Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц.

Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ. Утечка  произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки физическим лицам, считают эксперты.

Сервер ОФД «Дримкас» стал общедоступным 9 сентября и был в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.
Утекла информация, начиная от  ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.
Также в Сеть попали телефоны и e-mail 3 тыс.  пользователей скидочной программы «Покупай-ка».

«Известия» позвонили по нескольким  номерам, находящимся в открытом доступе и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, содержится информация о том, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.

В компании объяснили утечку атаками на серверы, происходящими  с начала сентября. Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.
— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.
Эксперты по кибербезопасности сомневаются в корректности такого объяснения.
— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.

В открытый доступ фискальные данные попали впервые, как пояснили в ФНС. В силу закона операторы обязаны защищать сведения, полученные от пользователей контрольно-кассовой техники, покупателей и налоговых органов, добавили там.
— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.

ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».

Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock. Доступ к ним часто остается открытым из-за ошибок айтишников: они  забывают поставить галочки в нужных местах, рассказал «Известиям» зам. гендиректора компании по защите от утечек данных Zecurion Александр Ковалев.
Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, нужно воспользоваться специализированными системами поиска. Там скачивают конфиденциальную информацию, которая  не была защищена  должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Собираемая ОФД информация  позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные  клиентов. Однако, теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.
Касательно физических лиц, а также представителей компаний, по закону персональными данными является любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

За утечку предусмотрен административный штраф до 75 тыс. рублей, а уголовная ответственность составляет лишение свободы до пяти лет. Также, пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.

Источник: Газета "Известия"