Платёжный сервис Best2pay раскрыл детали утечки данных о клиентах

В конце января стало известно об утечке 1 млн строк базы платежного сервиса. Данные можно эффективно применять в мошенничествах с использованием методов социальной инженерии, считают эксперты, опрошенные «Известиями».

31 января стало известно об утечке 1 млн строк базы данных платежной системы Best2pay. Сервис обрабатывает онлайн-платежи для интернет-магазинов и мобильных приложений и взимает комиссию с каждой успешной операции. В открытый доступ попали имена, фамилии, номерами телефонов и частичные номера карт (первые шесть и последние четыре цифры), а также дату, сумму и назначение платежа.

В компании подтвердили утечку, сообщив, что кибератака произошла в декабре 2022 г. через скомпрометированный аккаунт одного из подрядчиков, работавшего в тестовой среде со специально подготовленной БД на основе сведений 2019-2021 гг., пишут «Известия». Все рабочие системы отделены от тестовых сред и надежно защищены по всем стандартам, что подтверждается аудиторскими проверками. Платежные данные клиентов не пострадали и находятся в безопасности, подчеркнул представитель сервиса.

По данным Telegram-канала in2security, опубликованный файл содержит 1 млн строк, актуальность информации — 28 января 2023 г., В базе содержатся 824 тыс. уникальных номеров телефонов и 204 тыс. уникальных банковских карт.

В компании Infosecurity a Softline Company, которая специализируется на кибербезопасности, заявили «Известиям», что изучают данные утечки Best2pay.

С учетом наличия в утечке полных номеров банковских счетов и частично — карт, ее данные могут использоваться в «телефонных» схемах, когда мошенники под видом сотрудников банка будут пытаться получить сначала номер карты, а потом и код SMS-подтверждения транзакции. Вся надежда на то, что эти данные действительно очень старые, считает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

Злоумышленники могут использовать полученную информацию в мошеннических схемах с использованием методов социальной инженерии, подтвердил слова коллеги руководитель аналитического центра компании Zecurion Владимир Ульянов, комментируя утечку. Он пояснил, что, располагая этими сведениями, мошеннику нетрудно втереться в доверие к жертве и заставить ее выдать нужные сведения или совершить действия для кражи денег.

«Платежная система с облачной онлайн-кассой Best2Pay могла провалить миссию, о которой упоминается на сайте компании, а именно — “сделать онлайн-платежи безопасными”», — говорится в сообщении компании Infosecurity от 1 февраля. По данным расследования, актуальная дата последней регистрации пользователя — 8 мая 2021 г.

2 февраля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2023
Безопасным интернет-банкинг видят россияне преимущественно с высшим образованием
27.03.2023
Без явного волеизъявления потребителя
27.03.2023
20 марта — день первой официальной утечки из ChatGPT
27.03.2023
В России ещё не сезон для белых шляп и поиска жуков?
27.03.2023
В Positive Technologies заинтересованы в принятии закона о «белых хакерах»
27.03.2023
Грань между «белыми» и «чёрными» хакерами весьма условна
27.03.2023
Forbes: «Яндекс» планирует открыть второй офис в Белграде и сделать его основным в Европе
27.03.2023
«Кредитное мошенничество в таких условиях расцветает пышным цветом»
24.03.2023
Транснациональная горно-металлургическая компания заявила о взломе своих систем
24.03.2023
Tri Counties Bank вошёл в список жертв группировки Black Basta

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных