«Понравилась эта рассылка?» спросил меня один из ритейлеров в конце письма с поздравлениями с наступающим Новым годом и рассказом об акциях в праздники. Письмо пришло в полдень, 31 декабря 2022 г., а уже вечером того же дня появились первые сообщения об утечке персональных данных покупателей сети «Спортмастер».

Для широкой публики сообщение промелькнуло в телеграм-канале Brief со ссылкой на «Вести». Но кто ж заметит его вечером 31 декабря? В канале Data1eak, который специализируется на информации об утечках, сообщалось о публикации 1 655 407 записей, которые включают ФИО, дату рождения, телефон, электронную почту и адреса покупателей магазина спортивных товаров «Спортмастер». Информацию о клиентах сети выложили в открытый доступ проукраинские хакеры из NLB.

3 января 2023 г. хакеры опубликовали полный массив данных, который составляет 100 655 407 записей, включающий первый блок. Актуальность базы данных – 2010-2018 годы. Как отмечают эксперты, БД содержит 45,89 млн уникальных номеров мобильных и городских телефонов, 13,4 млн уникальных адресов электронной почты.

1 января 2023 г. информационные агентства сообщили, что «Спортмастер» подтвердил факт утечки, уведомил Роскомнадзор и проводит проверку по факту инцидента. При этом ответственность за утечку возложена на подрядчиков (а вы читаете новости на сайтах информагентств 1 января?).

Мобильное приложение интернет-магазина «Спортмастер» для Android было обновлено 28 декабря 2022 г. «Мы добавили новый код, но вы этого не заметите. А если заметите – напишите нам», – пишут разработчики. 5 января я попыталась зайти в личный кабинет через мобильное приложение. Код подтверждения – последние 4 цифры звонка, а не традиционное SMS как прежде, так и не поступил. Не получилось авторизоваться и на сайте сети спорттоваров.

Новостная лента телеграмм-каналов «Спортмастера» обновлялась все праздники ежедневно в режиме реального времени, а не путем отложенных публикаций. Поддержка мобильного приложения в GooglePlay активно отвечала на замечания пользователей даже 1 января. Той же датой отмечено и письмо о подтверждении адреса подписки, найденное мною в новогодней почте. То есть технический персонал «Спортмастера» работал все выходные.

Поэтому возникает вопрос: а где информация для ста миллионов клиентов сети об утечке их персональных данных? Где новости на сайте, где рассылка о возможной утечке моих данных в почте? Где отдельный пост об инциденте в телеграмм-каналах? Неужели не хватило недели, чтобы оповестить покупателей не только об акциях, скидках и распродажах, но и об угрозе их персональным данным, включающим имена, телефоны и адреса доставки, которые часто совпадают с местом жительства?

По состоянию на 6 января 2023 г., после некоторых изысканий, мне удалось найти в комментариях под постом от 3 января в телеграмм-канале «Спортмастера» официальную реакцию торговой сети на вопросы редких возмущенных читателей:

«Здравствуйте! Инцидент не затрагивает логины и пароли пользователей, платежную информацию, а также учетные данные сотрудников.

В настоящий момент проводится оценка рисков и внутреннее расследование источника инцидента. По предварительным данным, утечка произошла через одного из подрядчиков компании, который имел доступ к указанной информации.

Спортмастер ценит доверие клиентов, для компании крайне важна безопасность их персональных данных. Мы продолжаем изучать инцидент и принимать все необходимые меры. Результаты внутреннего расследования позволят сделать выводы о причинах происшествия и устранить уязвимости защиты данных, чтобы избежать повторения подобных ситуаций».

Лично я не знаю, как ценит доверие ста миллионов клиентов «Спортмастер». В отличие от компании «Вкусвилл», которая сразу выразила сожаления об утечке персональных данных покупателей в начале декабря 2022 г. и сообщила о предпринятых действиях по расследованию инцидента на сайте, крупнейшая в России сеть спорттоваров пошла по простому пути: «Не спрашивают – не говори». И если завтра будет отмечен очередной всплеск звонков «следователей» и «специалистов банка» на уникальные 45 млн номеров, так то хакеры виноваты. Или недобросовестные подрядчики…

9 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных