Злоумышленники украли сканы паспортов водителей «Ситимобила»
В открытом доступе оказались данные 4000 таксистовХакеры 23 декабря выложили в открытый доступ большее 4000 фотографий первых страниц паспортов, принадлежащих водителям сервиса «Ситимобил». Первым об этом заявил Telegram-канал Data1eaks. Представитель «Ситимобила» подтвердил факт утечки.
Злоумышленники опубликовали архив, который содержит более 4000 снимков паспортов водителей сервиса, многие из которых сделаны в машине или рядом с водительским удостоверением, убедился корреспондент «Ведомостей». По данным Data1eaks, утечка стала возможной благодаря тому, что фотографии документов таксистов находились в открытом доступе на сервере, путь к которому относится к доменной зоне city-mobil.ru. После того как об утечке стало известно, доступ к хранилищу был закрыт компанией, говорит основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
Авторы Data1eaks утверждают, что паспортные данные водителей «Ситимобила» опубликовали проукраинские хакеры из группировки NLB, которые ранее выкладывали в сеть данные из систем «Почты России», GeekBrains, «ВкусВилла», «Билайна» и др.
NLB — «достаточно серьезная группировка и собрана из высококвалифицированных киберпреступников», говорит технический директор АО «Синклит» Лука Сафонов. По его словам, один из руководителей — это русско-украинский хакер Владислав Хорохорин, который был осужден за мошенничество с использованием электронных платежных средств и отбыл семилетний тюремный срок.
«На данный момент мы проводим внутреннее расследование, хранились ли украденные данные в нашей системе и как могла произойти утечка данных», — сказала «Ведомостям» представитель «Ситимобила».
По ее словам, к ответственным за утечку будет применено дисциплинарное взыскание. «Мы в любом случае берем на себя ответственность за происходящее, так как мы отвечаем за безопасность данных на наших ресурсах», — заявила представитель «Ситимобила». Кроме того, компания готовится уведомить об утечке Роскомнадзор, а руководством был создан штаб «по детальному разбору данной ситуации», добавила она.
Хранение сканов документов — распространенная практика, особенно для компаний, работающих с удаленными сотрудниками, говорит Оганесян. Нарушением она становится в случае несоблюдения мер безопасности, которые приводят к утечкам, добавляет он.
Сервисы не всегда ответственно подходят к хранению персональных данных пользователей, это может быть связано с тем, что штраф за утечку персональных данных небольшой, объясняет аналитик исследовательской группы Positive Technologies Яна Юракова. Результаты анализа защищенности показывают, что в 60% веб-приложений существует возможность получения доступа к персональным данным, добавляет она.
Злоумышленники могут получить доступ к важным данным из-за ошибок администрирования, недостатков парольной политики, недостатков разграничения доступа и отсутствия аутентификации, перечисляет Юракова. Например, 83% уволившихся сотрудников имеют доступ к своим аккаунтам на предыдущей работе, а некоторые компании используют для работы с конфиденциальными документами облачные сервисы без надлежащей защиты, приводит данные эксперт.
Утечка сканов документов куда опаснее, чем просто реквизиты, так как они могут использоваться для различных видов онлайн-мошенничеств, включая получение кредитов и регистрации в различных сервисах, замечает Оганесян. Это может привести к увеличению атак с использованием социальной инженерии как в формате прозвонов, так и фишинговых писем в социальных сетях и мессенджерах, добавляет Юракова.
В ходе прозвонов злоумышленники могут назвать данные паспорта, чтобы вызвать доверие, а затем предложить перевести денежные средства на «безопасный» счет или сообщить им код подтверждения операции или данные банковской карты, объясняет она. Еще одна реальная схема, в которой мошенники могут использовать копию паспорта для получения услуги или товара, — приобретение сим-карты на чужое имя.
При этом воспользоваться копией паспорта для оформления займа или кредита не выйдет, утверждает Юракова, так как ни одна финансовая организация не имеет права принять ее в качестве документа удостоверяющего личность без предъявления оригинала. Но в случае если заем оформляется на небольшую сумму (до 15 000 руб.), то финансовой организацией может быть предусмотрена упрощенная схема идентификации заемщика, когда необходимо предъявить скан паспорта и фото с оригиналом, предупреждает эксперт. Для этой цели, по ее словам, мошенники могут изготовить поддельный паспорт.