абонентов билайн база данных
Данные 9 млн клиентов «Билайна» утекли в сеть
Фото: Олег Харсеев / Коммерсант
На днях стало известно о новой крупной утечке персональных данных россиян — на этот раз в сеть выложили около 9 млн записей клиентов «Билайна». Речь идет о клиентах компании, которые подключили домашний интернет. Эксперты, которые проверили актуальность выложенных данных, заявляют о том, что большое количество учеток до сих пор действительны.
Специалисты по кибербезопасности заявляют, что данных, попавших в сеть, вполне достаточно для совершения различных атак, включая самый опасный метод — социальную инженерию. Опасна она потому, что защититься от злоумышленников крайне сложно, мошенники ежегодно обманывают таким образом множество людей.
База содержит данные пользователей со всей России, она включает ФИО, адрес, мобильный и домашний телефоны. При этом выявлены как действующие, так и закрытые договоры. Как оказалось, в базу включены данные по состоянию на ноябрь 2016 года.
Представители «Билайна» уже провели расследование этого случая, заявив, что количество ШПД-абонентов у «Билайна» не превышает 3 млн человек. «Данная информация — небольшая часть базы 2017 года. Утечку данных мы зафиксировали два года назад,— пояснили там.— Все виновные были выявлены и понесли наказание, на текущий момент большая часть информации — это уже устаревшие данные», — сообщили в компании. Сейчас расследование этого случая продолжается.
То, что многие пользователи уже не являются пользователями компании, никак не влияет на риски для тех людей, чьи данные скомпрометированы. Сведения из этой базы могут быть объединены с информацией из других баз, после чего мошенникам будет гораздо проще вводить потенциальных жертв в заблуждение. Например, злоумышленники могут попытаться узнать данные банковских карт у пострадавших.
C другой стороны, поскольку в базе нет номеров карт, договоров и т.п., она не является очень уж желанной для мошенников высокого уровня. «Подобные базы, не имеющие банковской информации — номеров карт, договоров, историй операций и т. д., активно продаются. Те, кто профессионально занимается прозвоном банковских клиентов, давно уже получили к ним доступ»,— говорит начальник отдела по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов. Но для начинающих «социальных инженеров» утекшие в интернет данные могут быть полезны.
Что касается источника самой утечки, то игроки рынка считают необходимым искать и привлекать к ответственности тех, кто занимается «сливом». «На мой взгляд, не выход наказывать тех, у кого утекли сведения, европейский вариант многомиллионных штрафов за утечку данных также не сработает,— указывает господин Лукацкий.— Другое дело, что в настоящее время ни УПК, ни следственные органы, ни суды не готовы к рассмотрению подобных дел», — заявил бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий.
Недавно глава Сбербанка Герман Греф рассказал о том, что как служба безопасности организации смогла найти виновника утечки по кредитным картам своих клиентов. Данные об утечке была размещена на специализированном форуме, который заблокирован РКН. Продавец заявлял, что в базе содержалась информация о данных нескольких десятков миллионов кредиток. Продавец давал возможность ознакомиться с базой, высылая произвольные строки базы, около 200 строк для каждого потенциального покупателя.
Служба безопасности быстро смогла понять, что внешний взлом невозможен, поскольку база изолирована от внешней сети. Ну а в результате внутреннего расследования служба безопасности банка совместно с правоохранительными органами смогла найти виновника 1991 года рождения.
После того, как стало известно о продаже данных, представитель службы безопасности банка связался с подозреваемым. Служба безопасности смогла определить, что источник утечки — внутренний, так что банк стал проверять своих сотрудников. С течением времени виновник был обнаружен и теперь ему грозит уголовная ответственность. Этот человек пытался украсть клиентскую информацию по кредитным картам клиентов в корыстных целях.
Абонентов загрузили на сервер
Данные клиентов домашнего интернета «Вымпелкома» оказались в свободном доступе
Персональные данные почти 2 млн из 2,86 млн абонентов проводного широкополосного интернета «Вымпелкома» были в свободном доступе с 27 августа по 13 сентября. По объему инцидент может стать одной из крупнейших утечек персональных данных в этом году. В «Вымпелкоме» проводят расследование и заверяют, что все данные уже под защитой и клиентам ничего не угрожает. На продажу на теневых форумах база пока не выложена, но, по мнению экспертов, «ее скачали не один раз».
Фото: Антон Белицкий, Коммерсантъ / купить фото
Фото: Антон Белицкий, Коммерсантъ / купить фото
Независимый эксперт по компьютерной безопасности Боб Дьяченко в своем Twitter сообщил, что в свободном доступе оказались персональные данные абонентов домашнего интернета «Вымпелкома» (бренд «Билайн»), в том числе паспортные данные, электронные почты и номера телефонов. Информация была доступна через открытый Elasticsearch-сервер с 27 августа до 13 сентября, говорится в Telegram-канале «Утечки и информации» со ссылкой на данные поисковика Shodan.
Открытый сервер содержит около 4,2 Тб данных, и, основываясь на предыдущем опыте анализа похожих по формату систем, можно предположить, что ориентировочно это от 1,5 млн до 2 млн уникальных записей с персональными данными, рассказал “Ъ” основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Это позволяет считать инцидент одной из крупнейших утечек персональных данных в 2021 году». Общее число абонентов домашнего интернета «Вымпелкома» во втором квартале составило 2,86 млн, оценивал «ТМТ Консалтинг» (см. “Ъ” от 24 августа).
В базе могут содержаться данные «небольшой части наших абонентов фиксированного интернета», сообщили “Ъ” в пресс-службе «Вымпелкома».
«Мы провели дополнительное расследование инцидента и убедились, что все данные находятся под надежной защитой, нашим клиентам ничего не угрожает»,— в то же время заверили в компании. Там допускают, что по результатам внутренней проверки могут обратиться в правоохранительные органы для расследования инцидента: «Кража любой информации, связанной с данными наших клиентов, является уголовно наказуемой».
Данные абонентов оператора оказываются в открытом доступе уже второй раз за пять лет. В 2017 году утекшая база содержала 8,7 млн записей со сведениями о клиентах компании по всей России (см. “Ъ” от 7 октября 2019 года). В компании позже признали утечку, но отмечали, что большая часть информации на тот момент уже устарела.
Пока содержимое новой утечки не появлялось в продаже или обмене на профильных форумах в даркнете, но более чем вероятно, что за те две недели, что сервер был открыт, кто-то успел скачать их, отметил Ашот Оганесян. Скорее всего, базу уже выкачали не один раз: 2 млн записей — это большая утечка, и с учетом ее содержимого она определенно представляет ценность для мошенников, считает руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов.
По мнению руководителя направления Solar webProxy компании «Ростелеком-Солар» Петра Куценко, утекли самые чувствительные персональные данные и последствием может быть финансовое мошенничество и персонализированный фишинг.
Эксперт отмечает, что неправильная конфигурация Elasticsearch-сервера, позволяющая получить доступ к нему без пароля, остается довольно распространенной проблемой. Ежемесячно исследователи обнаруживают десятки таких серверов, а примерно десятая часть содержит критичную информацию, включая персональные данные, подтверждает Ашот Оганесян. Немало подобных примеров и за рубежом, добавил Петр Куценко.
Проблема вызвана халатностью владельца сервера, не уделившего должного внимания элементарной безопасности, считает Сергей Ненахов. По его словам, меры защиты от такого рода инцидентов для системных администраторов простые: регулярные проверки сетевого периметра на уязвимости позволяют своевременно обнаруживать слабые места.
Ой, утекло: сервер «Билайн» с данными абонентов был доступен из интернета
Сервер «Билайна» с данными абонентов был доступен всем желающим с 27 августа 2021 г. по 13 сентября 2021 г.
Об этом сообщил в своём Твиттере эксперт по информационной безопасности компании Security Discovery Боб Дьяченко:
«Не будет преувеличением, если я назову инцидент с утечкой данных пользователей «Билайна» российской версией ситуации с T-Mobile. Один из крупнейших операторов мобильной связи в России теряет терабайты данных о миллионах своих клиентов, но их служба поддержки заботится о том, чтобы ей отправляли запросы на русском языке».
Как пишет CNews, Боб Дьяченко пытался связаться с «Билайном», но оператор так и не отреагировал на его сообщения, однако 13 сентября данные пропали из открытого доступа.
База данных представляла собой свободно доступный ElasticSearch-сервер. Персональные данные находились в его индексах. Сервер находится в доменной зоне corbina.net и имеет внутреннее имя beelinelogger.
Любой желающий, скачав 4,1-терабайтный файл, получал доступ к ФИО абонентов «Билайна», к их номерам телефонов, а также к адресам электронной почты. Этих данных уже достаточно, чтобы организовать, к примеру, масштабный обзвон с целью выманивания денег.
Пример содержимого базы данных
Основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил CNews, что лично видел открытый сервер с базой данных «Билайна». Он подтвердил CNews, что в настоящее время доступ к персональным данным закрыт. Однако нет информации о том, сколько людей могли скачать ее для дальнейшего использования в своих целях.
«Видно, что в названиях индексов с логами фигурируют текущие даты (один индекс — один день) вплоть до 13 сентября 2021 г.», – заявил Оганесян.
«Билайн» выставил на продажу данные об абонентах по номерам их телефонов
За мзду малую
«Вымпелком» зарегистрировал домен check-fast.ru, где предлагает услугу «пробивки» информации о гражданах по номеру их телефона, сообщил «Коммерсант» со ссылкой на «СПАРК-Интерфакс». По данным издания, по 150 млн телефонных номеров из базы оператора можно получить различную персональную информацию о его владельце.
В частности, предлагается проверка надежности продавцов и покупателей Avito или других сайтов, выдача ссылок на профили в соцсетях, информация о наличии судимости или нахождении в розыске, просроченной кредитной задолженности и другим данным.
Для проведения операции по выдаче данных владелец номера должен предоставить согласие поделиться информацией, однако описание этой процедуры на сайте отсутствует. Услуга «пробивки» одного запроса оценена в 99 руб., пакета из десяти запросов в 479 руб., месячный неограниченный «абонемент» в 699 руб.
До сих пор подобные услуги оказывал только серый рынок «пробива», которым постоянно интересуются регуляторы и правоохранительные органы, отмечает «Коммерсант». Попытки оплатить проверку абонентов «Мегафона» и «Билайна» закончились выводом сообщения о технической ошибке и предложением оставить собственные данные.
Не виноватая я
Как заявили изданию в «Вымпелкоме», проект check-fast.ru является тестовой площадкой для выяснения спроса «на подобные продукты», и при этом не собирает персональные данные. По словам представителей оператора, в «Вымпелкоме» таким образом подготавливаются к информационной кампании по запуску программы противодействия мошенничеству.
«Сайт check-fast.ru является маркетинговым инструментом, созданным в рамках исследования спроса и ожиданий, а не функционирующим сервисом, вся информация на нем не является достоверной», – заявили представители «Вымпелкома».
За гранью закона
Несмотря на отсутствие услуг по «пробивке» информации о гражданах, сайт, тем не менее, собирает данные о потенциальных клиентах под видом оформления оплаты, включая имя, номер телефона и адрес электронной почты. По мнению Александра Савельева, зампреда комиссии московского отделения Ассоциации юристов России, все это очень напоминает процесс оценки потенциального спроса на такие услуги.
По мнению Савельева, даже в таком «режиме тестирования» сайт нарушает российское законодательство путем введения пользователей в заблуждение относительно целей сбора информации. «То, что происходит, мало отличается от такой практики «выуживания» персональных данных как фишинг», – заявил Савельев.
В Tele2 и «Мегафоне» подобных сервисов нет, заявили «Коммерсанту» в этих компаниях. По мнению сотрудника одного из операторов, запуск подобных сайтов для противостояния мошенникам выглядит странно, поскольку в крупных компаниях подобные процессы обеспечиваются «давно и на принципиально ином уровне» – например, посредством анализа больших данных, применения технологий искусственного интеллекта или специализированных ИТ-систем.
По мнению Саркиса Дарбиняна, партнера Digital Rights Center, очевидные выводы о желании людей платить за данные друг о друге можно было сделать из маркетингового анализа. Скорее, за этим просматривается желание крупных компаний заработать на этом, однако сервис поиска человека в соцсетях по номеру телефона является незаконным, отмечает Дарбинян, поскольку в правовой плоскости это персональные данные, распространение которых без разрешения субъекта запрещено.
В России уже присутствует серый рынок «пробивки» персональных данных с доступом к нему обычным пользователям интернета, отмечает «Коммерсант». В качестве примера издание приводит крупнейший Telegram-канал подобного рода, «Глаз Бога», работа которого была остановлена по требованию Роскомнадзора. Тем не менее, представитель сервиса уже сообщил о планах легализации своей работы в России.
Данные 2 миллионов абонентов «Билайна» оказались в открытом доступе
Специалист по компьютерной безопасности Боб Дьяченко опубликовал сообщение о масштабной утечке пользовательских данных из базы оператора «Билайн». Согласно источнику, размещённый в сети архив содержал около 2 миллионов записей с конфиденциальной информацией о пользователях проводного интернета российского оператора.
По словам Дьяченко, он обнаружил в сети базу данных объёмом 4,1 терабайта, содержащую от 1,4 до 2 миллионов записей об абонентах компании. Несмотря на попытки эксперта связаться со службой безопасности «Билайна», его сообщение, судя по посту в Twitter, осталось без ответа. Тем не менее 13 сентября доступ к слитому в сеть архиву был закрыт.
По данным СМИ, в архиве хранились такие сведения, как номера телефонов, адреса электронной почты и Ф. И. О. клиентов, чего в некоторых случаях может быть достаточно для осуществления мошеннического обзвона. Представители «Билайна» в ответ на запрос журналистов издания Cnews заявили, что в опубликованной базе были размещены только логи небольшой части абонентов фиксированного интернета.
Это уже не первый случай утечки архива с данными клиентов российского оператора. Предыдущий инцидент произошёл в 2019-м — тогда, по заявлению компании, в сети оказалась база, содержащая 2,5 миллиона записей.