Персональные данные почти 2 млн из 2,86 млн абонентов проводного широкополосного интернета «Вымпелкома» были в свободном доступе с 27 августа по 13 сентября. По объему инцидент может стать одной из крупнейших утечек персональных данных в этом году. В «Вымпелкоме» проводят расследование и заверяют, что все данные уже под защитой и клиентам ничего не угрожает. На продажу на теневых форумах база пока не выложена, но, по мнению экспертов, «ее скачали не один раз».
Фото: Антон Белицкий, Коммерсантъ / купить фото
Независимый эксперт по компьютерной безопасности Боб Дьяченко в своем Twitter сообщил, что в свободном доступе оказались персональные данные абонентов домашнего интернета «Вымпелкома» (бренд «Билайн»), в том числе паспортные данные, электронные почты и номера телефонов. Информация была доступна через открытый Elasticsearch-сервер с 27 августа до 13 сентября, говорится в Telegram-канале «Утечки и информации» со ссылкой на данные поисковика Shodan.
Открытый сервер содержит около 4,2 Тб данных, и, основываясь на предыдущем опыте анализа похожих по формату систем, можно предположить, что ориентировочно это от 1,5 млн до 2 млн уникальных записей с персональными данными, рассказал “Ъ” основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Это позволяет считать инцидент одной из крупнейших утечек персональных данных в 2021 году». Общее число абонентов домашнего интернета «Вымпелкома» во втором квартале составило 2,86 млн, оценивал «ТМТ Консалтинг» (см. “Ъ” от 24 августа).
В базе могут содержаться данные «небольшой части наших абонентов фиксированного интернета», сообщили “Ъ” в пресс-службе «Вымпелкома».
«Мы провели дополнительное расследование инцидента и убедились, что все данные находятся под надежной защитой, нашим клиентам ничего не угрожает»,— в то же время заверили в компании. Там допускают, что по результатам внутренней проверки могут обратиться в правоохранительные органы для расследования инцидента: «Кража любой информации, связанной с данными наших клиентов, является уголовно наказуемой».
Данные абонентов оператора оказываются в открытом доступе уже второй раз за пять лет. В 2017 году утекшая база содержала 8,7 млн записей со сведениями о клиентах компании по всей России (см. “Ъ” от 7 октября 2019 года). В компании позже признали утечку, но отмечали, что большая часть информации на тот момент уже устарела.
Пока содержимое новой утечки не появлялось в продаже или обмене на профильных форумах в даркнете, но более чем вероятно, что за те две недели, что сервер был открыт, кто-то успел скачать их, отметил Ашот Оганесян. Скорее всего, базу уже выкачали не один раз: 2 млн записей — это большая утечка, и с учетом ее содержимого она определенно представляет ценность для мошенников, считает руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов.
По мнению руководителя направления Solar webProxy компании «Ростелеком-Солар» Петра Куценко, утекли самые чувствительные персональные данные и последствием может быть финансовое мошенничество и персонализированный фишинг.
Эксперт отмечает, что неправильная конфигурация Elasticsearch-сервера, позволяющая получить доступ к нему без пароля, остается довольно распространенной проблемой. Ежемесячно исследователи обнаруживают десятки таких серверов, а примерно десятая часть содержит критичную информацию, включая персональные данные, подтверждает Ашот Оганесян. Немало подобных примеров и за рубежом, добавил Петр Куценко.
Проблема вызвана халатностью владельца сервера, не уделившего должного внимания элементарной безопасности, считает Сергей Ненахов. По его словам, меры защиты от такого рода инцидентов для системных администраторов простые: регулярные проверки сетевого периметра на уязвимости позволяют своевременно обнаруживать слабые места.