Персональные данные более 5 тыс. пользователей платформы для продвижения в социальных сетях Tiktopers оказались в открытом доступе. В компании уверяют, что все пароли клиентов, попавшие в сеть, хранятся в зашифрованном виде. Но эксперты полагают, что адресов электронной почты и телефонов, которые также оказались в базе, достаточно для взлома аккаунтов блогеров. Понесенные в результате этого убытки они могут взыскать с площадки, которой также, по словам юристов, грозит штраф за утечку персональных данных.
Фото: Евгений Павленко, Коммерсантъ
Автор канала «Утечки информации» Ашот Оганесян обнаружил, что в открытом доступе в сети появилась база данных Tiktopers, платформы для продвижения аккаунта в TikTok и Instagram. База содержит более 5,1 тыс. строк с адресами электронной почты, телефонами и зашифрованными паролями клиентов платформы, рассказал он “Ъ”. Эксперт проанализировал 2 тыс. пар электронных адресов и паролей из базы, и 82% из них оказались уникальными. Самая крупная утечка, связанная с данными блогеров, на 33,7 млн пользователей, произошла в 2014 году у «Живого журнала», отметил Ашот Оганесян.
В Tiktopers заверили “Ъ”, что в опубликованной базе «неверная информация о пользователях»: «Личные данные блогеров, включая личные номера телефонов, хранятся вне сервера сайта. Все пароли пользователей в базе зашифрованы».
Также представители платформы рассказали, что в последний год сталкиваются с большим числом атак «от недоброжелателей», но никаких требований от хакеров не поступало.
Сайт могли взломать конкуренты, полагает партнер агентства по управлению репутацией и аналитике социальных медиа Digital Guru Ольга Соколова. И хотя утекшие пароли зашифрованы, другие данные, которые оказались в открытом доступе, можно использовать, отмечает она.
Гендиректор Infosecurity a Softline Кирилл Солодовников считает, что утечка весьма опасна: «С учетом того что она содержит контактные данные, эти сведения также могут применяться в процессе социотехнических атак, которые подразумевают введение в заблуждение пользователя с преследованием личных целей». К примеру, объясняет эксперт, злоумышленники могут позвонить или написать блогеру от лица службы поддержки TikTok и попросить перейти по ссылке, запустить вредоносную программу или поменять пароль.
По данным IAB Russia, за 2020 год блогеры получили от рекламы 11,1 млрд руб. на легальном рынке, это на 63,6% больше, чем в 2019 году (6,8 млрд). В 2021 году, по прогнозу Isobar Moscow, ожидается рост до 16,8 млрд руб.
Инфлюенсеры и обычные пользователи должны заботиться о цифровой безопасности и устанавливать дополнительную защиту в виде двухфакторой аутентификации, отмечает руководитель направления по работе с лидерами мнений агентства Isobar Moscow (входит в Dentsu Russia) Андрей Швейдель. В противном случае при потере канала или аккаунта уходит много времени на восстановление профиля, отмечает эксперт: «Обычно это период от нескольких дней до месяца, во время которого блогер неизбежно несет убытки».
Сведения, которые были или похищены, или потеряны платформой, как правило, относятся к коммерческой тайне, то есть информации, обеспечивающей доход организации как элемент деловой репутации, говорит управляющий партнер юридической фирмы «ГК Лигал» Кирилл Гавриличев:
«В таких случаях убытки платформы — это суммы доходов, которые не будут получены в результате оттока клиентов».
Ответственность за подобную утечку может быть вплоть до уголовной, если потерпевшие заявят о неправомерном доступе к информации, предупреждает президент Международной коллегии адвокатов Москвы «Почуев, Зельгин и партнеры» Александр Почуев. Также на компанию, не обеспечивающую сохранность данных, Роскомнадзор может наложить штраф за нарушение прав субъектов персональных данных. Иски в рамках взыскания убытков, по его оценкам, могут предполагать довольно крупные суммы ущерба в случае кражи раскрученных аккаунтов. Однако на практике, уточнил юрист, ввиду сложности доказывания вины взыскиваемые судами суммы редко превышают 20 тыс. руб.