Привет.

Чужой опыт должен чему-то учить, но мало кто примеряет его на себя и предпринимает какие-то действенные шаги. Это хорошо видно по утечкам пользовательских данных, которые происходят в разных компаниях с изрядной периодичностью. В начале ноября появилось сообщение о том, что в сеть утекли данные пользователей сервиса Whoosh, в котором вы можете арендовать самокаты в разных городах страны. Всего парк самокатов насчитывает 75000 единиц, на данный момент это самый крупный игрок на рынке. У компании большие планы по развитию, в октябре 2022 года стало известно, что Whoosh планирует IPO на Московской бирже, параметры размещения таковы — привлечение до 10 млрд рублей. Можно считать несчастливым совпадением, что неожиданно пользовательские данные Whoosh появились в публичном доступе. Но тут есть несколько моментов, заставляющих задуматься, насколько неслучайными были эти случайности.

Первые сообщения об утечке данных появились 2 ноября, тогда же для РИА “Новости” в компании дали комментарии, приведем их полностью:

“Безопасности и репутации клиентов сервиса в настоящее время ничто не угрожает. Вследствие грубого нарушения установленных в компании правил и процедур одним из сотрудников, злоумышленники получили доступ к части первичных данных нескольких миллионов клиентов», — говорится в сообщении. В Whoosh пояснили, что речь идет о никнеймах пользователя, телефонах, адресах электронной почты и маскированных (неполных) номерах банковских карт.

Отмечается, что утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок. По факту инцидента в компании проводится внутреннее расследование. «Трудовые отношения с сотрудником, допустившим нарушение, на данный момент прекращены. Были проведены дополнительные проверки протоколов безопасности и ужесточены меры защиты в процессах работы сотрудников. Компания обратилась в правоохранительные органы для дальнейшего расследования инцидента”.

Этакая победная реляция, из которой явственно следует, что пресекли, не допустили и все под контролем. Спустя менее чем две недели в продаже появляется дамп базы данных Whoosh, всего в нем 7.23 млн записей. В Telegram-канале “Утечки информации” получили базу и рассмотрели ее содержимое. Стоимость базы — 4800 долларов на одном из подпольных форумов.

В базе 3 миллиона промокодов для бесплатных поездок, 5.7 миллионов записей, в которых содержатся имя клиента и его номер телефона, 1.9 миллиона записей с информацией о банковской карте (не все цифры), GPS-координатах. Также есть информация о создании записи и ее аутентификации.

Теперь вспоминаем коммуникацию Whoosh о том, что утечка затрагивает “нечувствительные данные”. Как по мне, так GPS-координаты и даже неполный номер банковской карты — это чувствительные данные для многих клиентов, и попытки Whoosh приуменьшить проблему выглядят странными. Еще больше вопросов у меня вызывает тот факт, что компания обнаружила утечку в начале ноября, но что-то пошло не так и база появилась в публичном доступе. Козлом отпущения стал сотрудник, но деталей того, что именно произошло, мы не знаем. Была это халатность, грубое нарушение правил безопасности из-за того, что он где-то оставил свой компьютер или вовсе не следил за тем, что происходит на компьютере, вариантов тут вагон и маленькая тележка. Делать вывод, что компания обратилась в правоохранительные органы не из-за инцидента, а именно с обвинениями в адрес сотрудника, мы не можем, информации явно недостаточно.

Но сказанного в публичном поле уже достаточно для рассуждений. Во-первых, именно компания Whoosh допустила утечку и виновата в ней. Сотрудник компании нарушил правила, именно он сделал возможным доступ к данным. И никаких толкований тут быть не может, в Whoosh это признали. Во-вторых, мне неясны эквилибристические изыски относительно “нечувствительных” данных, это попытка сделать хорошую мину при плохой игре. Для части клиентов украденные данные выглядят как ценные, нечто аналогичное утечке «Яндекс.Еды».

В России все так же нет закона, который бы наказывал компании за подобные утечки, поэтому максимальный размер наказания для Whoosh составит до ста тысяч рублей, на примере «Яндекса» мы помним, что размер штрафа составлял около 60 тысяч рублей. Отдельные иски против компании, как правило, оказывались неудачными из-за юридических моментов, помноженных на нежелание судов открывать ящик Пандоры. Поэтому для Whoosh ситуация будет такой же, как для «Яндекса», неприятности в публичном поле, но ничего влияющего на бизнес и создающего угрозу для того же IPO.

Стратегия Whoosh — не каяться, а просто признать сам факт утечки, но ничего не делать с ней. Не думаю, что количество обращений в суды будет значимым, пример того же «Яндекса» это доказывает — массовая утечка, а число пользователей, которые обратились в суды, оказалось минимальным. У нас просто нет культуры таких обращений, отстаивания своих прав. Да и причина тоже ясна — получить компенсацию от компании невозможно.

Проверил утекшие данные, так как пользуюсь сервисом, запись с моими данными присутствует. Еще одна утечка из многих, в которых есть что-то про меня, избежать этого в нашем мире невозможно. Хотелось бы, чтобы Whoosh реагировала на такую утечку не в прессе, а прислала письмо своим клиентам, в котором рассказала о произошедшем, описала проблему, дала ту или иную компенсацию. Например, предоставила скидку на поездки или дала абонемент на ближайший год, придумать можно много чего. Но ничего этого сделано не было, в Whoosh просто забили на собственных клиентов, решили ничего им не сообщать. Единственное, о чем мне сообщили в приложении Whoosh, это об окончании сезона в Москве и области.

И для меня это отличная демонстрация общего подхода к пользовательским данным в России, никто не относится к ним бережно и не трясется над ними. Для компаний нет наказания за утечку этих данных, точнее, оно смехотворно. Инициативы, которые разрабатываются, далеки от воплощения в жизнь и не несут особой угрозы. Вкладывать деньги в информационную безопасность компании не хотят, ведь это минус для их прибыли. Вот и получается, что утечки данных идут одна за другой, в некоторых компаниях они повторяются и стали привычными — вспоминаются те же утечки в CDEK.

У компаний выработалась защитная реакция на утечки персональных данных — они нечувствительны, неважны, никто не пострадал, мы работаем, чтобы так не было, обратились в правоохранительные органы. Этакое успокоение для особо волнующихся людей, чтобы они не переживали лишний раз. Как по мне, так нам необходимо срочно вводить другую меру ответственности за утечки, чтобы компании тряслись над данными своих клиентов и боялись, что хоть что-то утечет наружу. И первыми бежали сообщать своим клиентам об утечке, а не мы сами узнавали об этом из новостей. Согласны, что именно такой подход работает? Или для вас все это не так уж важно, пусть данные утекают и дальше?