26 июля 2022 года оператор связи «Билайн» опроверг новую утечку данных пользователей. По мнению компании, в открытый доступ попала старая информация о клиентах, датированная 2015 годом. На то, что в утечке есть паспортные данные клиентов от 2019 года и позже, в компании просто не обратили внимания.
«Мы проверили данные по утечке и пришли к выводу, что опубликованная информация датирована 2015 годом. Иными словами, никакой новой информации о наших клиентах там нет, только та, что попадала в открытый доступ ранее», — заявили в «Билайн».
Ранее сегодня сервис поиска утечек и мониторинга даркнета DLBI сообщил, что на продажу была выставлена утечка «Билайна» от сентября 2021 года с почти 1,5 млн персональных данных абонентов оператора связи, подключённых по тарифам проводного широкополосного интернета.
Продавец выложил на площадке тестовый образец базы со строками клиентов «Билайна» из Астрахани, Тольятти и Санкт-Петербурга. Там есть ФИО, домашний адрес, номер телефона, паспортные данные и дата рождения. А также информация, что клиенты впервые входили в систему провайдера в 2019 и 2021 годах. Это немного не соответствует заявлению, что утечке более семи лет.
14 сентября 2021 года первым о массовой утечке данных абонентов «Билайна» сообщил эксперт по информационной безопасности компании Security Discovery Боб Дьяченко.
При попытке связаться с ИБ-специалистами компании в «Билайне» Дьяченко посоветовали написать им в техподдержку на русском языке, а также назвать логин, ФИО и номер телефона для обратной связи. В начале сентября прошлого года Дьяченко обнаружил свободно доступный Elasticsearch-сервер, в индексах которого содержатся данные клиентов российского оператора связи Beeline.
15 сентября «Билайн» признала факт утечки и уточнила, что в базе данных размером около 4,2 ТБ содержатся только технические логи небольшой части абонентов фиксированного интернета. Также в компании сообщили, что «провели дополнительное расследование инцидента и убедились, что все данные находятся под надёжной защитой, а клиентам ничего не угрожает». Как компания будет компенсировать клиентам эту утечку, представители «Билайна» не пояснили.
Фактически утекшие данные содержат адрес абонента, его ФИО, паспортные данные, электронную почту и номер телефона.
Эксперты оценили, что в утечке могут быть от 1,5 до 2 млн строк с ПД клиентов.
Роскомнадзор после обнародования в СМИ фактов утечки запросил у компании «Билайн» информацию об утечке персональных данных абонентов проводного интернета. В случае подтверждения факта утечки в компании и получения регулятором доказательств несоблюдения ею сохранности персональных данных, «Билайн» грозил штраф до 100 тыс. рублей, согласно ст. 13.11 КоАП РФ. Представитель РКН посоветовал всем пострадавшим абонентам «Билайна» требовать от оператора связи соразмерной компенсации как в досудебном, так и в судебном порядке.
По факту этой утечки «Билайн» так и не был оштрафован за хранение ПД клиентов на открытом Elasticsearch-сервере.
