Перейти к основному содержанию
Реклама
Прямой эфир
Общество
Песков призвал дождаться оценок авиакатастрофы под Актау от Росавиации
Армия
ВС РФ освободили населенные пункты Ивановка в ДНР и Загрызово в Харьковской области
Общество
Лавров пообещал исполнить мечты четырех детей в рамках акции «Елка желаний»
Мир
Парламент Южной Кореи объявил импичмент и. о. президента Хан Док Су
Политика
Политолог указал на вероятность перехода ситуации в Сирии в горячую фазу
Мир
Президент Германии Штайнмайер распустил бундестаг
Общество
Госдума в 2025 году рассмотрит вопрос о чрезмерной нагрузке школьников
Политика
Политолог указал на деградацию европейской дипломатии
Общество
В России обнаружили более 20 поддельных сайтов о благотворительности
Политика
Путин выразил соболезнования руководству Индии из-за смерти экс-премьера страны
Общество
Мошенник обманул пенсионера на 6 млн рублей в Москве
Авто
Дилеры перечислили автомобильные новинки 2025 года в России
Пресс-релизы
В России при поддержке Фонда Росконгресс продолжает формироваться национальный ЭКГ-рейтинг
Общество
В Кремле положительно оценили работу главы МЧС РФ Куренкова
Экономика
ФАС сообщила об одобрении методики расчета биржевого индекса на сахар
Культура
Любимова рассказала о важности Евразийской кинопремии
Общество
В РДКБ открыли совмещенное реанимационно-реабилитационное отделение
Армия
Атомная подлодка «Архангельск» проекта 885М «Ясень-М» вошла в состав ВМФ
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ. Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.

Что произошло

Сервер ОФД «Дримкас», по-видимому, стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.

Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.

Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».

Кассовый аппарат и терминал оплаты в одном из магазинов
Фото: ИЗВЕСТИЯ/Алексей Майшев

«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.

Справка «Известий»

Операторы фискальных данных созданы по закону о контрольно-кассовой технике в 2016 году.

Первый электронный чек с онлайн-кассы передан в Федеральную налоговую службу (ФНС) 24 октября 2016-го. С 1 июля 2019 года юрлица и ИП работают с ОФД. Исключение сделано для ИП без сотрудников, которым дали отсрочку до 1 июля 2021 года.

В компании объяснили утечку атаками на серверы, происходившими с начала сентября. Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.

— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.

Эксперты по кибербезопасности сомневаются в корректности этого объяснения.

Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.

Справка «Известий»

Перед началом работы ОФД должна получить две лицензии от ФСБ и одну от Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также разрешение на обработку фискальных данных от ФНС.

Предприниматели платят в среднем 3 тыс. рублей за годовое обслуживание ОФД.

В открытый доступ фискальные данные попали впервые, подтвердили в ФНС. По закону операторы обязаны защищать сведения, полученные от пользователей контрольно-кассовой техники, покупателей и налоговых органов, добавили там.

— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.

Серверная комната
Фото: Global Look Press/Felix König

ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».

Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock. Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.

Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Чем грозит

Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.

Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Сотрудник Федеральной налоговой службы на заседании
Фото: РИА Новости/Григорий Сысоев

За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.

Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.

Читайте также
Прямой эфир