Пища для размышлений: данные клиентов сервисов доставки оказались в свободном доступе
Октябрьский районный суд Петербурга зарегистрировал иск о защите персональных данных и компенсации морального вреда. Ответчик — служба-агрегатор доставки еды. База данных её клиентов — фамилии, телефоны, адреса — оказались в свободном доступе в интернете. То есть, как минимум это чревато рекламными рассылками спама. А вообще тревожно, что любой может по фамилии узнать, где ты живёшь. База федеральная. В Москве клиенты написали коллективную претензию. Корреспондент 78.ru выяснил, каким образом закон и сама служба будут решать проблему утечки данных.
Данные, которые Любовь Пономарёва заносила в анкету при регистрации в популярном сервисе по доставке еды, больше не тайна. Кто захочет, всё о ней узнает и найдёт.
— Я сначала не поверила. Подумала, что это какая-то шутка, но когда увидела свою фамилию… Сами знаете, сколько мошенников и так звонят, предлагают кредиты, и лишняя информация в интернете ни к чему хорошему не приводит, — сетует пострадавшая.
Воспользоваться общедоступными данными злоумышленники и правда теперь могут на своё усмотрение. Если будут звонить, то уже точно зная фамилию-имя-отчество и день рождения абонента. И выдвигать соответствующие предложения о покупке или пытаться обмануть, подобрав подходящую психологическому образу тактику.
Злоумышленники взломали базу данных агрегатора ещё в начале месяца, позже для демонстрации результата своей работы оформили информацию в виде интерактивной карты. По просьбе атакованного сервиса сайт был сразу закрыт, но многим базу удалось скачать.
— Маленькой трещины в защите, а защита это огромный периметр, достаточно чтобы какая-то часть базы данных могла утечь наружу. Это проблема всех компаний. Потому что безопасность и удобство — это противоположные вещи, — говорит ведущий научный сотрудник СПб ФИЦ РАН, руководитель Международного центра цифровой криминалистики Андрей Чечулин.
Практически сразу руководитель компании-агрегатора рассказал, что персональные данные утекли из-за предательства сотрудника, которого сейчас пытаются вычислить.
— Февральская утечка — беспрецедентный случай для нас. За прошедшие недели команда «Еды» свела к минимуму количество сотрудников, которые имеют доступ к приватным данным. Мы уже переносим эти данные в более защищённое хранилище и будем тщательно следить за тем, чтобы они не покидали безопасный контур. Мы закрыли систему, через которую был получен доступ к данным, — заверяет руководитель сервиса по доставке готовой еды Роман Маресов.
Одна карточка с информацией о клиенте оценивается злоумышленниками рублей в двадцать. С учётом утечки данных нескольких миллионов человек сумма, которую мог заработать сотрудник компании, может иметь восьмизначное значение. В Замоскворецкий суд Москвы был подан коллективный иск к одному из крупнейших сервисов доставки готовой еды. Пока в нём 24 фамилии, но с каждой минутой их становится больше.
— У нас одно требование — компенсация морального вреда. Можем потребовать компенсировать убытки, но их тяжело доказывать. Мы заявили 10 тыс. рублей на каждого человека. Рассчитываем на эту компенсацию, — поясняет председатель общественной организации «Ответственность» Денис Бутовичев.
Максимальная сумма выплаты для одного человека может быть не более 100 тыс. рублей. В настоящее время есть предпосылки подобных коллективных исков и к другим отечественным сервисам. Утечка произошла у доставщика японской еды и крупной курьерской компании по доставке документов и грузов.
— Несколько крупных хакерских группировок проявили интерес к взлому сервисов в РФ. Это, скорее, не зарабатывание денег, а спортивный интерес — ведь у нас есть проблемы в информационной безопасности. Атак стало больше. И реакция. Соответствующие органы активно рассылают рекомендации и принимаются новые законы по информационной защищённости, чтобы обезопасить граждан, — добавляет Чечулин.
Но самой надёжной защитой от подобной утечки персональных данных может быть единственная мера — не пользоваться интернет-сервисами и не размещать никакой личной информации. Но без этого жизнь современного человека представить почти невозможно, а значит риск деанонимизации будет сохраняться. 100-процентных гарантий ни одна компания в мире дать не может.
Видео: 78.ru