Утечка личных данных: чем это угрожает "Новой почте" и ее клиентам

Утечка личных данных: чем это угрожает "Новой почте" и ее клиентам
Разбираемся в скандале вокруг слива баз данных почтового оператора
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Во вторник, 6 февраля, в украинском медиапространстве начала активно распространяться информация об утечке в Даркнет базы данных крупнейшего частного почтового оператора страны — "Новой почты". Все украинские СМИ, разместившие об этом информацию, ссылались на пост в Facebook Егора Папышева, позиционирующего себя консультантом по кибербезопасности. "Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов "Новая почта". Как таковых баз две: первая содержит информацию порядка полумиллиона человек с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email. Вторая — 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон)", — написал Папышев на своей странице.

Скрин базы данных, выложенный Папышевым

По словам консультанта он связался с продавцом этой базы и попросил его прислать значения записей из базы, предоставив ему несколько номеров телефонов для идентификации. "Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом. Ответ пришел меньше, чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них)", — утверждает консультант.

По его оценкам, данные в базе предоставлены за 2016-2017 год. Кроме того, позднее он добавил, что существуют и другие признаки, что речь идет о базе именно "Новой почты", однако не раскрывал подробностей этого.

Еще позднее Папышев обновил свою запись, добавив, что передал все необходимые данные Департаменту киберполиции Национальной полиции Украины, однако к моменту публикации материала там не подтвердили получение документации.

Политика отрицания

Позже в комментариях к записи Папышева появилась информация о том, что около недели назад на одного из сотрудников почтового оператора завели уже уголовное дело по этому вопросу. Источники Delo.UA в компании также рассказали о том, что ранее внутри компании появилось сообщение о необходимости "принять меры безопасности в обращении с информацией в связи с крупной утечкой баз данных". По данным источников, в данном деле замешаны двое людей, оба из Харькова. Один из них передал пароль от базы данных, а второй занимался копированием и распространением информации. Их данные уже переданы правоохранителям, и они готовятся предстать перед судом.

Официально компания утечку базы данных не признает.

"Что касается случая, о котором сегодня появилась информация в соцсети, то база на скриншоте в посте может принадлежать любому другому украинскому предприятию, она не содержит никаких признаков того, что это данные "Новой почты", — комментирует директор по информационным технологиям компании Александр Евстратов. Он также утверждает, что обнародованная таблица содержит данные, которые отсутствуют в текущей базе "Новой почты" и в целом называет информацию в ней нерелевантной. Евстратов также добавляет, что сейчас в компании внедряется новая ИТ-программа, в которой особое внимание уделяется информационной безопасности и механизмам защиты данных.

Ответ сотрудников "Новой почты" одному из пользователей Facebook

Как считает операционный директор компании в сфере кибербезопасности 10Guards Виталий Якушев, технически утечка базы данных могла произойти двумя способами. "Вариантов всего может быть два: либо удаленная атака, либо инсайдерская, ответить сможет только цифровая криминалистика (forensic)", — отмечает он. При этом добавив, что избежать взлома в наше время практически невозможно, можно усложнить реализацию взлома и стоимость атаки, а также снизить ущерб после взлома. По словам Якушева, персональные данные всегда были "лакомым кусочком" для киберпреступников и легко монетизировались даже в странах, где не предусмотрено жесткое наказание за утечку персональных данных. "Вступление в силу санкций Генерального регламента по защите персональных данных Европейского Союза (GDPR) принесет киберзлоумышленникам новый вариант монетизации — вымогательство денег после взлома: выкупите у нас вашу базу с персональными данными или мы ее опубликуем, а вы заплатите огромный штраф (4% от годового оборота или 10-20 млн евро)", — рассказывает эксперт.

А был ли мальчик?

В то же время визионер проекта Cioneer Андрей Погорелый, проанализировав скриншот выставленной в сеть базы данных, высказал мнение, что это вброс и попытка отвлечь общество от чего-то более важного. "Сделано крайне непрофессионально, значит сильно торопились", — отметил он и привел некоторые аргументы.

1. У Юриев Владимировичей совпадает фамилия и не совпадает электронная почта и телефон 2. 4 Игоря Евгеньевича с одинаковой фамилией кажется много для списка из 22 человек 3. У Александра Сергеевича фамилия тоже одинаковая (но только на русском и украинском языке), а номера телефонов разные 4. Номера телефонов в Украине не начинаются на цифру +380 12…, а этих номеров несколько, значит ошибка оператора исключена 5. Длина поля "телефон" в справочнике разная 6. Паспорта с серией МТ в Украине не выдавались

По мнению руководителя практики корпоративной безопасности бизнеса юркомпании "Dictum" Евгения Мирошникова, по имеющимся скриншотам нельзя однозначно идентифицировать, что база данных принадлежит "Новой почте". "Наличие в списке почтовых адресов с доменом [at]novaposhta.com.ua может свидетельствовать о потенциальной связи баз и "Новой почты", — отмечает Мирошников. И добавляет, что основным фактором в пользу этой версии можно назвать реакцию пресс-службы компании, которая не отрицала, что база данных принадлежит "Новой почты", а указала на ее нерелевантность.

Отвечая на вопрос о том, мог ли быть взлом внешним фактором или внутренним, эксперт склоняется в пользу последнего. "С большой долей вероятности этот слив является последствием корпоративной коррупции или желания навредить компании, чувствуя свою безнаказанность, со стороны обиженного сотрудника", — считает Мирошников.

Помимо прочего, в сети указывают на то, что стоимость этой базы данных — несмотря на объем — сравнительно невысока, что делает ее привлекательным объектом для разнообразных спамеров. Эксперты отмечают, что, несмотря на слив части базы с номерами паспортов, вряд ли другие организации, кроме рассылочных агентств, заинтересуются эти документом.

Dura lex sed lex

Что касается юридического аспекта данного дела, то, если информация об утечке персональных данных подтвердится, эксперты считают, что уголовного дела избежать не удастся. "Я бы порекомендовал "Новой почте" внутреннее расследование и даже заказать экспертизу, чтобы понять, было ли вмешательство извне или изнутри", — сообщил Delo.UA партнер юридической компании ESQUIRES, адвокат Афанасий Карлин. В случае если речь идет о внешнем взломе, компания должна будет обратиться с заявлением в киберполицию и нести ответственность за данное преступление будут хакеры.

При этом, если будет установлено, что такой взлом стал возможен по причине недостаточной защиты информационных систем в компании, санкции могут ждать и ее.

Если же окажется, что виноватым в утечке информации признают сотрудника "Новой почты", возможны два варианта развития уголовного дела. Если утечка произошла по халатности сотрудника, то к нему применима статья 363 Уголовного кодекса, предусматривающая наказание за нарушение правил защиты информации. За такое предусмотрен штраф от 500 до 1 тыс. необлагаемых минимумов доходов и может грозить срок до 3 лет лишения свободы. Если же будет установлено, что действия были совершены преднамеренно, то это будет караться сроком лишения свободы до 3 лет.

Кроме того, в суд на компанию могут подать и сами пользователи, которые обнаружат, например, увеличение спама на свои средства коммуникации.

Как отметил партнер компании Sensum Дмитрий Боднарчук, в таком случае возможно применение статьи 182, которая работает как обвинения частного порядка. "То есть пока вы лично не напишите заявление о совершении преступления, расследовать его не будут", — отметил юрист. Эта статья применяется за незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице. Санкция этой статьи предусматривает наказание: штраф до 50 необлагаемых минимумов доходов граждан или исправительные работы на срок до двух лет, или арест на срок до шести месяцев, или ограничение свободы на срок до трех лет.

При этом, как добавляет старший юрист Sayenko Kharenko Олег Климчук, украинское законодательство не содержит значительных штрафов, привязанных к обороту компании подобно европейскому GDPR. "Нет также обязанности информировать регулятора (Уполномоченного Верховной Рады Украины по правам человека) о факте утечки данных", — подчеркивает Климчук.

Хоть утечки базы данных в нынешнее время нередки, столь крупных инцидентов за последние годы в медиапространстве не наблюдалось, что так или иначе скажется на репутации "Новой почты". Впрочем, если слив базы все же окажется фейком, останется вопрос — кто же запустил такую информационную кампанию против почтовика. 

Узнайте, как защитить свой бизнес от кибератак на конференции "CyberSafe.next: защита государства и бизнеса"