Сегодня ряд украинских СМИ сообщили о масштабной утечке личных данных клиентов “Новой Почты” со ссылкой на Facebook-профиль консультанта по вопросам кибербезопасности Егора Папишева. По его словам, в даркнете выставлены на продажу сразу две базы клиентов “Новой Почты”. Одна база содержит информацию о 500 тыс клиентов, вторая – о 18 миллионах.
Папышев отмечает, что в сети “за вполне подъемные деньги” продается две базы с персональными данными 18 млн клиентов службы доставки.
“Как таковых баз две: первая содержит информацию около полумиллиона человек, с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email. Вторая – 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон)”, – написал Папышев.
Он отметил, что ему удалось связаться с продавцом (который, внезапно, озвучил цены за базы в гривнах) и проверить достоверность информации.
“Во-первых, дается произвольный кусок базы. Во-вторых, я попросил прислать мне значение записей из базы, дав ему несколько номеров телефонов для идентификации. Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом. Ответ пришел меньше, чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную в связи с недавним замужеством фамилию одной из них). Для дополнительной проверки я задал еще несколько телефонных номеров, которые априори не могли быть использованы в сервисе “Новой Почты” (это корпоративные номера) и правильно – их в этой базе не оказалось”, – добавил Папышев.
Таким образом, Егор Папишев считает, что база данных клиентов компании «Нова Пошта» является актуальной. Причём, она продаётся за небольшую сумму денег. По данным ресурса InternetUA, продавец вышел на связь с российского почтового сервера и указал цену в сумме 1500 гривен за детализированную базу (с данными о 500 тыс. клиентов). По мнению эксперта, база могла попасть в Интернет с помощью инсайдера в самой компании “Новая Почта”.
В то же время, представители “Новой Почты” в комментариях к посту Егора Папишева отмечают, что “база, которая фигурирует в посте, не является релевантной”. Однако на вопрос блогера, можно ли считать базу данных нерелевантной, если он там нашел свои персональные данные, представитель компании не ответила.
Как могут злоумышленники использовать такие данные? В первую очередь, для рассылки спама и холодных звонков. Впрочем, это только один из возможных сценариев – напомним, что в базе содержатся фамилии и имена, номера паспортов, мобильные телефоны и адреса электронной почты.