По информации сервиса поиска утечек и мониторинга даркнета DLBI, на продажу выставлена утечка «Билайна» от сентября 2021 года с почти 1,5 млн персональных данных абонентов оператора связи, подключённых по тарифам проводного широкополосного интернета.
Продавец выложил на площадке тестовый образец базы со строками клиентов «Билайна» из Астрахани, Тольятти и Санкт-Петербурга. Там есть ФИО, домашний адрес, номер телефона, паспортные данные и дата рождения.
14 сентября 2021 года первым о массовой утечке данных абонентов «Билайна» сообщил эксперт по информационной безопасности компании Security Discovery Боб Дьяченко.
При попытке связаться с ИБ-специалистами компании в «Билайне» Дьяченко посоветовали написать им в техподдержку на русском языке, а также назвать логин, ФИО и номер телефона для обратной связи. В начале сентября прошлого года Дьяченко обнаружил свободно доступный Elasticsearch-сервер, в индексах которого содержатся данные клиентов российского оператора связи Beeline.
15 сентября «Билайн» признала факт утечки и уточнила, что в базе данных размером около 4,2 ТБ содержатся только технические логи небольшой части абонентов фиксированного интернета. Также в компании сообщили, что «провели дополнительное расследование инцидента и убедились, что все данные находятся под надёжной защитой, а клиентам ничего не угрожает». Как компания будет компенсировать клиентам эту утечку, представители «Билайна» не пояснили.
Фактически утекшие данные содержат адрес абонента, его ФИО, паспортные данные, электронную почту и номер телефона.
Эксперты оценили, что в утечке могут быть от 1,5 до 2 млн строк с ПД клиентов.
Роскомнадзор после обнародования в СМИ фактов утечки запросил у компании «Билайн» информацию об утечке персональных данных абонентов проводного интернета. В случае подтверждения факта утечки в компании и получения регулятором доказательств несоблюдения ею сохранности персональных данных, «Билайн» грозил штраф до 100 тыс. рублей, согласно ст. 13.11 КоАП РФ. Представитель РКН посоветовал всем пострадавшим абонентам «Билайна» требовать от оператора связи соразмерной компенсации как в досудебном, так и в судебном порядке.
По факту этой утечки «Билайн» так и не был оштрафован за хранение ПД клиентов на открытом Elasticsearch-сервере.
