Доставка беды: как произошла утечка данных клиентов Delivery Club
Утечка личных данных клиентов Delivery Club могла произойти из приложения, разработанного для курьеров этого сервиса, считают опрошенные «Известиями» специалисты по кибербезопасности. Утром 20 мая сама компания сообщила о том, что в открытый доступ попала информация о заказах, совершенных ее клиентами. В Delivery Club особо подчеркнули, что банковские реквизиты утечка не затронула. Это не первый неприятный сюрприз для пользователей сервисов — ранее были обнародованы данные «Яндекс еды», СДЭК, Avito, Wildberries, «Билайна» и других. Эксперты призывают не драматизировать ситуацию и в то же время признают, что пользователи могут стать объектами внимания мошенников, использующих методы социальной инженерии.
Доступ свободы
Об утечке данных клиентов сервиса доставки еды и продуктов Delivery Club утром 20 мая сообщили сами представители этой компании. «Наша служба безопасности обнаружила утечку данных о совершенных некоторыми пользователями заказах. Данные включают в себя информацию о заказах и не затрагивают банковские реквизиты. После окончания внутреннего расследования мы планируем провести дополнительный аудит внутренних систем и уже реализовываем комплекс мер для повышения их защиты», — сообщили «Известиям» в пресс-службе компании и принесли извинения пользователям.
Утечка из Delivery Club, предположительно, больше по объему, чем аналогичный случай, произошедший в марте 2022 года с сервисом «Яндекс еда». Источник, который выложил файлы с базой данных в открытый доступ, утверждает, что в ней содержится 250 млн записей. Из «Яндекс еды» утекло в пять раз меньше данных, уточнил начальник отдела информационной безопасности компании «СёрчИнформ» Алексей Дрозд.
— Однако по составу данные похожи. Это те же адреса доставки, даты, время и составы заказов, контактные данные клиентов. Судя по образцу, который сейчас распространяется в интернете, данные достоверные. Не удивлюсь, если при сопоставлении обнаружится, что профили как минимум некоторых клиентов будут совпадать с теми, что попали в Сеть из «Яндекс еды», — подчеркнул специалист.
Предварительный анализ файлов показывает, что платежных данных в утечке нет. Ее состав намекает, что данные были скомпрометированы на стороне приложения для курьеров, рассказал Алексей Дрозд. Это приложение, которым пользуются курьеры сервиса, как раз и содержит ограниченный объем данных — адреса, контакты, подробности заказов, но не реквизиты карт или подробности трансакций, так как эта информация курьерам не нужна.
— Передавать курьерам банковские реквизиты клиентов не имеет смысла. Логично предположить, что эта информация не только не хранится, но изначально не попадает в систему управления заказами, — объяснил эксперт.
Утечки данных пользователей в последнее время происходят регулярно. Ранее в интернет попали данные пользователей сервиса «Яндекс еда», СДЭК, Avito, Wildberries, «Билайна» и других. Кроме того, 18 мая были обнародованы украденные данные студентов и преподавателей бизнес-школы «Сколково».
Большое количество утечек данных, которые происходят в последнее время, связано с геополитической обстановкой в мире и активным вниманием к развитию сервисов по «пробивке» персональных и финансовых данных со стороны СМИ, полагает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Щербель.
— Потенциально улучшить ситуацию в будущем позволит усиление законодательства в этой сфере, обмен опытом и полное раскрытие информации о том, как произошла утечка, чтобы операторы данных обладали информацией об угрозах и могли выстраивать соответствующую защиту, — добавил специалист.
Только спокойствие
База данных Delivery Club может использоваться в первую очередь организаторами спам-рассылок и звонков с рекламными целями для более точного таргетирования своей «атаки», считает руководитель отдела исследований и аналитики в компании R-Vision Николай Рягин.
— То, что компания Delivery Club самостоятельно выявила утечку данных о заказах пользователей и сообщила о данном инциденте, — положительный факт, который может говорить о том, что компания придерживается принципов поддержки и заботы о своих клиентах, — считает специалист.
Более неприятный способ использования утекших данных — возможная «обработка» жертвы мошенниками, которые применяют методы социальной инженерии. Чем лучше знаешь свою жертву, тем легче обмануть, втереться в доверие и принудить совершить денежный перевод или выдать нужную информацию, подчеркнул руководитель аналитического центра компании Zecurion Владимир Ульянов.
— Поэтому информация может действительно заинтересовать злоумышленников. Кроме того, информация о заказах, адресах доставки, контактных номерах может быть интересна не только сама по себе, но и для обогащения других сведений о жертве, — объяснил специалист.
Специалисты по информационной безопасности призывают не драматизировать ситуацию с утечками. Нельзя сказать, что наблюдается резкий рост объема утечек, просто они происходят неравномерно: в одном месяце их может быть много, в другом — почти нет. И резонанс они вызывают разный, в зависимости от известности бренда, объяснил эксперт центра продуктов Dozor «РТК-Солар» Алексей Кубарев.
— Из последних громких утечек наиболее неприятной, пожалуй, является утечка медицинских данных лаборатории «Гемотест». Медицинские данные — очень чувствительная информация, разглашение которой чревато шантажом и другими серьезными последствиями, — продолжил эксперт.
Утечки происходят постоянно — эта проблема актуальна для многих стран и любых отраслей. Те случаи, о которых становится известно публично, это лишь крохотная доля всех утечек, рассказал Владимир Ульянов.
— Их причинами могут быть как халатность, невнимательность сотрудников, так и злой умысел, стремление заработать на информации, желание навредить работодателю или работа на конкурента, — отметил эксперт.
Кроме того, свою роль играют недостаточные меры защиты информации и отсутствие технических средств предотвращения утечки, считает Владимир Ульянов.