Платёжный сервис Best2pay раскрыл детали утечки данных о клиентах

В конце января стало известно об утечке 1 млн строк базы платежного сервиса. Данные можно эффективно применять в мошенничествах с использованием методов социальной инженерии, считают эксперты, опрошенные «Известиями».

31 января стало известно об утечке 1 млн строк базы данных платежной системы Best2pay. Сервис обрабатывает онлайн-платежи для интернет-магазинов и мобильных приложений и взимает комиссию с каждой успешной операции. В открытый доступ попали имена, фамилии, номерами телефонов и частичные номера карт (первые шесть и последние четыре цифры), а также дату, сумму и назначение платежа.

В компании подтвердили утечку, сообщив, что кибератака произошла в декабре 2022 г. через скомпрометированный аккаунт одного из подрядчиков, работавшего в тестовой среде со специально подготовленной БД на основе сведений 2019-2021 гг., пишут «Известия». Все рабочие системы отделены от тестовых сред и надежно защищены по всем стандартам, что подтверждается аудиторскими проверками. Платежные данные клиентов не пострадали и находятся в безопасности, подчеркнул представитель сервиса.

По данным Telegram-канала in2security, опубликованный файл содержит 1 млн строк, актуальность информации — 28 января 2023 г., В базе содержатся 824 тыс. уникальных номеров телефонов и 204 тыс. уникальных банковских карт.

В компании Infosecurity a Softline Company, которая специализируется на кибербезопасности, заявили «Известиям», что изучают данные утечки Best2pay.

С учетом наличия в утечке полных номеров банковских счетов и частично — карт, ее данные могут использоваться в «телефонных» схемах, когда мошенники под видом сотрудников банка будут пытаться получить сначала номер карты, а потом и код SMS-подтверждения транзакции. Вся надежда на то, что эти данные действительно очень старые, считает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

Злоумышленники могут использовать полученную информацию в мошеннических схемах с использованием методов социальной инженерии, подтвердил слова коллеги руководитель аналитического центра компании Zecurion Владимир Ульянов, комментируя утечку. Он пояснил, что, располагая этими сведениями, мошеннику нетрудно втереться в доверие к жертве и заставить ее выдать нужные сведения или совершить действия для кражи денег.

«Платежная система с облачной онлайн-кассой Best2Pay могла провалить миссию, о которой упоминается на сайте компании, а именно — “сделать онлайн-платежи безопасными”», — говорится в сообщении компании Infosecurity от 1 февраля. По данным расследования, актуальная дата последней регистрации пользователя — 8 мая 2021 г.

2 февраля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store
18.04.2024
У нас есть GitHub дома. Вместо нацрепозитория готовое решение от вендора?
18.04.2024
Минэк создаст профильную комиссию по ИИ-расследованиям
18.04.2024
Видеоидентификация клиентов банков уже в этом году?
18.04.2024
Дано: смартфон. Форма: «Аквариус». Суть: «Лаборатория Касперского»
18.04.2024
Члены АБД утвердили отраслевой стандарт защиты данных
17.04.2024
ФСТЭК будет аттестовать не готовое ПО, а процесс его разработки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных