Базы клиентов Street Beat и Sony Centre оказались в открытом доступе

Компания DeviceLock обнаружила в открытом доступе базу с данными покупателей магазинов Sony Centre и сети спортивной одежды Street Beat, управляющихся Inventive Retail Group (IRG). В IRG закрыли доступ к базе и уверены, что утечек из нее не произошло, хотя и обратились в правоохранительные органы. Подобные данные — потенциально востребованный товар в даркнете, отмечают эксперты.

Компания DeviceLock с помощью одного из своих сервисов обнаружила в открытом доступе базу данных клиентов IRG (входит в группу «Ланит», управляет сетями re:Store, Samsung, Sony Centre, Nike, Street Beat и др.), сообщили “Ъ” в DeviceLock. По словам основателя и технического директора компании Ашота Оганесяна, база данных, содержащая логи работы системы, оказалась в открытом доступе в связи с неправильной конфигурацией сервера Elasticsearch, допускающей доступ без авторизации. Господин Оганесян утверждает, что 4 июня DeviceLock уведомила IRG об этом и в тот же день база была закрыта.

В IRG подтвердили, что 4 июня получили письмо от DeviceLock об уязвимости в своих системах, «уязвимость была немедленно закрыта». В компании не подтверждают факта утечки данных о клиентах. «На основании информации, полученной от “Ъ”, мы немедленно обратились в правоохранительные органы на предмет расследования вероятного хищения данных»,— заявил представитель IRG. В компании подчеркнули, что «очень внимательно относятся к данным о клиентах» и проходят регулярный аудит информационной безопасности.

Впрочем, несмотря на закрытие доступа к серверу, скомпрометированные логины и пароли от личных кабинетов покупателей магазинов Street Beat и Sony Centre до сих не сброшены и в эти личные кабинеты можно попасть, утверждает Ашот Оганесян. По его словам, база включала данные с ноября 2018 года, всего в ней было более 3 млн записей, содержащих email-адреса, более 7 млн записей, содержащих телефоны, а также более 21 тыс. пар логин—пароль к личным кабинетам покупателей магазинов Sony и Street Beat, включая дублирующиеся записи, то есть реальное количество данных меньше. В Sony на запрос “Ъ” не ответили, Street Beat — собственный бренд IRG.

«Такое событие в любом случае классифицируется как инцидент информационной безопасности. Эти данные не должны были оказаться в открытом доступе, но оказались. То, что злоумышленники не успели выгрузить данные,— это лишь счастливая случайность. Но уверенности в том, что за все это время никто не обнаружил базу, быть не может»,— рассуждает операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Антон Юдаков. Чтобы снизить вероятность возникновения подобных инцидентов, администраторы баз данных должны проверять, закрыт ли к ним доступ из интернета, не использовать настройки по умолчанию и слабые пароли, а также ответственно подходить к своевременной установке обновлений безопасности, добавляет он.

Подобные данные — востребованный товар в даркнете, отмечает господин Юдаков. «Они могут использоваться для спама, фишинга и других типов социальной инженерии, телефонного мошенничества. Еще более важно, что утекшие логины и пароли с большой вероятностью могут использоваться и в других онлайн-сервисах вплоть до интернет-банка. Мы сталкивались с аналогичными случаями на практике»,— рассказывает эксперт.

При этом если разрешения на доступ к данным изначально не было, то уже сам факт несанкционированного доступа к ним со стороны DeviceLock является нарушением, полагает партнер юридической компании НАФКО Павел Иккерт. «Основная сложность в данном случае — доказать факт незаконного доступа к персональным данным и их обработки конкретными лицами. Такие лица могут быть привлечены к административной ответственности»,— добавляет замгендиректора по правовым вопросам «Амулекс» Юлия Галуева.

Кристина Жукова, Юлия Тишина