Компания «Ситимобил» обратилась в правоохранительные органы в связи с утечкой персональных данных водителей и обезличенной информации клиентов. Причина обращения в полицию — шантаж со стороны злоумышленников по поводу выкладывания новых данных компании в общий доступ, если им не будет предоставлен выкуп. Компания «в любом случае берет на себя ответственность за происходящее, и все виновные в произошедшем понесут наказание». «Мы сожалеем, что допустили такую ситуацию, которая показала необходимость принятия оперативных мер для улучшения системы информационной защиты», — пояснил СМИ представитель «Ситимобил».
По словам представителя компании, с 23 декабря продолжается внутреннее расследование, «которое позволит определить, какие ещё данные стали доступны злоумышленникам».
«Данные, которые оказались сейчас в публичном доступе, являются обезличенными номерами телефонов и количественными показателями поездок, осуществленных с помощью сервиса. Тот факт, что большинство номеров уже были доступны в базе слитых номеров в связи с крупными утечками других сервисов ранее, не снижает уровень нашей ответственности», — пояснили в «Ситимобиле».
Там добавили, что компания «не хранит на серверах широкого перечня персональных данных пользователей, а старается ограничиваться обезличенными данными, которые бы были достаточны для достижения целей их обработки». «Несмотря на это, руководство компании приносит извинения каждому пользователю и водителю парков-партнёров, чьи личные данные оказались в открытом доступе», — отметила в «Ситимобиле».
Компания уведомила Роскомнадзор об инциденте в установленные законом сроки, а также обратилась в полицию.
«Злоумышленники выходили на представителей компании с угрозами выложить в публичный доступ более расширенную информацию и шантажом. В Роскомнадзор в течение 24 часов было направлено уведомление о случае утечки, а также в течение 72 часов с момента инцидента было направлено письмо с указанием принятых мер для защиты информации в соответствии с законом РФ», — рассказал СМИ представитель «Ситимобил».
«Правоохранительные органы также уведомлены о произошедшем для дальнейшего оказания содействия, было подано заявление в полицию в связи с данным инцидентом безопасности», — рассказали СМИ в «Ситимобиле».
23 декабря 2022 года профильные эксперты сообщили, что хакеры опубликовали 4 149 фотографий (в формате JPG) паспортов водителей службы такси «Ситимобил».
Фотографии паспортов находились на сервере, путь к которому относится к доменной зоне city-mobil.ru (официальный сайт «Ситимобила»), уточняется в сообщениях об утечке.
Представитель «Ситимобил» пояснил СМИ, что в компании проводят расследование факта утечки базы фотографий с паспортами водителей партнеров.
«На данный момент мы проводим внутреннее расследование, хранились ли украденные данные в нашей системе, и как могла произойти утечка данных. По результатам расследования будет применено дисциплинарное взыскание к ответственным. Мы в любом случае берем на себя ответственность за происходящее, так как мы отвечаем за безопасность данных на наших ресурсах», — сообщили в пресс-службе. В компании приносят извинения каждому водителю парков-партнеров, чьи личные данные оказались в открытом доступе.
«Также мы сформировали и готовим к отправке уведомление в Роскомнадзор о произошедшей утечке данных в соответствии с законом РФ. Руководством компании создан штаб по детальному разбору данной ситуации с целью не допустить подобных инцидентов в дальнейшем», — отметили в пресс-службе «Ситимобил».
С начала года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
В Роскомнадзоре пояснили, что ведомство проверит информацию о возможной утечке персональных данных водителей партнёров агрегатора такси «Ситимобил».
27 декабря профильные эксперты сообщили, что хакеры после раскрытия сканов паспортов 4 149 водителей опубликовали в открытом доступе почти 4 млн номера телефонов водителей и клиентов службы такси «Ситимобил».
По данным Telegram-канала Data1eaks, в файле по новой утёчке содержатся 80 694 уникальных телефонов, которые принадлежат водителям и 3 906 983 уникальных номера телефонов, которые принадлежат пассажирам. Причём там указаны телефоны из различных регионов страны.
Помимо номеров телефонов, в выложенной в открытом доступе файле содержатся уникальные идентификаторы клиентов, сведения о количестве поездок и заказов, а также прочая служебная информация. ФИО клиентов и адреса заказов там отсутствуют.
Согласно заявлению хакеров, у них есть другие данные по водителям и клиентам из баз данных «Ситимобила», которые они могут выложить в открытый доступ в ближайшее время.
Самая «свежая» запись в новой выгрузке датируется 17 ноября 2022 годом.
