Чем новой почте угрожает учечка личных данных клиентов
6 февраля, в украинском медиапространстве начала активно распространяться информация об утечке в Даркнет базы данных крупнейшего частного почтового оператора страны — "Новой почты". Все украинские СМИ, разместившие об этом информацию, ссылались на пост в Facebook Егора Папышева, позиционирующего себя консультантом по кибербезопасности. "Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов "Новая почта". Как таковых баз две: первая содержит информацию порядка полумиллиона человек с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email. Вторая — 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон)", — написал Папышев на своей странице.
По словам консультанта он связался с продавцом этой базы и попросил его прислать значения записей из базы, предоставив ему несколько номеров телефонов для идентификации. "Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом. Ответ пришел меньше, чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них)", — утверждает консультант.
По его оценкам, данные в базе предоставлены за 2016-2017 год. Кроме того, позднее он добавил, что существуют и другие признаки, что речь идет о базе именно "Новой почты", однако не раскрывал подробностей этого.
Политика отрицания
Позже в комментариях к записи Папышева появилась информация о том, что около недели назад на одного из сотрудников почтового оператора завели уже уголовное дело по этому вопросу. Источники Delo.UA в компании также рассказали о том, что ранее внутри компании появилось сообщение о необходимости "принять меры безопасности в обращении с информацией в связи с крупной утечкой баз данных". По данным источников, в данном деле замешаны двое людей, оба из Харькова. Один из них передал пароль от базы данных, а второй занимался копированием и распространением информации. Их данные уже переданы правоохранителям, и они готовятся предстать перед судом.
"Что касается случая, о котором сегодня появилась информация в соцсети, то база на скриншоте в посте может принадлежать любому другому украинскому предприятию, она не содержит никаких признаков того, что это данные "Новой почты", — комментирует директор по информационным технологиям компании Александр Евстратов. Он также утверждает, что обнародованная таблица содержит данные, которые отсутствуют в текущей базе "Новой почты" и в целом называет информацию в ней нерелевантной. Евстратов также добавляет, что сейчас в компании внедряется новая ИТ-программа, в которой особое внимание уделяется информационной безопасности и механизмам защиты данных.
Как считает операционный директор компании в сфере кибербезопасности 10Guards Виталий Якушев, технически утечка базы данных могла произойти двумя способами. "Вариантов всего может быть два: либо удаленная атака, либо инсайдерская, ответить сможет только цифровая криминалистика (forensic)", — отмечает он. При этом добавив, что избежать взлома в наше время практически невозможно, можно усложнить реализацию взлома и стоимость атаки, а также снизить ущерб после взлома. По словам Якушева, персональные данные всегда были "лакомым кусочком" для киберпреступников и легко монетизировались даже в странах, где не предусмотрено жесткое наказание за утечку персональных данных. "Вступление в силу санкций Генерального регламента по защите персональных данных Европейского Союза (GDPR) принесет киберзлоумышленникам новый вариант монетизации — вымогательство денег после взлома: выкупите у нас вашу базу с персональными данными или мы ее опубликуем, а вы заплатите огромный штраф (4% от годового оборота или 10-20 млн евро)", — рассказывает эксперт.
А был ли мальчик?
В то же время визионер проекта Cioneer Андрей Погорелый, проанализировав скриншот выставленной в сеть базы данных, высказал мнение, что это вброс и попытка отвлечь общество от чего-то более важного. "Сделано крайне непрофессионально, значит сильно торопились", — отметил он и привел некоторые аргументы.
По мнению руководителя практики корпоративной безопасности бизнеса юркомпании "Dictum" Евгения Мирошникова, по имеющимся скриншотам нельзя однозначно идентифицировать, что база данных принадлежит "Новой почте". "Наличие в списке почтовых адресов с доменом [at]novaposhta.com.ua может свидетельствовать о потенциальной связи баз и "Новой почты", — отмечает Мирошников. И добавляет, что основным фактором в пользу этой версии можно назвать реакцию пресс-службы компании, которая не отрицала, что база данных принадлежит "Новой почты", а указала на ее нерелевантность.
Отвечая на вопрос о том, мог ли быть взлом внешним фактором или внутренним, эксперт склоняется в пользу последнего. "С большой долей вероятности этот слив является последствием корпоративной коррупции или желания навредить компании, чувствуя свою безнаказанность, со стороны обиженного сотрудника", — считает Мирошников.
Помимо прочего, в сети указывают на то, что стоимость этой базы данных — несмотря на объем — сравнительно невысока, что делает ее привлекательным объектом для разнообразных спамеров. Эксперты отмечают, что, несмотря на слив части базы с номерами паспортов, вряд ли другие организации, кроме рассылочных агентств, заинтересуются эти документом.
Dura lex sed lex
Что касается юридического аспекта данного дела, то, если информация об утечке персональных данных подтвердится, эксперты считают, что уголовного дела избежать не удастся. "Я бы порекомендовал "Новой почте" внутреннее расследование и даже заказать экспертизу, чтобы понять, было ли вмешательство извне или изнутри", — сообщил Delo.UA партнер юридической компании ESQUIRES, адвокат Афанасий Карлин. В случае если речь идет о внешнем взломе, компания должна будет обратиться с заявлением в киберполицию и нести ответственность за данное преступление будут хакеры.
Если же окажется, что виноватым в утечке информации признают сотрудника "Новой почты", возможны два варианта развития уголовного дела. Если утечка произошла по халатности сотрудника, то к нему применима статья 363 Уголовного кодекса, предусматривающая наказание за нарушение правил защиты информации. За такое предусмотрен штраф от 500 до 1 тыс. необлагаемых минимумов доходов и может грозить срок до 3 лет лишения свободы. Если же будет установлено, что действия были совершены преднамеренно, то это будет караться сроком лишения свободы до 3 лет.
Как отметил партнер компании Sensum Дмитрий Боднарчук, в таком случае возможно применение статьи 182, которая работает как обвинения частного порядка. "То есть пока вы лично не напишите заявление о совершении преступления, расследовать его не будут", — отметил юрист. Эта статья применяется за незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице. Санкция этой статьи предусматривает наказание: штраф до 50 необлагаемых минимумов доходов граждан или исправительные работы на срок до двух лет, или арест на срок до шести месяцев, или ограничение свободы на срок до трех лет.
При этом, как добавляет старший юрист Sayenko Kharenko Олег Климчук, украинское законодательство не содержит значительных штрафов, привязанных к обороту компании подобно европейскому GDPR. "Нет также обязанности информировать регулятора (Уполномоченного Верховной Рады Украины по правам человека) о факте утечки данных", — подчеркивает Климчук.
Хоть утечки базы данных в нынешнее время нередки, столь крупных инцидентов за последние годы в медиапространстве не наблюдалось, что так или иначе скажется на репутации "Новой почты". Впрочем, если слив базы все же окажется фейком, останется вопрос — кто же запустил такую информационную кампанию против почтовика.
По материалам: delo.ua