Лучше не слить: Best2pay раскрыл детали утечки данных о клиентах
В открытый доступ попала база платежного сервиса Best2pay, сообщили «Известиям» эксперты по кибербезопасности. В сливе содержится 1 млн строк с ФИО, номерами телефонов и частичными платежными данными клиентов. В компании подтвердили утечку, там уверяют, что речь идет о тестовой среде, а сведения датируются периодом 2019–2021 годов. Тем не менее их можно использовать для эффективного мошенничества с использованием методов социальной инженерии, предупредили аналитики.
Платежные сливы
Актуальность массива данных, попавшего в открытый доступ, относится к периоду с начала 2019-го по июнь 2021-го, заявили «Известиям» в сервисе Best2pay. Там уточнили: в похищенной базе отсутствуют полные данные карт (только маска — первые шесть и последние четыре цифры карты) и иные платежные реквизиты.
— В декабре 2022 года информационные системы нашей компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из наших подрядчиков, работавшего в изолированной тестовой среде. С его использованием была скомпрометирована тестовая система формирования отчетов, — пояснили в сервисе.
В Best2pay подчеркнули: тестовая среда полностью изолирована от основных информационных систем компании, а размещенные в ней данные были подготовлены специально для работы с внешними подрядчиками.
— Все боевые системы, которые отвечают за обработку и хранение карточных данных, полностью отделены от всех тестовых сред и надежно защищены по всем стандартам, что ежегодно подтверждается независимыми аудитами уже более 10 лет. Платежные данные клиентов не пострадали и находятся в безопасности, — подчеркнул представитель сервиса.
Best2pay — это интернет-эквайринг с облачной кассой. Сервис обрабатывает онлайн-платежи для интернет-магазинов и мобильных приложений и взимает комиссию с каждой успешной операции. Так, например, среди основных клиентов организации — BoxBerry, служба такси Maxim, страховая компания «Гелиос» и другие, указано на сайте организации.
Информация об утечке базы данных начала распространяться 31 января. По данным Telegram-канала in2security, опубликованный файл содержит 1 млн строк, включающих ФИО, фрагмент номера карты (первые шесть и последние четыре цифры), дату, сумму и назначение платежа, а также адреса электронной почты и телефоны пользователей сервиса. По сообщениям в Telegram-канале, в базе содержатся 824 тыс. уникальных номеров телефонов и 204 тыс. уникальных банковских карт. По сведениям канала, утечка более свежая — последняя информация датируется 28 января 2023 года.
О сливе также написал Telegram-канал «Утечки информации». Там отмечается, что базу разместил тот же источник, который раньше уже выкладывал в открытый доступ данные, в том числе образовательного портала Geek Brains (компания 1 июня 2022-го подтвердила утечку).
Звонки усилятся
В компании Infosecurity a Softline Company, которая специализируется на кибербезопасности, заявили «Известиям», что изучают данные утечки в 1 млн строк. Аналитик отдела анализа и оценки цифровых угроз Максим Грязев пояснил: косвенные сведения указывают, что база относится именно к платежной системе, так как в дампе содержится информация с адресом платежного шлюза Best2pay, а также адреса электронных почт с доменом Best2pay.
— По слитым данным можно идентифицировать организации, которые выдали банковские карты пользователям. В список вошли и представители топ-10 российских банков. Названия можно понять по БИНам, данные о которых содержатся в утечке. Банковский идентификационный номер (БИН) — часть номера, расположенного на пластиковой карте. Она используется для идентификации банка в рамках карточной платежной системы при авторизации, процессинге и клиринге, — заявил Максим Грязев.
О сливе данных Best2pay также известно основателю сервиса разведки утечек данных и мониторинга даркнета DLBI Ашоту Оганесяну. По его словам, наиболее вероятным сценарием утечки стало подключение хакеров к рабочему месту специалиста, имеющего доступ к серверу баз данных, и последующая их выгрузка. Нечто схожее утверждает и сама компания, правда виноват, по ее версии, подрядчик, и доступ он имел не к базе данных, а к тестовой среде, отметил эксперт.
— С учетом наличия в утечке полных номеров банковских счетов и частично — карт, ее данные могут использоваться в «телефонных» схемах, когда мошенники под видом сотрудников банка будут пытаться получить сначала номер карты, а потом и код SMS-подтверждения транзакции. Вся надежда на то, что эти данные действительно очень старые, — считает Ашот Оганесян.
Злоумышленники могут использовать полученную информацию в мошеннических схемах с использованием методов социальной инженерии, подтвердил руководитель аналитического центра компании Zecurion Владимир Ульянов. Он пояснил: располагая достоверными и актуальными сведениями, включая имена, контактные данные, географию и сведения о совершенных финансовых операциях, нетрудно втереться в доверие и заставить выдать нужные сведения или совершить какое-либо действие для кражи денег.
— Большинство пострадавших никогда не узнает, что их данные были скомпрометированы. Более того, я полагаю, что многие люди не знают, что пользовались таким сервисом. Будучи встроенным в интерфейс своих партнеров (интернет-магазинов, банков, МФО и др.), платежные сервисы становятся трудно различимыми для обычных пользователей. И даже если ссылки присутствуют, пользователи сосредоточивают свое внимание на вводе реквизитов, но не на бренде сервиса, — отметил Владимир Ульянов.
«Известия» направили запрос в ЦБ.
