Компания DeviceLock обнаружила в открытом доступе базу данных клиентов программы лояльности розничных сетей «К-Руока» и «К-Раута», которые в России развивала финская Kesko, с 2011 по 2018 год. Сейчас сети закрыты или сменили владельцев. Но утечка крупной базы может стать поводом для новой волны фишинга, торговли «поддельными личностями» и переманивания клиентов другими ритейлерами, предупреждают специалисты по кибербезопасности.
Фото: Сергей Коньков, Коммерсантъ / купить фото
Фото: Сергей Коньков, Коммерсантъ / купить фото
В открытом доступе оказалась база данных российских клиентов российских сетей «К-Руока» и «К-Раута» финской Kesko примерно c 2011-го до марта 2018 года, рассказал “Ъ” основатель и технический директор компании DeviceLock Ашот Оганесян. По его словам, база содержит более 970 тыс. строк с данными клиентов, включая ФИО, дату рождения, телефон, электронную почту, город и район проживания, количество человек в семье и данные об участии в системах лояльности Kesko и ее партнеров.
Kesko ушла с российского рынка в 2018 году, продав 12 DIY-гипермаркетов «К-Раута» французской Leroy Merlin за 12 млрд руб. Ранее, в 2016 году Kesko продала магазины Intersport группе частных инвесторов, позднее сеть была закрыта. 11 магазинов «К-Руока» и несколько земельных участков в Москве и Ленинградской области за 11 млрд руб. в 2016 году приобрела «Лента».
В Kesko, Leroy Merlin и «Ленте» не ответили на запросы “Ъ” об утечке.
База данных может быть использована для фишинга, полагает Ашот Оганесян. Она позволяет, например, рассылать клиентам письма с предложением что-то получить, для чего потребуется ввести данные карты, с которой в результате будут похищены средства, объясняет он. Также информацию можно использовать для рассылки спама, так как данные клиентов «вряд ли массово изменились за прошедшие два года», добавляет он.
83,9 процента
составил рост числа преступлений с использованием информационных технологий в первом квартале (данные МВД)
Серия спама и телефонных мошенничеств всегда следует после крупной утечки персональных данных, соглашается начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Еще один вариант — создание поддельных личностей, от имени которых могут действовать мошенники, говорит господин Дрозд, отмечая, что такая личность в даркнете стоит около $2 тыс.
Данные могли утечь с неправильно настроенного облачного сервера, который Kesko забыла отключить в процессе продажи бизнеса, полагает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Хакеры могли обнаружить подключенный к сети сервер с помощью специального поисковика и скачать все данные, поясняет он. Сейчас ошибки в настройке баз данных встречаются все чаще из-за авральных перенастроек для работы в удаленном режиме, добавляет господин Дрозд.
Чаще всего данные становятся достоянием общественности из-за невнимательности или злого умысла сотрудников компании, считает гендиректор компании HFLabs Дмитрий Журавлев. По его мнению, такая база данных может быть интересна другим ритейлерам, так как информация по картам лояльности дает возможность собирать полную статистику по покупкам человека, предсказывать будущие покупки и стимулировать на их совершение.
Если бы данные были зашифрованы, в случае кражи у злоумышленника на руках оказалась бы «каша» из информации, которые он не смог бы дешифровать, отмечает Алексей Дрозд, но компании этим правилом обычно пренебрегают, так как шифрование влияет на быстродействие системы. Универсального решения нет: если жестче контролировать безопасность, то клиенту по любым мелким вопросам придется лично обращаться в главный офис компании и станет сложнее реализовывать проекты с аналитикой, а у сотрудников появится больше стимулов работать не с общей защищенной базой, а с локальными копиями, что приведет только к повышению вероятности сливов, рассуждает Дмитрий Журавлев. Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов добавляет, что крупные ритейлеры уже серьезно подходят к обработке персональных данных, но у них может быть очень большое количество партнеров, которые не всегда могут обеспечить безопасность обработки данных.
