Привет.
Чужой опыт должен чему-то учить, но мало кто примеряет его на себя и предпринимает какие-то действенные шаги. Это хорошо видно по утечкам пользовательских данных, которые происходят в разных компаниях с изрядной периодичностью. В начале ноября появилось сообщение о том, что в сеть утекли данные пользователей сервиса Whoosh, в котором вы можете арендовать самокаты в разных городах страны. Всего парк самокатов насчитывает 75000 единиц, на данный момент это самый крупный игрок на рынке. У компании большие планы по развитию, в октябре 2022 года стало известно, что Whoosh планирует IPO на Московской бирже, параметры размещения таковы — привлечение до 10 млрд рублей. Можно считать несчастливым совпадением, что неожиданно пользовательские данные Whoosh появились в публичном доступе. Но тут есть несколько моментов, заставляющих задуматься, насколько неслучайными были эти случайности.
Первые сообщения об утечке данных появились 2 ноября, тогда же для РИА “Новости” в компании дали комментарии, приведем их полностью:
“Безопасности и репутации клиентов сервиса в настоящее время ничто не угрожает. Вследствие грубого нарушения установленных в компании правил и процедур одним из сотрудников, злоумышленники получили доступ к части первичных данных нескольких миллионов клиентов», — говорится в сообщении. В Whoosh пояснили, что речь идет о никнеймах пользователя, телефонах, адресах электронной почты и маскированных (неполных) номерах банковских карт.
Отмечается, что утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок. По факту инцидента в компании проводится внутреннее расследование. «Трудовые отношения с сотрудником, допустившим нарушение, на данный момент прекращены. Были проведены дополнительные проверки протоколов безопасности и ужесточены меры защиты в процессах работы сотрудников. Компания обратилась в правоохранительные органы для дальнейшего расследования инцидента”.
Этакая победная реляция, из которой явственно следует, что пресекли, не допустили и все под контролем. Спустя менее чем две недели в продаже появляется дамп базы данных Whoosh, всего в нем 7.23 млн записей. В Telegram-канале “Утечки информации” получили базу и рассмотрели ее содержимое. Стоимость базы — 4800 долларов на одном из подпольных форумов.
В базе 3 миллиона промокодов для бесплатных поездок, 5.7 миллионов записей, в которых содержатся имя клиента и его номер телефона, 1.9 миллиона записей с информацией о банковской карте (не все цифры), GPS-координатах. Также есть информация о создании записи и ее аутентификации.
Теперь вспоминаем коммуникацию Whoosh о том, что утечка затрагивает “нечувствительные данные”. Как по мне, так GPS-координаты и даже неполный номер банковской карты — это чувствительные данные для многих клиентов, и попытки Whoosh приуменьшить проблему выглядят странными. Еще больше вопросов у меня вызывает тот факт, что компания обнаружила утечку в начале ноября, но что-то пошло не так и база появилась в публичном доступе. Козлом отпущения стал сотрудник, но деталей того, что именно произошло, мы не знаем. Была это халатность, грубое нарушение правил безопасности из-за того, что он где-то оставил свой компьютер или вовсе не следил за тем, что происходит на компьютере, вариантов тут вагон и маленькая тележка. Делать вывод, что компания обратилась в правоохранительные органы не из-за инцидента, а именно с обвинениями в адрес сотрудника, мы не можем, информации явно недостаточно.
Но сказанного в публичном поле уже достаточно для рассуждений. Во-первых, именно компания Whoosh допустила утечку и виновата в ней. Сотрудник компании нарушил правила, именно он сделал возможным доступ к данным. И никаких толкований тут быть не может, в Whoosh это признали. Во-вторых, мне неясны эквилибристические изыски относительно “нечувствительных” данных, это попытка сделать хорошую мину при плохой игре. Для части клиентов украденные данные выглядят как ценные, нечто аналогичное утечке «Яндекс.Еды».
В России все так же нет закона, который бы наказывал компании за подобные утечки, поэтому максимальный размер наказания для Whoosh составит до ста тысяч рублей, на примере «Яндекса» мы помним, что размер штрафа составлял около 60 тысяч рублей. Отдельные иски против компании, как правило, оказывались неудачными из-за юридических моментов, помноженных на нежелание судов открывать ящик Пандоры. Поэтому для Whoosh ситуация будет такой же, как для «Яндекса», неприятности в публичном поле, но ничего влияющего на бизнес и создающего угрозу для того же IPO.
Стратегия Whoosh — не каяться, а просто признать сам факт утечки, но ничего не делать с ней. Не думаю, что количество обращений в суды будет значимым, пример того же «Яндекса» это доказывает — массовая утечка, а число пользователей, которые обратились в суды, оказалось минимальным. У нас просто нет культуры таких обращений, отстаивания своих прав. Да и причина тоже ясна — получить компенсацию от компании невозможно.
Проверил утекшие данные, так как пользуюсь сервисом, запись с моими данными присутствует. Еще одна утечка из многих, в которых есть что-то про меня, избежать этого в нашем мире невозможно. Хотелось бы, чтобы Whoosh реагировала на такую утечку не в прессе, а прислала письмо своим клиентам, в котором рассказала о произошедшем, описала проблему, дала ту или иную компенсацию. Например, предоставила скидку на поездки или дала абонемент на ближайший год, придумать можно много чего. Но ничего этого сделано не было, в Whoosh просто забили на собственных клиентов, решили ничего им не сообщать. Единственное, о чем мне сообщили в приложении Whoosh, это об окончании сезона в Москве и области.
И для меня это отличная демонстрация общего подхода к пользовательским данным в России, никто не относится к ним бережно и не трясется над ними. Для компаний нет наказания за утечку этих данных, точнее, оно смехотворно. Инициативы, которые разрабатываются, далеки от воплощения в жизнь и не несут особой угрозы. Вкладывать деньги в информационную безопасность компании не хотят, ведь это минус для их прибыли. Вот и получается, что утечки данных идут одна за другой, в некоторых компаниях они повторяются и стали привычными — вспоминаются те же утечки в CDEK.
У компаний выработалась защитная реакция на утечки персональных данных — они нечувствительны, неважны, никто не пострадал, мы работаем, чтобы так не было, обратились в правоохранительные органы. Этакое успокоение для особо волнующихся людей, чтобы они не переживали лишний раз. Как по мне, так нам необходимо срочно вводить другую меру ответственности за утечки, чтобы компании тряслись над данными своих клиентов и боялись, что хоть что-то утечет наружу. И первыми бежали сообщать своим клиентам об утечке, а не мы сами узнавали об этом из новостей. Согласны, что именно такой подход работает? Или для вас все это не так уж важно, пусть данные утекают и дальше?
хорошо (на самом деле, очень плохо), в правовом поле такие недобросовестные компании пока (!) неуязвимы. но есть же публичное поле. нужно сделать площадку (сайт), по типу доски объявлений, на которой размещать истории об утечках данных, и о наступивших последствиях этих утечек, со ссылками на первоисточники. примерно в таком формате: Название компании, в которой произошла утечка; дата события; несколько ссылок на публикации в прессе; ссылка на пресс-релиз виновника (если есть); ссылки на материалы в публичном и/или правовом поле о реакции самого виновника утечки, а также о реакции соотв. надзорных органов (если есть). И чтоб данный ресурс висел в "закрепе" хотя бы на данном сайте. чтобы пользователь любой такой компании при поиске информации о её добросовестных или недобросовестных практиках первым делом попадал на этот сайт. ТГ-канал тоже пойдет, кстати.
>Козлом отпущения стал сотрудник
Да и вообще вопрос, был ли мальчик. А может мальчика то и не было.
Всем этим отпискам веры ни на грош.
Вош, оно и есть вош.
Надо проверить координаты автора, а то вдруг он нам про Сапсан только рассказывает, а сам подруливает к вокзалу как раз к отправлению плацкартного? 🙂
Что не смеетесь? Не смешно? Не поняли да? ЭТО РОССИЯ! (© В.В. Жириновский)
А если серьёзно, у нас в госструктурах такой же бардак, так что же вы хотите от частных бизнесменов?
Вот у меня был случай связанный с бизнесом нашего зама мэра по транспорту МЛ.
Заехал на платную стоянку (Московский паркинг, парковка №9505), покрутился 3 минуты, мест нет. Еду на выезд а охранник меня не пускает, говорит что надо оплатить за час парковки. Мои доводы что я только заехал и мест на стоянке нет его не убедили. Сказал что сейчас найдёт место и нашёл на самом проезде где машину могут повредить. Я сказал что не хочу там ставить и лучше поищу другую парковку. Но он сказал что либо я оплачиваю за час парковки, либо получаю штраф от ЦОДД и ничего я доказать там не смогу, поэтому лучше заплатить.
Это какая то бандитская структура на гос уровне, а вы тут про какой то прокат самокатов…
Чем бороться с ветряными мельницами проще обезопасить себя и завести для таких сервисов отдельную дебетовую карту а в случае утечки данных её можно отправить в корзину и забыть.
Sniper, Ну во-первых, на каждый сервис отдельную карту заводить утомительно.
Во-вторых, там вроде было ФИО и телефон, т.е. уже можно жпс-треки посмотреть — интересно кто куда на самокатике ездил.
Sniper, Справедливости ради. масштабные утечки происходят во всем мире
Me_Ku, Ну зачем же на каждый сервис? Можно одну на все. А что касается трекера, разве эта информация хранится?