«Билайн» допустил крупную утечку. В сети данные сотен тысяч работников оператора
У российского телеком-оператора «Билайн» произошла крупная утечка персональных данных сотрудников. В сети оказалось почти 200 тыс. уникальных логинов, мобильные и домашние телефоны, ФИО и служебная информация, с помощью которой злоумышленники могут шантажировать работников компании. Теперь оператору грозит штраф – пока все же не оборотный.
Данные в открытом доступе
Персональные данные сотрудников «Билайна» вместе с адресами корпоративной почты и номерами телефонов утекли в открытый доступ. Об этом сообщил Telegram-канал «Утечки информации». Информацию СNews подтвердили представители оператора.
По словам представителей компании, в публичный доступ попала информация из корпоративного справочника, доступная каждому сотруднику. Оператор уже ведет расследование по факту инцидента.
В Telegram-канале утверждается, что «слив» произвел тот же хакер, который ранее выложил в сети данные участников программы лояльности Tele2, «Почты России», образовательной платформы GeekBrains и службы доставки Delivery Club», сервиса покупки билетов tutu.ru и других.
Злоумышленник смог получить доступ к службе каталогов (LDAP) оператора и опубликовал четыре LDIF-файла – это формат представления записей службы каталогов в текстовой форме. В документе содержатся выгрузки, разбитые по регионам: Московский, Южный, Уральский и Центральный.
Каждая запись содержит логин пользователя в домене vimpelcom.ru (всего 198,050 уникальных логинов), адрес электронной почты на домене beeline.ru (67,480 адресов), мобильный телефон (89,519 номеров), домашний телефон (10,969 номеров), ФИО (в кодировке Base64, которую можно декодировать с помощью любого онлайн-дешифратора) и другая служебная информация – например, о подразделении, в котором работает сотрудник.
Насколько масштабна утечка
В беседе с CNews руководитель компании «Интернет-розыск» Игорь Бедеров отметил, что утекли не только данные персонала «Билайна», но и его партнеров, агентов и пользователей, у которых есть личные кабинеты на портале «Билайн».
«Судя по тому, что мы увидели, данные на 90% коррелируют с утечками 2015 г., – отметил Бедеров. – Либо это просто было дополнение базы данных, либо компиляция нескольких баз данных. Хотя компания признала утечку».
Данные злоумышленники могут использовать для организации фишинговых атак на сотрудников и телефонного мошенничества. С их помощью также можно шантажировать работников и заставлять их предоставлять доступ к ИТ-инфраструктуре организации.
«Количественно, если смотреть на описание состава, базы выглядит нестрашной, – рассказал в беседе с CNews главный редактор сайта Roem.ru Юрий Синодов. – И у "Билайна" на несколько порядков больше абонентов. Плохо то, что все эти утекающие базы сводятся, сопоставляются друг с другом и, соответственно, у злоумышленников появляются новые возможности разрушать приватность граждан. В результате пострадавшие могут столкнуться как с непрошенной маркетинговой активностью, так и с мошенниками. Это могут быть, например, всем известные обзвонщики из "банковских" колл-центров или "начальники полиции Центробанка"».
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян в разговоре с CNews отметил, что утечку оператор допустил довольно крупную, пусть и несопоставимую с многомиллионной базой клиентов. По его словам, основная опасность утечки в том, что там находятся данные персонала компании, наложенные на оргструктуру, что позволяет фишерам и социальным инженерам атаковать сотрудников, в том числе, обладающих административным и инженерным доступом к инфраструктуре (таким образом, например, недавно «ломали» Twitter, уточнил эксперт).
Кроме того, отмечает Оганесян, личные мобильные номера позволяют связать эту базу с утечками паролей и организовать атаки password reuse на средства удаленного доступа (RDP и VPN) в периметр компании.
Как накажут «Билайн»
Напомним, с 1 сентября 2022 г. российская организация, у которой случилась утечка персональных данных, за 24 часа должна уведомить об инциденте Роскомнадзор. Протоколы составляет регулятор, однако размер штрафов в итоге определяется судом. Максимальный размер штрафа сейчас достигает 500 тыс. руб (при первой утечке – 60-100 тыс. руб).
В октябре 2022 г. Минцифры России доработало законопроект об оборотных штрафах для провинившихся компаний и прописало в нем персональную ответственность для должностных лиц. Если в сети оказалось от 10-100 тыс. строчек, главу компании накажут на 200-400 тыс. руб. Для индивидуальных предпринимателей и юрлиц штраф за аналогичный инцидент составит 0,02% оборота, но не меньше 1 млн руб.
В ноябре 2022 г. глава Минцифры Максут Шадаев уточнил, что наказание смягчат, если компании компенсируют ущерб двум третям граждан, чьи данные оказались скомпрометированы.

Игорь Бедеров признает, что в случае с «Билайном» пока неясно, какой именно компании, входящей в группу, грозит штраф.
«У нас штраф назначается не группе компаний, а конкретному юрлицу, которое будет в группе выбрано в качестве того, кто понесет ответственность», – объяснил эксперт.
Юрий Синодов отметил, что фактического существенного влияния на этот рынок утечка «Билайна» не окажет. Что касается штрафов – эксперт полагает, что вряд ли они будут хоть сколько-то существенными: например, «Яндекс.Еда» за утечку данных 58 000 пользователей, включая адреса доставки, была оштрафован на 60 тыс. руб. Вряд ли в этом случае штраф будет сильно выше и окажет хоть какое-то влияние на финансовые показатели бизнеса оператора. Законодательная база по ужесточению штрафов за утечки данных в текущий момент только прорабатывается.
«Если бы действовали новые нормы, которые Минцифры никак не может согласовать, то "Билайн" получил бы штраф в районе 0,02% от оборота, – подчеркнул Оганесян. – Однако в условиях действующего законодательства все обойдется суммой до 60 тыс. рублей. При этом нужно понимать, что эта утечка уже выпадает из действующего законодательного поля, демонстрируя его несовершенство. Речь идет о потере не персональных данных клиентов, а фактически внутренней конфиденциальной информации (сколько бы сам "Билайн" ни называл ее безобидным телефонным справочником), использование которой может привести к повторным утечкам уже миллионов записей клиентских данных. Наказание за такого рода утечки должно быть значительно строже, однако должен существовать и прозрачный механизм определения того, что именно в каждой компании к таким данным относится».
Данные у «Билайна» уже утекали
У телеком-оператора уже утекали данные пользователей – последний раз это случилось в 2021 г. В публичном доступе оказалась база с персональными данными почти 2 млн абонентов проводного интернета «Билайна». Причем база по небрежности оператора находилась в свободном доступе больше двух недель. Любой желающий, скачав 4,1-терабайтный файл, могу получить доступ к ФИО абонентов, к их номерам телефонов и адресам электронной почты – данных хватало для того, чтобы, например, заняться телефонными мошенничеством.

То же самое с «Билайном» случилось в 2019 г. Тогда в сети оказалась база пользователей проводного интернета компании, а ее объем составлял в пределах 8 млн записей.
Летом 2022 г. Telegram-каналы также писали, что «Билайн» допустил утечку данных абонентов домашнего интернета – оператор информацию опроверг, заявив, что данные датированы 2015 г. и не содержат никакой новой информации – лишь ту, что утекла семь лет назад.