Данные почти 9 миллионов клиентов «Билайна» утекли в сеть
В открытом доступе обнаружена еще одна база данных, на этот раз — оператора сотовой связи «Билайн» со сведениями почти о 9 млн пользователей, подключивших домашний интернет.
Проверка “Ъ” показала, что данные актуальны. При этом информации в базе, по словам экспертов, достаточно для атак с использованием методов социальной инженерии, а способов борьбы с мошенниками такого рода до сих пор нет.
Источники “Ъ” в банковских службах информационной безопасности сообщили о появившейся в открытом доступе базе данных клиентов «Билайна» и поделились ссылкой для ее загрузки. Позднее информация об этом появилась в Telegram-каналах. База содержит 8,7 млн записей со сведениями о клиентах, подключивших домашний интернет через «Билайн» по всей России. Проверка показала, что данные актуальны — сотрудники “Ъ”, у которых подключен или был подключен интернет «Билайна», нашли в базе свое полное ФИО, адрес, мобильный и домашний телефоны. Причем были выявлены как действующие, так и закрытые договоры, поскольку в базе содержатся данные по состоянию на ноябрь 2016 года.
8,7 миллиона действующих и бывших клиентов «Билайна» попали в базу данных с персональной информацией, выложенную в сеть.
В пресс-службе «Билайна» сообщили, что провели расследование инцидента. Там обратили внимание, что на данный момент абонентская база проводного ШПД у «Билайна» менее 3 млн. «Данная информация (попавшая в открытый доступ.— “Ъ”) — небольшая часть базы 2017 года. Утечку данных мы зафиксировали два года назад,— пояснили там.— Все виновные были выявлены и понесли наказание, на текущий момент большая часть информации — это уже устаревшие данные». Тем не менее служба безопасности «Билайн» продолжает вести расследование инцидента, заверили в компании.
Тот факт, что многие граждане из базы, оказавшейся в открытом доступе, уже не являются клиентами «Билайна», не снижает их риски. По словам собеседника “Ъ”, близкого к ЦБ, представленная информация может иметь ценность для мошенников, похищающих средства граждан с помощью социальной инженерии (введение в заблуждение за счет имеющейся информации с целью дальнейшего выяснения у клиента данных, необходимых для хищения его средств, в частности полного номера банковской карты, CVV-кода и др.). По словам главы управления информбезопасности банка «Ренессанс Кредит» Дмитрия Стурова, сведения из подобных баз могут быть также скомпилированы с другими данными, и потому появление подобного массива сведений в открытом доступе несет в себе определенные риски. «Например, существуют скрипты, которые позволяют по номеру телефона через мобильные банки пробить номер карты»,— поясняет господин Стуров.
В то же время, по мнению экспертов, именно эта база вряд ли может представлять ценность для профессиональных мошенников.«Подобные базы, не имеющие банковской информации — номеров карт, договоров, историй операций и т. д., активно продаются,— говорит начальник отдела по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов.— Те, кто профессионально занимается прозвоном банковских клиентов, давно уже получили к ним доступ». Однако для тех, кто только начинает осваивать «ремесло» социального инженера, подобные шпаргалки могут быть полезны, впрочем, как и для агрессивного маркетинга, указывает собеседник “Ъ” в банке из топ-50. По словам главы ChronoPay Павла Врублевского, утечки большого объема данных вряд ли являются «случайными». Но какие бы цели ни преследовали выкладывающие в открытый доступ подобную информацию, утечки несут риски для людей, чьи данные могут попасть в руки злоумышленников, уверены эксперты.
Пока решения у проблемы социальной инженерии и растущего объема данных, доступных для мошенников, нет.
По словам бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, сейчас единственно возможный способ борьбы со сливом и распространением баз данных — выявлять и привлекать к ответственности тех, кто этим занимается. «На мой взгляд, не выход наказывать тех, у кого утекли сведения, европейский вариант многомиллионных штрафов за утечку данных также не сработает,— указывает господин Лукацкий.— Другое дело, что в настоящее время ни УПК, ни следственные органы, ни суды не готовы к рассмотрению подобных дел».
Проверка “Ъ” показала, что данные актуальны. При этом информации в базе, по словам экспертов, достаточно для атак с использованием методов социальной инженерии, а способов борьбы с мошенниками такого рода до сих пор нет.
Источники “Ъ” в банковских службах информационной безопасности сообщили о появившейся в открытом доступе базе данных клиентов «Билайна» и поделились ссылкой для ее загрузки. Позднее информация об этом появилась в Telegram-каналах. База содержит 8,7 млн записей со сведениями о клиентах, подключивших домашний интернет через «Билайн» по всей России. Проверка показала, что данные актуальны — сотрудники “Ъ”, у которых подключен или был подключен интернет «Билайна», нашли в базе свое полное ФИО, адрес, мобильный и домашний телефоны. Причем были выявлены как действующие, так и закрытые договоры, поскольку в базе содержатся данные по состоянию на ноябрь 2016 года.
8,7 миллиона действующих и бывших клиентов «Билайна» попали в базу данных с персональной информацией, выложенную в сеть.
В пресс-службе «Билайна» сообщили, что провели расследование инцидента. Там обратили внимание, что на данный момент абонентская база проводного ШПД у «Билайна» менее 3 млн. «Данная информация (попавшая в открытый доступ.— “Ъ”) — небольшая часть базы 2017 года. Утечку данных мы зафиксировали два года назад,— пояснили там.— Все виновные были выявлены и понесли наказание, на текущий момент большая часть информации — это уже устаревшие данные». Тем не менее служба безопасности «Билайн» продолжает вести расследование инцидента, заверили в компании.
Тот факт, что многие граждане из базы, оказавшейся в открытом доступе, уже не являются клиентами «Билайна», не снижает их риски. По словам собеседника “Ъ”, близкого к ЦБ, представленная информация может иметь ценность для мошенников, похищающих средства граждан с помощью социальной инженерии (введение в заблуждение за счет имеющейся информации с целью дальнейшего выяснения у клиента данных, необходимых для хищения его средств, в частности полного номера банковской карты, CVV-кода и др.). По словам главы управления информбезопасности банка «Ренессанс Кредит» Дмитрия Стурова, сведения из подобных баз могут быть также скомпилированы с другими данными, и потому появление подобного массива сведений в открытом доступе несет в себе определенные риски. «Например, существуют скрипты, которые позволяют по номеру телефона через мобильные банки пробить номер карты»,— поясняет господин Стуров.
В то же время, по мнению экспертов, именно эта база вряд ли может представлять ценность для профессиональных мошенников.«Подобные базы, не имеющие банковской информации — номеров карт, договоров, историй операций и т. д., активно продаются,— говорит начальник отдела по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов.— Те, кто профессионально занимается прозвоном банковских клиентов, давно уже получили к ним доступ». Однако для тех, кто только начинает осваивать «ремесло» социального инженера, подобные шпаргалки могут быть полезны, впрочем, как и для агрессивного маркетинга, указывает собеседник “Ъ” в банке из топ-50. По словам главы ChronoPay Павла Врублевского, утечки большого объема данных вряд ли являются «случайными». Но какие бы цели ни преследовали выкладывающие в открытый доступ подобную информацию, утечки несут риски для людей, чьи данные могут попасть в руки злоумышленников, уверены эксперты.
Пока решения у проблемы социальной инженерии и растущего объема данных, доступных для мошенников, нет.
По словам бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, сейчас единственно возможный способ борьбы со сливом и распространением баз данных — выявлять и привлекать к ответственности тех, кто этим занимается. «На мой взгляд, не выход наказывать тех, у кого утекли сведения, европейский вариант многомиллионных штрафов за утечку данных также не сработает,— указывает господин Лукацкий.— Другое дело, что в настоящее время ни УПК, ни следственные органы, ни суды не готовы к рассмотрению подобных дел».
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
0
Ничего страшного, разве только рекламой доставать будут, да спамами.
- ↓
+2
Тогда давайте вспомним, сколько раз каждый из нас совершенно добровольно отдавал свой паспорт, чтобы с него сняли ксерокопию. Это были банки, страховые компании, риэлторские агентства, медицинские учреждения, многофункциональные центры, правоохранительные органы и куча других контор. Причем, в копии паспорта содержится образец личной подписи и сплошь и рядом по копии можно оформить микрокредиты по бешеные проценты. Хуже того, по копии, как выяснилось, можно заказать и получить личную электронную подпись, которая позволяет, например, открывать фирмы и брать на них кредиты.
Поэтому, утечки личных данных это вершина айсберга.
- ↓
0
Все же давали согласие на обработку личных данных…
Вот. Процессс пошёл.
- ↓
+1
давно пора привыкнуть, что всё, что человек сообщил о себе любым коммуникационным устройствам, рано или поздно станет достоянием всех. в первую очередь мошенников.
- ↓