Права клієнтів: витік особистих даних на Новій пошті - фейк чи реальна загроза?

6 лютого 2018-го українські ЗМІ активно поширювали інформацію про витік у Даркнет бази даних найбільшого приватного поштового оператора країни – “Нової пошти”. Посилалися на фейсбуківський пост Єгора Папишева, який називає себе консультантом із кібербезпеки. За його словами, був виявлений факт продажу бази даних клієнтів. Хто це зробив – невідомо. Проте зазначає, що постраждала “Нова пошта”. Таких баз дві. У першій знаходиться інформація про майже півмлн людей із персональними даними в розбивці ПІБ/телефон/місто/серія та номер паспорта/email. У другій – 18 млн записів (ПІБ і телефон).

Права клієнтів. Витік персональних даних

Нижче – скрін бази даних, який виклав Папишев:

Світлина від Yehor Papyshev.

Папишев зв’язався з продавцем цієї бази і попросив надіслати значення записів з бази, надавши йому кілька номерів телефонів для ідентифікації. Номери належали зовсім різним людям з різних міст, тож ніяким чином не були пов’язані один з одним. Відповідь надійшла миттєво, де вже були точні та свіжі дані про клієнтів.

Загалом, дані в базі за 2016-2017 роки.

Нова пошта офіційно не заявляла, що зливають клієнтську базу даних

База в скріні може належати будь-якому українському підприємству. Тому говорити, що це стовідсоткова база Нової пошти – не можна. В цілому таку інформацію називають нерелевантною. Нині в компанії впроваджують нову ІТ-програму, де особливу увагу приділятимуть інформаційній безпеці.

Як вважають спеціалісти, витік бази даних міг статись двома способами. Це може бути як віддалена атака, так і інсайдерська. Сказати напевно зможе лише цифрова криміналістика.

Якщо говорити про персональні дані в цілому, то вони завжди були “ласим шматочком” для кіберзлочинців.

Інші фахівці зазначають про можливе відволікання суспільства від чогось більш важливого. Такі висновки від того, що робота зроблена непрофесійно, нашвидкоруч. До прикладу, у Юріїв Володимировичів збігається прізвище і не збігається електронна пошта з телефоном, а в Ігоря Євгеновича з однаковим прізвищем здається багато для списку з 22 осіб. До того ж, довжина поля “телефон” у довіднику є різною.

Щодо фактору злому, то він може бути як зовнішнім, так і внутрішнім. Можливо, ображений співробітник саме таким чином вирішив нашкодити своєму роботодавцеві.

Подейкують, що ця база даних коштує недорого, тому є привабливою для всіляких спамерів. А незважаючи на злив частини бази з номерами паспортів, навряд чи інші організації, крім розсильних агентств, зацікавляться цим документом. Для того, аби зрозуміти, яке було втручання, необхідно провести розслідування з відповідною експертизою.

Хто може понести відповідальність за злочин?

Якщо з’ясується, що базу дійсно “хакнули”, то відповідальність понесуть хакери (заява подається в кіберполіцію).

Коли ж виявиться, що винний співробітник “Нової пошти”, то його чекатиме кримінальна відповідальність. Якщо витік інформації відбувся через халатність працівника, то він може піти за статтею 363 Кримінального кодексу – штраф від 500 до 1 тисячі неоподатковуваних мінімумів доходів. А також це може бути позбавлення волі на строк до 3 років (за навмисні дії).

Разом з тим, до суду на компанію можуть подати і самі користувачі, які до прикладу виявлять збільшення спаму на свої кошти комунікації. В такому випадку стаття 182 – за незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу. Передбачене таке покарання – штраф до 50 НМДГ або виправні роботи строком до 2 років, або ж арешт на строк до 6 місяців чи обмеження волі на строк до 3 років.

Загалом, поки не буде заявлено про злочин, розслідуванням займатись ніхто не буде.

Якщо ж злив бази виявиться фейком, питання, хто запустив таку інформаційну кампанію проти поштовика залишиться відкритим.

Інформацію про консультування Ви можете отримати на сайті.

Права клієнтів: витік особистих даних на Новій пошті – фейк чи реальна загроза?