотест». Данные клиентов лаборатории продают на теневом форуме. В утечке более 30 млн строк с персональными данными.
Согласно заявлению продавца, в базе миллионы строк со столбцами, содержащими ПД: ФИО, дата рождения, домашний адрес, номер телефона, электронная почта, данные паспорта. В утечке представлены данные о клиентах разных регионов РФ, включая Москву и МО.
Эксперты DLBI уточнили, что данная база уже появлялась ранее в закрытом доступе у очень ограниченного числа лиц. По их информации утечка произошла из-за обнаруженной хакерами уязвимости в работе IT-системы лаборатории.
Анализ тестового образца данных показал, что продаваемая сейчас база была выгружена из информационной системы лаборатории не раньше 22 апреля 2022 года. DLBI считает, что уязвимость, из-за которой произошел инцидент с утечкой уже несколько раз, до сих пор не закрыта.
Роскомнадзор пока не заявлял о проведении расследования по этой возможной утечке.
[обновлено на 17:30 мск] На теневом форуме появилось ещё одно объявление от другого продавца с базой заказов (анализов), предположительно лаборатории «Гемотест», а также информацией об уязвимости для доступа к серверу базы данных лаборатории. Продавец утверждает, что утечке содержится 554 млн заказов с данными: ФИО, год рождения, дата и состав заказа.
4 мая «Гемотест» начал расследование инцидента с возможной утечкой базы данных клиентов, а Роскомнадзор обратился по поводу этой утечки в прокуратуру.
Предыдущая крупная утечка была недавно у Яндекса. Тогда компания была оштрафована спустя 51 день после инцидента.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников.
Согласно данным по этой утечке, информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая имена и фамилии клиентов, номера телефонов, полный адрес доставки.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.
25 марта 2022 года суд Москвы получил протокол от Роскомнадзора на сервис «Яндекс.Еда», зарегистрировал дело №05-0413/101/2022 об административном правонарушении. Согласно описанию дела, ООО «Яндекс.Еда» нарушило законодательство в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Компании грозило административное наказание до 100 тысяч рублей.
21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.
