Хакеры выставили на продажу базу персональных данных 1,3 млн россиян. Все пострадавшие — клиенты компании Oriflame.
Сканы паспортов утекли в даркнет после ужесточения законодательства в части защиты персональных данных. Некоторые пострадавшие разочарованы в том, что государству не удалось защитить их от хакерской атаки. Они советуют отказаться от покупок в интернете, чтобы не стать жертвой черных кредиторов и мошенников.
О том, стоит ли совершать онлайн-покупки после инцидента с Oriflame, — в материале FotPost.
Где заканчивается свобода
Напомним, с 27 марта в два раза увеличился штраф за нарушение правил обработки и хранения персональных данных. Для физических лиц он установлен в размере до 10 тыс. рублей, для должностных лиц — до 40 тыс. рублей, для юридических лиц — до 150 тыс. рублей.
Согласно действующему законодательству, обработка общедоступных данных заканчивается там, где решит их владелец. Если вы считаете, что ваши фамилия, имя, отчество — информация, подлежащая разглашению, а дата рождения относится к конфиденциальным сведениям, оператор обязан учесть это пожелание. Компании должны тщательно следить за сохранностью данных и проверять интернет-ресурсы на уязвимости.
К сожалению, ужесточение законодательства не помогло клиентам Oriflame. Сканы паспортов 1,3 млн партнёров бренда из России оказались в открытом доступе.
По данным экспертов, злоумышленники эту базу данных могут выгодно продать на чёрном рынке. Цена вопроса — десятки тысяч долларов.
По поддельным документам можно взять микрозаём, зарегистрировать домены в Рунете, сим-карты или кошельки платёжных систем.
Объединив информацию, например, с базой пластиковых карт, злоумышленник может подготовить поддельный паспорт или оформить электронную подпись, что приведёт к краже всех денег с банковских счетов или перепродаже активов.
.
В компании Oriflame уже расследуют инцидент.
«(Хакерские) атаки произошли 31 июля и 1 августа 2021 года и привели к тому, что злоумышленники могли получить незаконный доступ к персональным данным некоторых партнёров бренда, таким, как копии удостоверений личности. Такие данные, как номер банковского счета, номера телефонов и пароли, не были затронуты данной атакой. Коммерческие операции также не пострадали. На данный момент мы можем подтвердить, что инцидент в основном затронул партнёров бренда в странах СНГ и Азии», — сказано в сообщении Oriflame, опубликованном на официальном сайте сетевого магазина.
В компании заявили, что «уже обратились в соответствующие органы» и дали несколько советов пострадавшим.
В частности, в Oriflame попросили в случае получения информации о мошенническом микрозайме сообщить в полицию, держать в ухо востро при общении со специалистами сторонних организаций, которые неожиданно позвонили с выгодным предложением, а также обновить пароли, которые были использованы при входе в личный кабинет на сайте компании.
«Разместить информацию на сайте недостаточно. Компания должна разослать электронное сообщение всем клиентам. Желательно это сделать несколько раз.
Возмещать моральную компенсацию пострадавшим — вопрос спорный. Человек, который стал жертвой хакеров, может понабрать микрокредитов, а затем сказать, что это сделали злоумышленники, так как его паспортные данные оказались в открытом доступе по вине Oriflame, и потребовать от компании закрыть все взятые на его имя микрокредиты», — уточнил в беседе с корреспондентом ForPost специалист по информационной безопасности Дмитрий Буравцов.
Читайте по теме: Пользователи сайта госуслуг могут массово пострадать от мошенников
Стоит ли покупать в интернете?
Интернет-омбудсмен Дмитрий Мариничев посоветовал пострадавшим клиентам Oriflame не паниковать.
По его мнению, в даркнет утекло «слишком много сканов паспортов россиян». На всех микрокредиты злоумышленники «оформлять точно не будут».
Мариничев надеется, что инцидент с Oriflame станет триггером для принятия важного решения на законодательном уровне — запретить использовать сканы документов при получении микрозаймов.
Сейчас при оформлении небольших онлайн-займов (до 15 тыс. рублей) микрофинансовые организации очень часто применяют упрощённую идентификацию. Обычно они просят клиентов прислать данные паспорта или его скан, а также фотографию с паспортом в руках. В таких условиях мошенникам легче имитировать внешность владельца паспорта.
При оформлении займов на крупные суммы банки и МФО, как правило, более щепетильны к документам заёмщика. С помощью скана паспорта получить кредит не получится.
«У человека должна появиться юридическая возможность отменить мошеннический микрозайм. Для этого необходимо скорректировать действующее законодательство. Запретить магазинам, в том числе и сетевым, истребовать паспортные данные для совершения покупок не получится. Без идентификации личности при совершении ряда покупок не обойтись», — подчеркнул в беседе с корреспондентом ForPost Мариничев.
Он напомнил, что онлайн-покупки тесно связаны с потребительскими оффлайн-традициями: при походе в некоторые магазины покупатели предоставляют персональные данные, в том числе паспорт.
Читайте также: Не дом и не улица: из паспортов россиян исчезнут штампы о прописке
Поэтому, совершая покупки в интернет-магазине, люди не задумываясь сканируют паспорт, предоставляют сведения о банковских картах и другие персональные данные.
«Потребителям порой деваться некуда. Иначе они не смогут совершить покупку. Поэтому имеет смысл сделать идентифицирующие личность данные необходимыми, но недостаточными для того, чтобы нанести урон или ущерб человеку.
Разные страны решают этот непростой вопрос по-разному: где-то ужесточается административная ответственность, где-то вводятся обязательные позиции, которые должны обрабатывать компании и заботиться об их сохранности. Рано или поздно мы придём к балансу интересов: граждане будут совершать онлайн-покупки без рисков», — уточнил Мариничев.
Поэтому поход в онлайн-магазин остаётся делом выгодным и, получается, не всегда рискованным. Покупки совершать можно, но с оглядкой по сторонам и с соблюдением интернет-гигиены: не стоит оставлять о себе сведений там, где этого не нужно делать.
Специалист по информационной безопасности Дмитрий Буравцов отметил, что при совершении онлайн-покупок задача мошенников — украсть средства с банковской карты, а не похитить паспортные данные.
«Данные банковских карт защищены довольно неплохо — все банковские процессинги происходят на стороне банка. Раньше сведения с банковской карты попадали в специальную базу данных, которую можно было украсть.
Что касается персональных данных, то абсолютной безопасности не существует. Это миф. Ни один сервис не застрахован от хакерских атак. Единственный выход — своевременно реагировать на появление различных уязвимостей, чего, по-видимому, не произошло в Oriflame», — уточнил Буравцов.
Читайте также: Порносайты в России хотят легализовать через госуслуги
Взять и засудить
Получается, что вся ответственность по защите персональных данных целиком и полностью лежит на компаниях. Если произошла утечка данных, то спрашивать нужно с интернет-магазина, который был обязан побеспокоиться о защите личной информации своих клиентов и партнёров.
Поэтому россияне, чьи данные оказались слиты в Сеть, могут подать заявление в полицию. Но для этого потребуется доказать нанесённый ущерб, иначе по законодательству ничего предпринять нельзя, сообщил корреспонденту ForPost специалист по кибербезопасности, программист Сергей Вакулин.
По его данным, в регионах практически нет специалистов, которые могут проверить сайт компании, откуда утекли персональные данные, на уязвимость. Услуги московских программистов многим пострадавшим не по карману.
Поэтому российские суды пока не рассмотрели ни одного иска к компании, откуда была похищена персональная информация.
«Убедить суд в том, что персональные данные оказались в Сети не по вине человека, а из-за уязвимости сайта компании, весьма проблематично и затратно. Хотя, безусловно, компания должна нести ответственность», — уточнил Вакулин.
По оценке экспертов, для Oriflame хакерская атака чревата имиджевыми потерями. Утечка данных — это репутационные риски. И теперь компании придётся приложить усилия к пиар-активности, чтобы восстановить репутацию. Это тоже выльется в затраты и времени, и денег.
«У нас очень многие ценности из категории нравственных — такие, как репутация, этика, — они перешли в категорию экономических. От них зависит уже успех того или иного бизнеса, репутация компании, конкретного человека, руководителя и прочее», — отметил в интервью телеканалу «360» специалист по информационной безопасности «Ростелеком-Солар» Олег Седов.
Похищая данные россиян, хакеры всё чаще руководствуются правилом воришек Марвина и Гарри из кинофильма «Один дома — 2»: «Рождество — это идеальное время грабить магазин игрушек. Этого ограбления ждут меньше всего».
Поэтому всё чаще жертвами хакеров становятся не государственные учреждения, а сайты сетевых магазинов, безопасность которых часто похожа на онлайн-решето.
«Лучше взломать 100 сайтов Oriflame и получить солидный куш от продажи базы данных, чем пыхтеть над взломом государственного портала», — резюмировал Буравцов.
Поэтому никто не гарантирует потребителю, что при совершении покупок в интернет-магазине он не повторит судьбу героя фильма «Гараж», которому суждено вытащить из шапки «эту «счастливую» бумажку».
Читайте также: Спецы советуют россиянам не проходить он-лайн тесты и не оставлять следов в интернете
Роберт Вочовский
А интернет-магазин и хакеры на одной платформе работают? Близницы-братья.
Если копнуть глубже, то выяснится, что эта информация не очень сильно похожа на правду, а просто репутационнй вброс.
Сходить просто в магазин и купить. В итоге дешевле обойдётся.