«Новая почта» прокомментировала скандал с продажей персональных данных клиентов (дополнено)
О том, что в сети продается полная база клиентов «Новой почты», сообщил консультант по кибербезопасности Егор Папышев. Он обнаружил в даркнете сразу две клиентские базы. Первая содержит информацию примерно 500 тысяч клиентов (фамилии, телефоны, город, e-mail, серия и номер паспорта). Вторая — данные примерно 18 миллионов человек, но там только фамилии и телефоны. По словам Егора Папышева, ему удалось связаться с продавцом и узнать детали.
— Продавец озвучил мне цену — 1500 гривен за базу, которая содержит данные полумиллиона человек, — рассказал «ФАКТАМ» Егор Папышев. — Просят такую сумму, потому что база не содержит информации, с помощью которой можно было бы в дальнейшем получить доступ к серверам, к личным кабинетам пользователей. Как используются такие данные? Прежде всего для навязчивой рекламы: рекламные SMS-сообщения, звонки и так далее.
— С номерами телефонов и email понятно. Но как быть с данными паспортов?
— Серия и номер паспорта каждого клиента тоже есть в этой базе. И действительно есть риск, что этими данными воспользуются злоумышленники. Например, махинации с банковскими карточками. Располагая такой информацией, преступники могут найти в базе пенсионеров (даты рождения там тоже указаны), обзванивать людей и, представляясь сотрудниками банка, осуществлять мошеннические действия. Это очень большой риск. На самом деле такие данные защищаются законом «О защите персональных данных».
— Вы уверены, что базы действительны?
- Я лично в этом убедился. На «Новой почте» говорят, что данные неактуальны. Но, общаясь с продавцом, я проверил несколько человек. Например, назвал ему свой номер телефона — и получил о себе всю актуальную информацию. Еще проверил знакомого, который зарегистрирован в Запорожье, но по работе сейчас находится в Очакове и получает посылки там. Мне дали информацию, в которой был указан город Очаков. Еще одна знакомая два года назад поменяла фамилию. И в базе, которую продают, стоит ее новая фамилия! Настораживает еще и то, что в демонстрационном экземпляре базы, который прислал продавец, как минимум несколько человек с e-mail в домене [at]novaposhta.com.ua.
Так выглядит выставленная на продажу база данных. Фото Егора Папышева
— Представители «Новой почты» с вами связывались?
— Да. Я предоставил им всю имеющуюся информацию. До этого все подробно рассказал киберполиции. Они связались со мной сразу после того, как я опубликовал пост в Facebook.
Чтобы выяснить, как клиентская база могла оказаться в даркнете, «ФАКТЫ» обратились в пресс-службу «Новой почты». Там информацию называют неактуальной.
«Новая почта» заботится о безопасности личных данных клиентов, мы регулярно совершенствуем все уровни защиты своих баз. Компания разделяет Общий регламент по защите данных GDPR и ориентируется на изложенные в нем стандарты безопасности персональных данных. Мы уже связались с автором поста, чтобы выяснить обстоятельства якобы покупки базы, и он согласился сотрудничать. Впрочем, исходя из скриншота в Facebook-публикации, о которой идет речь, наши специалисты признали информацию неактуальной", — ответила «ФАКТАМ» пресс-секретарь «Новой почты» Татьяна Потапова.
— База на скриншоте в посте может принадлежать любому другому предприятию, — сказал «ФАКТАМ» директор по информационным технологиям группы компаний «Новая почта» Александр Евстратов. — Первичный анализ изображения на скриншоте показал, что в таблице есть данные, которые отсутствуют в нашей действующей базе.
Тем не менее, на предприятии обещают принять меры.
— Мы внедряем новую стратегическую IT-программу, в которой особое внимание будет уделяться информационной безопасности, передовым механизмам защиты данных и мониторингу рисков, — сообщил Александр Евстратов. — Реакция «Новой почты» на любую попытку завладения данными наших клиентов будет однозначной и жесткой.
Читайте нас в Facebook