В открытом доступе обнаружена база данных абонентов российского оператора "Билайн", сообщает SecurityLab.ru.
По данным издания, исследователь Боб Дьяченко в своем Twitter сообщил, что обнаружил свободно доступный Elasticsearch-сервер, в индексах которого содержатся личные данные клиентов компании, в том числе ФИО, номер телефона, адрес электронной почты, серия и номер паспорта, адрес проживания и дата рождения.
Предположительно эти данные принадлежат пользователям услуги "домашний интернет" от "Билайн".
Как сообщает Telegram-канал "Утечки информации", исследователь предупредил компанию о проблеме, но ответа не получил. Сервер оставался открытым до 13 сентября.
Точное количество данных, оказавшихся в открытом доступе, пока неизвестно. Telegram-канал "Утечки информации" предполагает, что речь может идти о 1,5-2 млн. записей.
UPD от 15.09.2021: По сообщению в официальном Telegram-канале "Билайн", компания провела проверку информации об утечке данных абонентов. В сообщении утверждается, что личные данные пользователей достаточно защищены.
"По имеющейся у нас информации, в этой базе содержатся только технические логи небольшой части наших абонентов фиксированного интернета. Наши специалисты провели дополнительное расследование инцидента и еще раз убедились, что все данные находятся под надёжной защитой, и нашим клиентам ничего не угрожает", — говорится в сообщении.
Также внутри компании было инициировано служебное расследование, которое должно помочь установить источник распространения информации об утечке.
Отметим, что, по данным компании по стратегическому управлению цифровыми рисками Bi.Zone, не менее 15% компаний в России используют общедоступные незащищенные хранилища данных, а треть организаций, пользующиеся облачными ресурсами, не заключают соглашение о неразглашении (NDA) с подрядчиком для защиты информации от возможных утечек. Об этом пишет ТАСС.
Работа с недобросовестными подрядчиками по хранению данных, как отмечают эксперты Bi.Zone, способна привести к потере конфиденциальной информации, ущерб от которой может составлять сотни миллионов рублей.
Эксперты рекомендуют для предотвращения возможных утечек из облачных хранилищ заранее ознакомиться с правилами кибербезопасности вендора, изучить его инструменты защиты данных и заключить с ним NDA, который может служить дополнительным инструментом привлечения подрядчика к ответственности.
UPD от 16.09.2021: Как сообщает "Интерфакс", Роскомнадзор запросил у компании "Вымпелкома" информацию об утечке персональных данных пользователей. В случае подтверждения вины компании в инциденте ей грозит штраф до 100 тыс. рублей.
В ведомстве добавили, что граждане, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии