Утечка личных данных клиентов Delivery Club могла произойти из приложения, разработанного для курьеров этого сервиса, считают опрошенные «Известиями» специалисты по кибербезопасности. Утром 20 мая сама компания сообщила о том, что в открытый доступ попала информация о заказах, совершенных ее клиентами. В Delivery Club особо подчеркнули, что банковские реквизиты утечка не затронула. Это не первый неприятный сюрприз для пользователей сервисов — ранее были обнародованы данные «Яндекс еды», СДЭК, Avito, Wildberries, «Билайна» и других. Эксперты призывают не драматизировать ситуацию и в то же время признают, что пользователи могут стать объектами внимания мошенников, использующих методы социальной инженерии.
Доступ свободы
Об утечке данных клиентов сервиса доставки еды и продуктов Delivery Club утром 20 мая сообщили сами представители этой компании. «Наша служба безопасности обнаружила утечку данных о совершенных некоторыми пользователями заказах. Данные включают в себя информацию о заказах и не затрагивают банковские реквизиты. После окончания внутреннего расследования мы планируем провести дополнительный аудит внутренних систем и уже реализовываем комплекс мер для повышения их защиты», — сообщили «Известиям» в пресс-службе компании и принесли извинения пользователям.
Утечка из Delivery Club, предположительно, больше по объему, чем аналогичный случай, произошедший в марте 2022 года с сервисом «Яндекс еда». Источник, который выложил файлы с базой данных в открытый доступ, утверждает, что в ней содержится 250 млн записей. Из «Яндекс еды» утекло в пять раз меньше данных, уточнил начальник отдела информационной безопасности компании «СёрчИнформ» Алексей Дрозд.
— Однако по составу данные похожи. Это те же адреса доставки, даты, время и составы заказов, контактные данные клиентов. Судя по образцу, который сейчас распространяется в интернете, данные достоверные. Не удивлюсь, если при сопоставлении обнаружится, что профили как минимум некоторых клиентов будут совпадать с теми, что попали в Сеть из «Яндекс еды», — подчеркнул специалист.
Предварительный анализ файлов показывает, что платежных данных в утечке нет. Ее состав намекает, что данные были скомпрометированы на стороне приложения для курьеров, рассказал Алексей Дрозд. Это приложение, которым пользуются курьеры сервиса, как раз и содержит ограниченный объем данных — адреса, контакты, подробности заказов, но не реквизиты карт или подробности трансакций, так как эта информация курьерам не нужна.
— Передавать курьерам банковские реквизиты клиентов не имеет смысла. Логично предположить, что эта информация не только не хранится, но изначально не попадает в систему управления заказами, — объяснил эксперт.
Утечки данных пользователей в последнее время происходят регулярно. Ранее в интернет попали данные пользователей сервиса «Яндекс еда», СДЭК, Avito, Wildberries, «Билайна» и других. Кроме того, 18 мая были обнародованы украденные данные студентов и преподавателей бизнес-школы «Сколково».
Большое количество утечек данных, которые происходят в последнее время, связано с геополитической обстановкой в мире и активным вниманием к развитию сервисов по «пробивке» персональных и финансовых данных со стороны СМИ, полагает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Щербель.
— Потенциально улучшить ситуацию в будущем позволит усиление законодательства в этой сфере, обмен опытом и полное раскрытие информации о том, как произошла утечка, чтобы операторы данных обладали информацией об угрозах и могли выстраивать соответствующую защиту, — добавил специалист.
Только спокойствие
База данных Delivery Club может использоваться в первую очередь организаторами спам-рассылок и звонков с рекламными целями для более точного таргетирования своей «атаки», считает руководитель отдела исследований и аналитики в компании R-Vision Николай Рягин.
— То, что компания Delivery Club самостоятельно выявила утечку данных о заказах пользователей и сообщила о данном инциденте, — положительный факт, который может говорить о том, что компания придерживается принципов поддержки и заботы о своих клиентах, — считает специалист.
Более неприятный способ использования утекших данных — возможная «обработка» жертвы мошенниками, которые применяют методы социальной инженерии. Чем лучше знаешь свою жертву, тем легче обмануть, втереться в доверие и принудить совершить денежный перевод или выдать нужную информацию, подчеркнул руководитель аналитического центра компании Zecurion Владимир Ульянов.
— Поэтому информация может действительно заинтересовать злоумышленников. Кроме того, информация о заказах, адресах доставки, контактных номерах может быть интересна не только сама по себе, но и для обогащения других сведений о жертве, — объяснил специалист.
Специалисты по информационной безопасности призывают не драматизировать ситуацию с утечками. Нельзя сказать, что наблюдается резкий рост объема утечек, просто они происходят неравномерно: в одном месяце их может быть много, в другом — почти нет. И резонанс они вызывают разный, в зависимости от известности бренда, объяснил эксперт центра продуктов Dozor «РТК-Солар» Алексей Кубарев.
— Из последних громких утечек наиболее неприятной, пожалуй, является утечка медицинских данных лаборатории «Гемотест». Медицинские данные — очень чувствительная информация, разглашение которой чревато шантажом и другими серьезными последствиями, — продолжил эксперт.
Утечки происходят постоянно — эта проблема актуальна для многих стран и любых отраслей. Те случаи, о которых становится известно публично, это лишь крохотная доля всех утечек, рассказал Владимир Ульянов.
— Их причинами могут быть как халатность, невнимательность сотрудников, так и злой умысел, стремление заработать на информации, желание навредить работодателю или работа на конкурента, — отметил эксперт.
Кроме того, свою роль играют недостаточные меры защиты информации и отсутствие технических средств предотвращения утечки, считает Владимир Ульянов.