Данные клиентов логистической компании СДЭК могли оказаться в открытом доступе. Утечка затронула 25 млн пользователей и 30 тыс. контрагентов, сообщает РБК.
В сеть попали три файла. В одном более 160 млн записей с данными клиентов, включая фамилию, имя, отчество, адрес электронной почты получателя, код пункта самовывоза. Во втором — более 30 млн строк с информацией о физических и юридических лицах. В третьем — более 90 млн строк с телефонами, идентификаторами отправителя или получателя.
Руководитель блока специальных сервисов Infosecurity Сергей Трухачев предупредил, что в ближайшее время злоумышленники проанализируют и объединят эту утечку с предыдущей и сформируют одну из крупнейших незаконно полученных баз граждан России. Он отметил, что эта утечка стала «рекордной на российском рынке». Эксперт Центра продуктов Dozor «РТК-Солар» Алексей Кубарев также назвал прецедент самым крупным в 2022 году. По его словам, в данной утечке могли оказаться данные до 30% российских интернет-пользователей.
PR-директор СДЭКа Анна Иоспа сообщила, что сейчас проводится внутреннее расследование и выясняются обстоятельства. Прокомментировать утечку она отказалась.
Это уже не первый подобный инцидент в компании. В конце февраля этого года Telegram-каналы сообщали об открытом доступе к файл с 466 млн строк с ID и телефонами и еще один с 822 млн строк с ID, именами и адресами электронной почты. СДЭК официально подтверждала факт утечки, но заявила, что в базе нет номеров документов и иной важной персональной информации, в том числе платежной. Представитель назвал её причиной хакерские атаки.
В настоящее время штраф за утечку персональных данных для юридических лиц составляет от 60 до 100 тысяч рублей, при повторном правонарушении — до 500 тысяч рублей. Однако Минцифры планирует ужесточить наказание. Возможно введение оборотных штрафов в 1% в случае утечки и в 3% в случае, если компания пыталась её скрыть. Документ, подготовленный ведомством, обсудят в осеннюю сессию.