ПОГОДА В РЕГИОНЕ
  • погода
  • грузоперевозки
  • погода

Утечка персональных данных.

Категория: Обзор событий

personal dataСервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

 

 

Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».

«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.
СПРАВКА «ИЗВЕСТИЙ» Операторы фискальных данных созданы по закону о контрольно-кассовой технике в 2016 году.

В компании объяснили утечку атаками на серверы, происходившими с начала сентября. Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.

— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.

Эксперты по кибербезопасности сомневаются в корректности этого объяснения.

— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.

СПРАВКА «ИЗВЕСТИЙ» Перед началом работы ОФД должна получить две лицензии от ФСБ и одну от Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также разрешение на обработку фискальных данных от ФНС.
В открытый доступ фискальные данные попали впервые, подтвердили в ФНС. По закону операторы обязаны защищать сведения, полученные от пользователей контрольно-кассовой техники, покупателей и налоговых органов, добавили там.

— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.

ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».

Утечки данных в РФ втрое чаще оборачиваются мошенничеством, чем в остальном мире

Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock. Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.

Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Источник: www.iz.ru/
Фото: ИЗВЕСТИЯ/Алексей Майшев


Просмотров: 1049