Новая утечка в СДЭКе

15.07.2022 г

Иллюстрация: pixebay.com

Миллионы данных и продавцах, покупателях и сделках между ними оказались в свободном доступе.

Вчера на нескольких telegram-каналах появились сообщения о новом архиве данных пользователей сервиса доставки СДЭК. В трех файлах – сотни миллионов строк об отправителях, получателях и их заказах, включая ФИО, адреса электронной почты, названия компаний, ID отправителя/получателя, коды пунктов самовывоза, телефоны, почтовые адреса и др.

Представители СДЭК пока ограничились комментариями в СМИ о начатом внутреннем расследовании.

Эксперты РБК, проанализировав утекшие файлы, говорят о том, что в них представлены уникальные данные на 25 млн клиентов и 30 тыс. контрагентов.

При этом всего 5 месяцев назад, в конце февраля произошла первая большая утечка из СДЭКа: тогда в сети оказались данные 19 млн пользователей. СДЭК подтвердил ту утечку и заявил о хакерских атаках, но на сегодняшний день никаких подробностей того, как произошла утеря данных, так и не сообщал. Пострадавшие клиенты сервиса в июне подали к компании коллективный иск.

Крупнейший «слив»­ 

По мнению опрошенных РБК экспертов, утечка из СДЭКа затрагивает треть интернет-пользователей России и, вероятно, стала крупнейшей в 2022 году.

От себя отметим, что СДЭК был единственной логистической компанией на рынке b2c, которая уже несколько лет строго требовала при получении посылок не только достоверные данные заказа, но и паспортные данные получателей. Т.е. ID заказа было недостаточно, клиенту не отдавали посылку, если он не заполнял накладную с указанием данных паспорта. В контексте этого даже трудно представить, какие еще данные и на в каком количестве могли попасть в руки злоумышленников и что нас может ожидать в будущем.

Год утечек

Скандалы с утерей данных пользователей различными онлайн-сервисами и появлением информации в публичном доступе происходят с завидной регулярностью с начала 2022 года. Более того, некие интересанты собирают данные «сливов»­ и вносят данные граждан РФ в единую базу, вынесенную на отдельный интернет-ресурс с хорошо проработанной визуализацией: вся информация о людях нанесена на карту поадресно.

Компании пока отделываются небольшими штрафами, а подробностей о причинах утечек и деталей внутренних разбирательств не сообщила пока ни одна. В свете такой ситуации пользователи начали объединяться и подавать коллективные иски к компаниям, – так произошло с пострадавшими клиентами СДЭКа и «Яндекс. Еды»­.

Закон о наказании за утерю данных – ждем

На фоне многочисленных непрекращающихся скандалов Минцифры начало разработку законопроекта об оборотных штрафах за утечки персональных данных. Первоначальная версия закона (о нем стало известно в мае) предполагала штраф в размере 1% от оборота (с возможностью повышения до 3%).

Однако не далее как на этой неделе министерство объявило о пересмотре собственного проекта закона в сторону послабления: теперь предполагается штрафовать компании за факт первой утечки минимально по фиксированной ставке, а оборотные штрафы применять уже в случае повторных потерь данных. 

Но законотворчество – история, как правило, не быстрая; а законопроект пока  в стадии разработки, так что о вносимых изменениях мы наверняка прочитаем еще не раз. Но сам закон, безусловно, мы очень ждем.

Рекомендуем почитать