Украину всколыхнула новость о продаже клиентской базы данных «Новой почты», которая владеет персональной информацией о миллионах своих клиентах (номера мобильных телефонов, паспортные данные и пр.). Об этом 5 февраля на своей страничке в Фейсбуке заявил консультант по кибербезопасности Егор Папышев.
«Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов Нова Пошта. Как таковых баз две: первая содержит информацию порядка полумиллиона человек, с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email. Вторая - 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон)», - сообщил эксперт.
Далее он рассказывает, как ему удалось даже пообщаться с продавцом, который назвал цены и предложил проверить «качество информации». Исследовав часть данных, предоставленных продавцом, Папышев сделал вывод: «Объемная и судя по всему актуальная клиентская базаНовой почтыдействительно продается в даркнете, за вполне подъемные деньги».
Тем, чьи данные оказались в лапах злоумышленников, эксперт обещает «Навязчивую рекламу, спам по SMS и электронной почте, холодный обзвон. Далее идут варианты использования этих данных в качестве компонента атак социальной инженерии, с разнообразными, далеко идущими последствиями».
Эксперт советует гражданам серьёзно относиться к своим данным и не предоставлять его всем, кто попросит. Новой почте же он рекомендует ввести дополнительный контроль: «Искать точку компрометации (судя по всему – инсайдера), вводить дополнительные контроли и так далее. Ну и отчетик, про инцидент, как в цивилизованном мире делается. Если бы Новая Почта была регламентирована европейским GDPR (и оно уже вступило бы в силу), и уплыли данные граждан ЕС, то компании вполне серьезно светил бы штраф в 4% от годового оборота за предыдущий финансовый год. Или двадцать миллионов евро (в зависимости от того, что больше)».