Данные 7 млн пользователей кикшеринга Whoosh утекли в сеть

Всю базу выставили на продажу за $4200
Несмотря на то что база данных пользователей Whoosh утекла в сеть лишь в середине ноября, данные были украдены еще в сентябре
Несмотря на то что база данных пользователей Whoosh утекла в сеть лишь в середине ноября, данные были украдены еще в сентябре / Андрей Гордеев / Ведомости

Хакеры выставили на продажу в даркнете данные пользователей российского сервиса аренды электросамокатов Whoosh. База данных содержит данные 7,2 млн уникальных пользователей сервиса. Первым об утечке сообщил профильный Telegram-канал Data1eaks. Представитель Whoosh подтвердил «Ведомостям», что злоумышленники получили доступ к части первичных данных нескольких миллионов клиентов.

По информации Data1eaks, база данных была выставлена на продажу на одном из хакерских форумов 12 ноября. Лот стоимостью $4200 содержит файл с промокодами сервиса и два файла с данными о пользователях. В нем содержатся имена, 7,2 млн уникальных номеров, 6,9 млн уникальных e-mail-адресов, частичные (шесть первых и четыре последних цифры) номера банковских карт, имена/фамилии латиницей, типы карт, дата создания записи и последней аутентификации, а также отметки GPS-навигации, говорится в посте.

Представитель Whoosh подтвердил, что злоумышленники получили доступ к никнеймам, телефонам, адресам электронной почты и маскированным номерам банковских карт. При этом он заверил, что утечка не затронула «чувствительные данные» пользователей, такие как доступы к аккаунтам, информацию о транзакциях и детали поездок.

Процедуры безопасности Whoosh также исключают возможность получения доступа третьих лиц к полным платежным данным банковских карт пользователей, добавил представитель компании. По его словам, утечка произошла вследствие «грубого нарушения установленных в компании правил и процедур одним из сотрудников». Вероятно, эта формулировка означает, что сотрудник по ошибке скомпрометировал учетные данные – например, оставил их в открытом репозитории или забыл закрыть доступ к облачному хранилищу, объясняет руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Основатель сервиса разведки утечек данных DLBI Ашот Оганесян считает, что злоумышленники получили доступ к сети компании через аккаунт одного из разработчиков, логин и пароль которого нашли в открытом доступе.

Согласно изменениям в законодательстве о защите персональных данных, с 1 сентября 2022 г. оператор, допустивший утечку, в течение суток обязан уведомить об этом Роскомнадзор, напоминает руководитель направления «Разрешение It&Ip споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. По состоянию на 18.00 14 ноября 2022 г. от владельца сервиса Whoosh такое уведомление в Роскомнадзор не поступило, сказал «Ведомостям» представитель ведомства. «Указанное обстоятельство будет учтено при проведении проверки», – добавил он.

Кто владеет сервисом Whoosh

Whoosh – сервис аренды электросамокатов, созданный в 2019 г. выходцами из S7 Group. По собственным данным, сервис работает в 45 российских городах, имеет аудиторию более чем 8 млн пользователей и парк в 75 000 самокатов. По данным «СПАРК-Интерфакса», в 2021 г. выручка составила 4,2 млрд руб., чистая прибыль – 1,8 млрд руб. Сейчас 69,7% Whoosh принадлежит основателям компании Дмитрию Чуйко, Егору Баяндину, Олегу Журавлеву и Сергею Лаврентьеву, 13% у «ВИМ инвестиций», 12,2% – у Ultimate Capital, 5% зарезервировано под программу мотивации сотрудников.

Несмотря на то что база данных пользователей Whoosh утекла в сеть лишь в середине ноября, данные были украдены еще в сентябре. Об утечке тогда сообщал Telegram-канал «Утечки информации». В начале ноября представитель Whoosh официально подтвердил атаку, заявив, что служба информационной безопасности выявила и пресекла процесс утечки информации. «Безопасности и репутации клиентов сервиса в настоящее время ничто не угрожает», – говорилось в заявлении компании.

Опрошенные «Ведомостями» эксперты отмечают, что это первый случай утечки данных на рынке кикшеринга. По словам Оганесяна, оператор допустил утечку всех данных, используемых при регистрации пользователя. Плюс к тому мошенникам стали доступны GPS-координаты – они позволяют следить за той частью маршрута пользователя, где использовался самокат. А данные карт, несмотря на отсутствие их номеров, могут использоваться мошенниками в телефонных атаках, e-mail и имена – в фишинговых рассылках, в том числе от имени самого Whoosh, перечисляет эксперт.

Располагая только номерами телефонов, адресами электронной почты и неполными данными банковских карт, злоумышленники вряд ли смогут нанести серьезный ущерб, рассуждает аналитик Positive Technologies Федор Чунижеков. Но эта информация может использоваться для атак методами социальной инженерии, добавляет он. Например, зная, что человек пользуется сервисами Whoosh, злоумышленник может предложить пользователю оплатить подписку по сниженной цене на фишинговом сайте, объясняет Чунижеков. Кроме того, продолжает он, агрегировав данные из утечек других сервисов, злоумышленники смогут составить более точный цифровой портрет пользователя.

Сама Whoosh может понести некоторый ущерб в результате утечек промокодов, добавляет Арсентьев. Если промокоды не были аннулированы, хакеры могут их использовать для бесплатных поездок, объясняет он.

В октябре этого года стало известно, что владелец сервиса – «Вуш холдинг» намерен до конца 2022 г. провести IPO, разместив акции на Московской бирже на сумму до 10 млрд руб. Опрошенные «Ведомостями» эксперты сходятся во мнении, что на результаты предстоящего размещения утечка данных не повлияет. Для части инвесторов безопасность действительно является ключевым фактором при принятии решения, но в большинстве своем они смотрят на операционные показатели, рынок и потенциал компании на этом рынке, рассуждает издатель проекта «Трушеринг» Юрий Николаев. Утечка данных не сможет сорвать IPO Whoosh, соглашается с ним аналитик ФГ «Финам» Леонид Делицын. «Если бы взлом случился за неделю до размещения, когда диапазон цен на акции уже объявлен, инвесторы могли бы потребовать его снижения, – считает он. – Но к тому моменту, когда дело дойдет до реального IPO, про это уже забудут».