У СДЭК снова произошла утечка данных. На этот раз в открытом доступе обнаружены два дампа, связанные с недавно запущенным сервисом для заказов товаров за рубежом CDEK.Shopping и маркетплейсом «CDEK.Маркет».
Утечку обнаружили специалисты Data Leakage & Breach Intelligence (DLBI). Они сообщают, что данные опубликовал тот же источник, который ранее уже «сливал» в сеть информацию СДЭК, сервиса покупки билетов tutu.ru, службы доставки Delivery Club, образовательной платформы GeekBrains, «Почты России» и так далее.
По информации DLBI, дамп CDEK.Shopping, насчитывающий 19 839 строк, содержит:
- имена;
- адреса электронной почты;
- хешированные (bcrypt) пароли;
- телефоны;
- даты рождения;
- даты создания и обновления профилей (с 19.04.2022 по 15.08.2022).
Дамп «СДЭК.Маркет», насчитывающий около 100 000 строк, в целом похож на первый:
- имена и фамилии;
- логины;
- адреса электронной почты;
- телефоны;
- хешированные (MD5 с солью) пароли;
- даты создания профилей и последнего входа в систему (с 27.08.2018 по 15.03.2022).
Представители СДЭК уже подтвердили факт утечки БД клиентов и сообщают, что в настоящее время компания проводит проверку и работает над предотвращением распространения данных.
«Мы изучаем базу данных, выложенных в сеть, и уже выясняем обстоятельства случившегося. Данные в базе похожи на базу клиентов CDEK.Shopping и “СДЭК.Маркет”. Уже известно, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. Мы делаем все, чтобы предотвратить распространение утечки», — говорят в компании.
Стоит отметить, что ранее на этой неделе стало известно о том, что рабочая группа при Минцифры продолжает работу над законопроектом об оборотных штрафах для компаний, допустивших утечки данных. В настоящее время рабочая группа склоняется к тому, что оборотные штрафы должны получать компании, допустившие утечку информации более чем 10 000 субъектов персональных данных (то есть граждан).
Среди смягчающих обстоятельств, которые «позволят снизить штраф вплоть до фиксированного значения в несколько миллионов», СМИ перечисляют следующие: если компания выявила утечку, публично призналась, активно проводила расследование, помогала надзорным органам и в рамках расследования, выяснилось, что утечка не произошла по причине нарушения требований информационной безопасности.
Напомню, что данный проект разрабатывается совместно с Роскомнадзором и, по словам главы Минцифры Максута Шадаева, не будет касаться госорганов. Ранее обсуждалось, что штраф должен составлять до 1% от оборота. Однако крупные ИТ-компании настаивали, что риски утечек есть независимо от того, как сильно организация вкладывалась в информационную безопасность, и просили смягчить формулировки документа.