«Понравилась эта рассылка?» спросил меня один из ритейлеров в конце письма с поздравлениями с наступающим Новым годом и рассказом об акциях в праздники. Письмо пришло в полдень, 31 декабря 2022 г., а уже вечером того же дня появились первые сообщения об утечке персональных данных покупателей сети «Спортмастер».

Для широкой публики сообщение промелькнуло в телеграм-канале Brief со ссылкой на «Вести». Но кто ж заметит его вечером 31 декабря? В канале Data1eak, который специализируется на информации об утечках, сообщалось о публикации 1 655 407 записей, которые включают ФИО, дату рождения, телефон, электронную почту и адреса покупателей магазина спортивных товаров «Спортмастер». Информацию о клиентах сети выложили в открытый доступ проукраинские хакеры из NLB.

3 января 2023 г. хакеры опубликовали полный массив данных, который составляет 100 655 407 записей, включающий первый блок. Актуальность базы данных – 2010-2018 годы. Как отмечают эксперты, БД содержит 45,89 млн уникальных номеров мобильных и городских телефонов, 13,4 млн уникальных адресов электронной почты.

1 января 2023 г. информационные агентства сообщили, что «Спортмастер» подтвердил факт утечки, уведомил Роскомнадзор и проводит проверку по факту инцидента. При этом ответственность за утечку возложена на подрядчиков (а вы читаете новости на сайтах информагентств 1 января?).

Мобильное приложение интернет-магазина «Спортмастер» для Android было обновлено 28 декабря 2022 г. «Мы добавили новый код, но вы этого не заметите. А если заметите – напишите нам», – пишут разработчики. 5 января я попыталась зайти в личный кабинет через мобильное приложение. Код подтверждения – последние 4 цифры звонка, а не традиционное SMS как прежде, так и не поступил. Не получилось авторизоваться и на сайте сети спорттоваров.

Новостная лента телеграмм-каналов «Спортмастера» обновлялась все праздники ежедневно в режиме реального времени, а не путем отложенных публикаций. Поддержка мобильного приложения в GooglePlay активно отвечала на замечания пользователей даже 1 января. Той же датой отмечено и письмо о подтверждении адреса подписки, найденное мною в новогодней почте. То есть технический персонал «Спортмастера» работал все выходные.

Поэтому возникает вопрос: а где информация для ста миллионов клиентов сети об утечке их персональных данных? Где новости на сайте, где рассылка о возможной утечке моих данных в почте? Где отдельный пост об инциденте в телеграмм-каналах? Неужели не хватило недели, чтобы оповестить покупателей не только об акциях, скидках и распродажах, но и об угрозе их персональным данным, включающим имена, телефоны и адреса доставки, которые часто совпадают с местом жительства?

По состоянию на 6 января 2023 г., после некоторых изысканий, мне удалось найти в комментариях под постом от 3 января в телеграмм-канале «Спортмастера» официальную реакцию торговой сети на вопросы редких возмущенных читателей:

«Здравствуйте! Инцидент не затрагивает логины и пароли пользователей, платежную информацию, а также учетные данные сотрудников.

В настоящий момент проводится оценка рисков и внутреннее расследование источника инцидента. По предварительным данным, утечка произошла через одного из подрядчиков компании, который имел доступ к указанной информации.

Спортмастер ценит доверие клиентов, для компании крайне важна безопасность их персональных данных. Мы продолжаем изучать инцидент и принимать все необходимые меры. Результаты внутреннего расследования позволят сделать выводы о причинах происшествия и устранить уязвимости защиты данных, чтобы избежать повторения подобных ситуаций».

Лично я не знаю, как ценит доверие ста миллионов клиентов «Спортмастер». В отличие от компании «Вкусвилл», которая сразу выразила сожаления об утечке персональных данных покупателей в начале декабря 2022 г. и сообщила о предпринятых действиях по расследованию инцидента на сайте, крупнейшая в России сеть спорттоваров пошла по простому пути: «Не спрашивают – не говори». И если завтра будет отмечен очередной всплеск звонков «следователей» и «специалистов банка» на уникальные 45 млн номеров, так то хакеры виноваты. Или недобросовестные подрядчики…

9 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных