Роскомнадзор запросил у DNS детальную информацию об утечке персональных данных клиентов компании.
«По факту утечки будет проведена проверка в соответствии с законодательством. При проверке будет учтена информация уведомления об инциденте, которую DNS предоставила в Роскомнадзор 2 октября», — сообщил СМИ представитель ведомства.
В случае подтверждения факта утечки в компании и получения регулятором доказательств несоблюдения ею сохранности персональных данных DNS грозит штраф до 100 тыс. рублей, согласно ст. 13.11 КоАП РФ. Представитель РКН ранее советовал в таких ситуациях всем пострадавшим клиентам требовать от компаний за компрометацию ПД соразмерной компенсации как в досудебном, так и в судебном порядке.
2 октября DNS подтвердила факт утечки персональных данных пользователей интернет-магазина, клиентов и сотрудников компании.
«В компании DNS была обнаружена утечка персональных данных клиентов и сотрудников. В настоящее время проводится расследование и устранение последствий атаки. Мы видим, что атака производилась группировкой хакеров. Взлом производился с серверов, расположенных за пределами РФ. Мы уже нашли пробелы в защите нашей информационной инфраструктуры и ведём работы по усилению информационной безопасности в компании», — пояснили инцидент в DNS.
В компании рассказали, что хакерам не достались пароли пользователей и данные банковских карточек, которые хранятся на стороне сервиса «ЮMoney», а не на серверах DNS.
1 октября неизвестный хакер, ранее публиковавший в сети данные пользователей образовательного портала GeekBrains, логистической компании СДЭК и «Онлайн Трейд» (onlinetrade.ru), выложил в открытый доступ часть базы данных пользователей интернет-магазина DNS.
Эксперты сервиса поиска утечек и мониторинга даркнета DLBI рассказали, что частичный дамп утечки содержит 16 524 282 записи с данными покупателей DNS, включая:
- имя и фамилия (не для всех) пользователей;
- адрес электронной почты почты (7,7 млн уникальных адресов);
- номер телефона (11,4 млн уникальных номеров);
- имя пользователя.
В DLBI уточнили, что, база данных была выгружена не ранее 19 сентября 2022 года, судя по информации из дампа.
Опубликованная база данных пользователей включает в себя как данные покупателей, зарегистрированных на сайте, так и тех, кто совершал покупку без регистрации. Последним присваивается идентификатор формата: «Пришелец-…..». Ключевые данные для всех пользователей интернет-магазина в утечке одинаковые: ФИО, номер телефона и адрес электронной почты.
