Новости

В Инетрнет утекло 14 млн записей с конфиденциальной информацией

24.09.2019

Сервер ОФД «Дримкас» был доступен 3 дня

9 сентября был обнаружен открытый доступ на серверах  ОФД «Дримкас». Об уязвимости сообщила компания по кибербезопасности DiviceLock.

В течение трёх дней утекали строки из баз данных серверов, содержащие ИНН, адреса, названия компании, а также информация об электронных адресах и телефонах представителей, заключенных сделках, ассортименте и ценах на товары.

По словам гендиректора «Дримкас» Павла Толстоносова, сервера атаковали с начала сентября. Контур защиты на обном из серверов был поврежден. На данный момент проблему устранили и дополнительно проводят аудит и модернизацию системы безопасности.

Эксперты по кибербезопасности сомневаются в корректности этого объяснения, поскольку она звучит неправдоподобно.

В пресс-службе ФНС сообщили, что получили уведомление об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей.

В открытый доступ фискальные данные попали впервые, подтвердили в ФНС. По закону операторы обязаны защищать сведения, полученные от пользователей контрольно-кассовой техники, покупателей и налоговых органов, добавили там.

В чём проблема

9 сентября был обнаружен открытый доступ на серверах  ОФД «Дримкас». Об уязвимости сообщила компания по кибербезопасности DiviceLock.

Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock. Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.

Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Что же за всё это будет

Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. Компания «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.

За утечку персональных данных граждан предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных.

Источник: iz.ru

Возникли вопросы?

Заполните форму обратной связи, наши менеджеры свяжутся с вами!
Получить бесплатную консультацию специалиста  стрелка