Иллюстрация: pixebay.com
Миллионы данных и продавцах, покупателях и сделках между ними оказались в свободном доступе.
Вчера на нескольких telegram-каналах появились сообщения о новом архиве данных пользователей сервиса доставки СДЭК. В трех файлах – сотни миллионов строк об отправителях, получателях и их заказах, включая ФИО, адреса электронной почты, названия компаний, ID отправителя/получателя, коды пунктов самовывоза, телефоны, почтовые адреса и др.
Представители СДЭК пока ограничились комментариями в СМИ о начатом внутреннем расследовании.
Эксперты РБК, проанализировав утекшие файлы, говорят о том, что в них представлены уникальные данные на 25 млн клиентов и 30 тыс. контрагентов.
При этом всего 5 месяцев назад, в конце февраля произошла первая большая утечка из СДЭКа: тогда в сети оказались данные 19 млн пользователей. СДЭК подтвердил ту утечку и заявил о хакерских атаках, но на сегодняшний день никаких подробностей того, как произошла утеря данных, так и не сообщал. Пострадавшие клиенты сервиса в июне подали к компании коллективный иск.
Крупнейший «слив»
По мнению опрошенных РБК экспертов, утечка из СДЭКа затрагивает треть интернет-пользователей России и, вероятно, стала крупнейшей в 2022 году.
От себя отметим, что СДЭК был единственной логистической компанией на рынке b2c, которая уже несколько лет строго требовала при получении посылок не только достоверные данные заказа, но и паспортные данные получателей. Т.е. ID заказа было недостаточно, клиенту не отдавали посылку, если он не заполнял накладную с указанием данных паспорта. В контексте этого даже трудно представить, какие еще данные и на в каком количестве могли попасть в руки злоумышленников и что нас может ожидать в будущем.
Год утечек
Скандалы с утерей данных пользователей различными онлайн-сервисами и появлением информации в публичном доступе происходят с завидной регулярностью с начала 2022 года. Более того, некие интересанты собирают данные «сливов» и вносят данные граждан РФ в единую базу, вынесенную на отдельный интернет-ресурс с хорошо проработанной визуализацией: вся информация о людях нанесена на карту поадресно.
Компании пока отделываются небольшими штрафами, а подробностей о причинах утечек и деталей внутренних разбирательств не сообщила пока ни одна. В свете такой ситуации пользователи начали объединяться и подавать коллективные иски к компаниям, – так произошло с пострадавшими клиентами СДЭКа и «Яндекс. Еды».
Закон о наказании за утерю данных – ждем
На фоне многочисленных непрекращающихся скандалов Минцифры начало разработку законопроекта об оборотных штрафах за утечки персональных данных. Первоначальная версия закона (о нем стало известно в мае) предполагала штраф в размере 1% от оборота (с возможностью повышения до 3%).
Однако не далее как на этой неделе министерство объявило о пересмотре собственного проекта закона в сторону послабления: теперь предполагается штрафовать компании за факт первой утечки минимально по фиксированной ставке, а оборотные штрафы применять уже в случае повторных потерь данных.
Но законотворчество – история, как правило, не быстрая; а законопроект пока в стадии разработки, так что о вносимых изменениях мы наверняка прочитаем еще не раз. Но сам закон, безусловно, мы очень ждем.