Перейти к основному содержанию
Реклама
Прямой эфир
Армия
Минобороны РФ сообщило об отработке доставки ядерных боеприпасов в рамках учений
Общество
Суд признал законным арест главы управления департамента Минобороны Вертелецкого
Мир
В Швейцарии предложили пересмотреть миграционную политику по отношению к украинцам
Мир
Турция и США подписали контракт на поставку истребителей F-16
Мир
Армения отозвала посла в Белоруссии для консультаций
Мир
Писториус заявил о неспособности ФРГ предоставить больше ЗРК Patriot Украине
Мир
Глава Пентагона сообщил о поставленном странами НАТО оружии Киеву на $98 млрд
Мир
В ЮАР зафиксировали два случая смерти от оспы обезьян
Политика
В Кремле заявили о намерении РФ продолжать контакты с армянской стороной
Общество
Дело американского журналиста Гершковича о шпионаже направили в суд
Мир
Москва уведомит Киев о денонсации соглашения по культурным центрам по дипканалам
Общество
Совершивший жесткую посадку на Урале Robinson R44 выполнял полет без разрешения
Наука и техника
Путин дал старт пуску ускорительного комплекса NICA в Дубне
Мир
В минобороны Польши указали на отсутствие планов по отправке ЗРК Patriot Киеву
Мир
Эрдоган указал на отсутствие взаимности при искреннем подходе Турции к ЕС
Общество
Синоптики предсказали Москве очередной «мегаливень» вечером 13 июня
Интернет и технологии
Apple обогнала Microsoft и стала самой дорогой компанией после внедрения ИИ
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
вкл
выкл

Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ. Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.

Что произошло

Сервер ОФД «Дримкас», по-видимому, стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».

Кассовый аппарат и терминал оплаты в одном из магазинов
Фото: ИЗВЕСТИЯ/Алексей Майшев

«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.

Справка «Известий»

Операторы фискальных данных созданы по закону о контрольно-кассовой технике в 2016 году.

Первый электронный чек с онлайн-кассы передан в Федеральную налоговую службу (ФНС) 24 октября 2016-го. С 1 июля 2019 года юрлица и ИП работают с ОФД. Исключение сделано для ИП без сотрудников, которым дали отсрочку до 1 июля 2021 года.

В компании объяснили утечку атаками на серверы, происходившими с начала сентября. Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.

— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.

Эксперты по кибербезопасности сомневаются в корректности этого объяснения.

Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.

Справка «Известий»

Перед началом работы ОФД должна получить две лицензии от ФСБ и одну от Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также разрешение на обработку фискальных данных от ФНС.

Предприниматели платят в среднем 3 тыс. рублей за годовое обслуживание ОФД.

В открытый доступ фискальные данные попали впервые, подтвердили в ФНС. По закону операторы обязаны защищать сведения, полученные от пользователей контрольно-кассовой техники, покупателей и налоговых органов, добавили там.

— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.

Серверная комната
Фото: Global Look Press/Felix König

ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».

Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock. Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.

Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Чем грозит

Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.

Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Сотрудник Федеральной налоговой службы на заседании
Фото: РИА Новости/Григорий Сысоев

За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.

Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.

Прямой эфир