Перейти к основному содержанию
Реклама
Прямой эфир
Мир
В ООН призвали принять меры для деэскалации украинского конфликта
Мир
Иран после резолюции МАГАТЭ намерен запустить новые центрифуги для обогащения урана
Мир
В Великобритании назвали положение Украины самым слабым с начала конфликта с РФ
Экономика
Экономист сообщил о почти 40% россиян с высокими доходами
Политика
Песков назвал проблемой для России нелегалов, а не мигрантов
Наука и техника
В РФ научились в три раза эффективнее лечить лимфому
Мир
В Японии заявили о недопустимости влияния санкций США на «Сахалин-2»
Мир
Марочко заявил о серьезных проблемах с обеспечением у ВСУ
Спорт
«Вашингтон» пожелал выздоровления выбывшему на рекордный срок Овечкину
Мир
В Новой Зеландии объявили эпидемию коклюша
Происшествия
Число госпитализированных после отравления в красноярской школе выросло до 37
Мир
Бывший аналитик ЦРУ заявил о неспособности западной ПВО отразить удар «Орешника»
Армия
Белоусов заявил о срыве планов ВСУ на 2025 год
Армия
В МО РФ сообщили о возращении в строй 50 тыс. единиц бронетехники после ремонта
Мир
Минфин США пригрозил санкциями участникам разработанной ЦБ РФ системы СПФС
Экономика
Цена биткоина превысила $99 тыс. и вновь пробила исторический максимум
Мир
Токаев поручил усилить безопасность Казахстана из-за украинского конфликта
Происшествия
Металлический павильон раздавил насмерть девушку во время урагана в Подмосковье
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ. Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.

Что произошло

Сервер ОФД «Дримкас», по-видимому, стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».

Кассовый аппарат и терминал оплаты в одном из магазинов
Фото: ИЗВЕСТИЯ/Алексей Майшев

«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.

Справка «Известий»

Операторы фискальных данных созданы по закону о контрольно-кассовой технике в 2016 году.

Первый электронный чек с онлайн-кассы передан в Федеральную налоговую службу (ФНС) 24 октября 2016-го. С 1 июля 2019 года юрлица и ИП работают с ОФД. Исключение сделано для ИП без сотрудников, которым дали отсрочку до 1 июля 2021 года.

В компании объяснили утечку атаками на серверы, происходившими с начала сентября. Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.

— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.

Эксперты по кибербезопасности сомневаются в корректности этого объяснения.

Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.

Справка «Известий»

Перед началом работы ОФД должна получить две лицензии от ФСБ и одну от Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также разрешение на обработку фискальных данных от ФНС.

Предприниматели платят в среднем 3 тыс. рублей за годовое обслуживание ОФД.

В открытый доступ фискальные данные попали впервые, подтвердили в ФНС. По закону операторы обязаны защищать сведения, полученные от пользователей контрольно-кассовой техники, покупателей и налоговых органов, добавили там.

— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.

Серверная комната
Фото: Global Look Press/Felix König

ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».

Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock. Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.

Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Чем грозит

Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.

Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Сотрудник Федеральной налоговой службы на заседании
Фото: РИА Новости/Григорий Сысоев

За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.

Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.

Читайте также
Прямой эфир