С новой утечкой!

«Понравилась эта рассылка?» спросил меня один из ритейлеров в конце письма с поздравлениями с наступающим Новым годом и рассказом об акциях в праздники. Письмо пришло в полдень, 31 декабря 2022 г., а уже вечером того же дня появились первые сообщения об утечке персональных данных покупателей сети «Спортмастер».

Для широкой публики сообщение промелькнуло в телеграм-канале Brief со ссылкой на «Вести». Но кто ж заметит его вечером 31 декабря? В канале Data1eak, который специализируется на информации об утечках, сообщалось о публикации 1 655 407 записей, которые включают ФИО, дату рождения, телефон, электронную почту и адреса покупателей магазина спортивных товаров «Спортмастер». Информацию о клиентах сети выложили в открытый доступ проукраинские хакеры из NLB.

3 января 2023 г. хакеры опубликовали полный массив данных, который составляет 100 655 407 записей, включающий первый блок. Актуальность базы данных – 2010-2018 годы. Как отмечают эксперты, БД содержит 45,89 млн уникальных номеров мобильных и городских телефонов, 13,4 млн уникальных адресов электронной почты.

1 января 2023 г. информационные агентства сообщили, что «Спортмастер» подтвердил факт утечки, уведомил Роскомнадзор и проводит проверку по факту инцидента. При этом ответственность за утечку возложена на подрядчиков (а вы читаете новости на сайтах информагентств 1 января?).

Мобильное приложение интернет-магазина «Спортмастер» для Android было обновлено 28 декабря 2022 г. «Мы добавили новый код, но вы этого не заметите. А если заметите – напишите нам», – пишут разработчики. 5 января я попыталась зайти в личный кабинет через мобильное приложение. Код подтверждения – последние 4 цифры звонка, а не традиционное SMS как прежде, так и не поступил. Не получилось авторизоваться и на сайте сети спорттоваров.

Новостная лента телеграмм-каналов «Спортмастера» обновлялась все праздники ежедневно в режиме реального времени, а не путем отложенных публикаций. Поддержка мобильного приложения в GooglePlay активно отвечала на замечания пользователей даже 1 января. Той же датой отмечено и письмо о подтверждении адреса подписки, найденное мною в новогодней почте. То есть технический персонал «Спортмастера» работал все выходные.

Поэтому возникает вопрос: а где информация для ста миллионов клиентов сети об утечке их персональных данных? Где новости на сайте, где рассылка о возможной утечке моих данных в почте? Где отдельный пост об инциденте в телеграмм-каналах? Неужели не хватило недели, чтобы оповестить покупателей не только об акциях, скидках и распродажах, но и об угрозе их персональным данным, включающим имена, телефоны и адреса доставки, которые часто совпадают с местом жительства?

По состоянию на 6 января 2023 г., после некоторых изысканий, мне удалось найти в комментариях под постом от 3 января в телеграмм-канале «Спортмастера» официальную реакцию торговой сети на вопросы редких возмущенных читателей:

«Здравствуйте! Инцидент не затрагивает логины и пароли пользователей, платежную информацию, а также учетные данные сотрудников.

В настоящий момент проводится оценка рисков и внутреннее расследование источника инцидента. По предварительным данным, утечка произошла через одного из подрядчиков компании, который имел доступ к указанной информации.

Спортмастер ценит доверие клиентов, для компании крайне важна безопасность их персональных данных. Мы продолжаем изучать инцидент и принимать все необходимые меры. Результаты внутреннего расследования позволят сделать выводы о причинах происшествия и устранить уязвимости защиты данных, чтобы избежать повторения подобных ситуаций».

Лично я не знаю, как ценит доверие ста миллионов клиентов «Спортмастер». В отличие от компании «Вкусвилл», которая сразу выразила сожаления об утечке персональных данных покупателей в начале декабря 2022 г. и сообщила о предпринятых действиях по расследованию инцидента на сайте, крупнейшая в России сеть спорттоваров пошла по простому пути: «Не спрашивают – не говори». И если завтра будет отмечен очередной всплеск звонков «следователей» и «специалистов банка» на уникальные 45 млн номеров, так то хакеры виноваты. Или недобросовестные подрядчики…