Разделы

Телеком Техника

«Билайн» допустил крупную утечку. В сети данные сотен тысяч работников оператора

У российского телеком-оператора «Билайн» произошла крупная утечка персональных данных сотрудников. В сети оказалось почти 200 тыс. уникальных логинов, мобильные и домашние телефоны, ФИО и служебная информация, с помощью которой злоумышленники могут шантажировать работников компании. Теперь оператору грозит штраф – пока все же не оборотный.

Данные в открытом доступе

Персональные данные сотрудников «Билайна» вместе с адресами корпоративной почты и номерами телефонов утекли в открытый доступ. Об этом сообщил Telegram-канал «Утечки информации». Информацию СNews подтвердили представители оператора.

По словам представителей компании, в публичный доступ попала информация из корпоративного справочника, доступная каждому сотруднику. Оператор уже ведет расследование по факту инцидента.

В Telegram-канале утверждается, что «слив» произвел тот же хакер, который ранее выложил в сети данные участников программы лояльности Tele2, «Почты России», образовательной платформы GeekBrains и службы доставки Delivery Club», сервиса покупки билетов tutu.ru и других.

Злоумышленник смог получить доступ к службе каталогов (LDAP) оператора и опубликовал четыре LDIF-файла – это формат представления записей службы каталогов в текстовой форме. В документе содержатся выгрузки, разбитые по регионам: Московский, Южный, Уральский и Центральный.

Часть базы данных, попавшей в сеть

Каждая запись содержит логин пользователя в домене vimpelcom.ru (всего 198,050 уникальных логинов), адрес электронной почты на домене beeline.ru (67,480 адресов), мобильный телефон (89,519 номеров), домашний телефон (10,969 номеров), ФИО (в кодировке Base64, которую можно декодировать с помощью любого онлайн-дешифратора) и другая служебная информация – например, о подразделении, в котором работает сотрудник.

Насколько масштабна утечка

В беседе с CNews руководитель компании «Интернет-розыск» Игорь Бедеров отметил, что утекли не только данные персонала «Билайна», но и его партнеров, агентов и пользователей, у которых есть личные кабинеты на портале «Билайн».

«Судя по тому, что мы увидели, данные на 90% коррелируют с утечками 2015 г., – отметил Бедеров. – Либо это просто было дополнение базы данных, либо компиляция нескольких баз данных. Хотя компания признала утечку».

Данные злоумышленники могут использовать для организации фишинговых атак на сотрудников и телефонного мошенничества. С их помощью также можно шантажировать работников и заставлять их предоставлять доступ к ИТ-инфраструктуре организации.

«Количественно, если смотреть на описание состава, базы выглядит нестрашной, – рассказал в беседе с CNews главный редактор сайта Roem.ru Юрий Синодов. – И у "Билайна" на несколько порядков больше абонентов. Плохо то, что все эти утекающие базы сводятся, сопоставляются друг с другом и, соответственно, у злоумышленников появляются новые возможности разрушать приватность граждан. В результате пострадавшие могут столкнуться как с непрошенной маркетинговой активностью, так и с мошенниками. Это могут быть, например, всем известные обзвонщики из "банковских" колл-центров или "начальники полиции Центробанка"».

Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян в разговоре с CNews отметил, что утечку оператор допустил довольно крупную, пусть и несопоставимую с многомиллионной базой клиентов. По его словам, основная опасность утечки в том, что там находятся данные персонала компании, наложенные на оргструктуру, что позволяет фишерам и социальным инженерам атаковать сотрудников, в том числе, обладающих административным и инженерным доступом к инфраструктуре (таким образом, например, недавно «ломали» Twitter, уточнил эксперт).

Кроме того, отмечает Оганесян, личные мобильные номера позволяют связать эту базу с утечками паролей и организовать атаки password reuse на средства удаленного доступа (RDP и VPN) в периметр компании.

Как накажут «Билайн»

Напомним, с 1 сентября 2022 г. российская организация, у которой случилась утечка персональных данных, за 24 часа должна уведомить об инциденте Роскомнадзор. Протоколы составляет регулятор, однако размер штрафов в итоге определяется судом. Максимальный размер штрафа сейчас достигает 500 тыс. руб (при первой утечке – 60-100 тыс. руб).

Мобильное приложение как главная точка формирования клиентского опыта
ПО

В октябре 2022 г. Минцифры России доработало законопроект об оборотных штрафах для провинившихся компаний и прописало в нем персональную ответственность для должностных лиц. Если в сети оказалось от 10-100 тыс. строчек, главу компании накажут на 200-400 тыс. руб. Для индивидуальных предпринимателей и юрлиц штраф за аналогичный инцидент составит 0,02% оборота, но не меньше 1 млн руб.

В ноябре 2022 г. глава Минцифры Максут Шадаев уточнил, что наказание смягчат, если компании компенсируют ущерб двум третям граждан, чьи данные оказались скомпрометированы.

Утечки оператор за последние пять лет допускал неоднократно

Игорь Бедеров признает, что в случае с «Билайном» пока неясно, какой именно компании, входящей в группу, грозит штраф.

«У нас штраф назначается не группе компаний, а конкретному юрлицу, которое будет в группе выбрано в качестве того, кто понесет ответственность», – объяснил эксперт.

Владимир Арлазаров, Smart Engines: С персональными данными надо обращаться, как с государственной тайной
ПО

Юрий Синодов отметил, что фактического существенного влияния на этот рынок утечка «Билайна» не окажет. Что касается штрафов – эксперт полагает, что вряд ли они будут хоть сколько-то существенными: например, «Яндекс.Еда» за утечку данных 58 000 пользователей, включая адреса доставки, была оштрафован на 60 тыс. руб. Вряд ли в этом случае штраф будет сильно выше и окажет хоть какое-то влияние на финансовые показатели бизнеса оператора. Законодательная база по ужесточению штрафов за утечки данных в текущий момент только прорабатывается.

«Если бы действовали новые нормы, которые Минцифры никак не может согласовать, то "Билайн" получил бы штраф в районе 0,02% от оборота, – подчеркнул Оганесян. – Однако в условиях действующего законодательства все обойдется суммой до 60 тыс. рублей. При этом нужно понимать, что эта утечка уже выпадает из действующего законодательного поля, демонстрируя его несовершенство. Речь идет о потере не персональных данных клиентов, а фактически внутренней конфиденциальной информации (сколько бы сам "Билайн" ни называл ее безобидным телефонным справочником), использование которой может привести к повторным утечкам уже миллионов записей клиентских данных. Наказание за такого рода утечки должно быть значительно строже, однако должен существовать и прозрачный механизм определения того, что именно в каждой компании к таким данным относится».

Данные у «Билайна» уже утекали

У телеком-оператора уже утекали данные пользователей – последний раз это случилось в 2021 г. В публичном доступе оказалась база с персональными данными почти 2 млн абонентов проводного интернета «Билайна». Причем база по небрежности оператора находилась в свободном доступе больше двух недель. Любой желающий, скачав 4,1-терабайтный файл, могу получить доступ к ФИО абонентов, к их номерам телефонов и адресам электронной почты – данных хватало для того, чтобы, например, заняться телефонными мошенничеством.

То же самое с «Билайном» случилось в 2019 г. Тогда в сети оказалась база пользователей проводного интернета компании, а ее объем составлял в пределах 8 млн записей.

Летом 2022 г. Telegram-каналы также писали, что «Билайн» допустил утечку данных абонентов домашнего интернета – оператор информацию опроверг, заявив, что данные датированы 2015 г. и не содержат никакой новой информации – лишь ту, что утекла семь лет назад.

Анжела Патракова