За утечку данных Joom грозит штраф до 20 млн евро. Что из этой суммы достанется пользователям?
Маркетплейс Joom допустил крупную утечку пользовательских данных. Банковские данные более 55 тысяч клиентов магазина оказались в свободном доступе. Рассказываем, что именно попало в Сеть, как минимизировать потери от утечек и можно ли надеяться на возмездие.
Банк России и Visa обратили внимание на утечку данных у сервиса Joom. РБК пишет, что Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) и Visa предупредили банки, данные которых были скомпрометированы.
РБК опросил затронутые инцидентом кредитные организации и выяснил, что, например, Сбербанк в курсе упомянутой рассылки. Однако компания не обнаружила в обсуждаемой базе данных информации о своих клиентах. "Промсвязьбанк" настаивает, что утёкшие данные не представляют большой опасности. Мол, их недостаточно для хищения денег. Тем не менее кредитная организация планирует перевыпустить карты своих клиентов из слитой базы. "Райффайзенбанк", к слову, уже это сделал. Qiwi просто заблокировала скомпрометированные карты.
Кроме упомянутых организаций утечка затронула "Россельхозбанк", МКБ, "Тинькофф" и не только. Кроме российских компаний утечка задела и ряд иностранных. В открытый доступ попали данные клиентов как минимум люксембургского Advanzia Bank S.A. и ирландского Allied Irish Banks.
Какие именно данные оказались в Сети?
Фрагменты утёкшей базы можно найти в тематических телеграм-каналах и на форумах. В одном из таких источников Лайф узнал некоторые подробности о сливе. В частности, стало известно, что база данных Joom расходится по Сети в формате таблицы Excel. В ней 55 425 строк с персональными данными:
— первые шесть и четыре последние цифры платёжной карты;
— тип карты (Visa, MasterCard, "Мир");
— банк — эмитент карты;
— срок действия карты;
— имя на карте латиницей;
— имя и фамилия покупателя;
— мобильный телефон;
— адрес электронной почты;
— почтовый адрес, который зачастую совпадает с фактическим адресом проживания человека.
В комментарии Лайфу Group-IB предположила, что слитая информация похожа на "базу с данными с платёжных квитанций пользователей".
— Вообще, довольно странно, что подобная информация была просто выложена в открытый доступ бесплатно. Это ценная база для мошеннических кол-центров, которую обычно продают, и довольно недёшево, — отмечают в Group-IB.
К слову, о стоимости слитых данных. Авторы телеграм-канала "Утечка информации" (ведётся представителями ИБ-компании Data Leakage & Breach Intelligence (DLBI)) обнаружили аналогичную базу на рынках Даркнета. Информацию продают по цене пять рублей за строчку. То есть весь excel-файл стоит 277 125 рублей.
И Group-IB, и DLBI склоняются к мнению, что в свободный доступ попала лишь тестовая часть более крупной базы данных. Проще говоря, у Joom, вероятно, украли куда больше "клиентов", чем известно СМИ.
А что говорит Joom?
Лайфу латвийский маркетплейс в лице Мики Стецовского отказался комментировать случившееся. Впрочем, общаясь с РБК, компания всё же подтвердила утечку. Joom узнал о проблеме ещё в марте. О чём сервис якобы незамедлительно сообщил и пользователям, и журналистам.
В марте 2020 года действительно появлялись сообщения маркетплейса о проблеме. Но, судя по всему, весной компания либо не имела представлений о масштабе случившегося, либо умышленно её приуменьшила в глазах общественности.
Например, издание VC, со слов того же Мики Стецовского, пишет, что Joom потерял данные только тысячи клиентов из России и Белоруссии, а не 55 425. При этом маркетплейс акцентировал внимание именно на том, что информацию о банковских картах злоумышленники не получили.
Отвечая на вопрос, как именно случилась утечка, Joom говорит, что виноват один из подрядчиков, имевший доступ к закрытым ресурсам компании. Андрей Арсентьев, руководитель направления аналитики и спецпроектов группы компаний InfoWatch, в комментарии Лайфу сказал, что версия самого маркетплейса убедительна.
— Скорее всего, хакеры воспользовались уязвимостями в инфраструктуре партнёра, — рассуждает Арсентьев.
С помощью слитых данных можно украсть деньги?
Специалисты Group-IB и InfoWatch отмечают, что слитых данных недостаточно для совершения платежей без ведома владельца банковской карты. Вместе с тем утечки достаточно для применения к людям инструментов социальной инженерии и фишинга. То есть имеющейся информации вполне достаточно для обмана людей с целью наживы.
— Используя эти данные, злоумышленники могут представляться сотрудниками банков, чтобы выведать полные данные карт, высылать владельцам карт вредоносные ссылки от имени известных компаний, убедить их загрузить приложение. Открывая подобные ссылки или загружая мошенническое приложение, люди пускают на свои устройства программу для кражи данных, в том числе информации для доступа к мобильному банку, — объясняет эксперт InfoWatch Андрей Арсентьев.
А Joom понесёт наказание?
Фото © Shutterstock
Несмотря на то что Joom работает в том числе и в России, юридически компания зарегистрирована в Риге, столице Латвии. Латвия — государство Евросоюза. Соответственно, если сервису и придётся отвечать перед законом, то только перед европейским. А он, к слову, довольно суров по отношению к интернет-компаниям, которые не могут уберечь конфиденциальные данные клиентов.
— Поскольку маркетплейс Joom зарегистрирован в одной из стран ЕС, ему грозит преследование в связи с нарушением общеевропейского регламента по защите данных — GDPR. На Joom может быть наложен штраф в размере до 20 млн евро, или 4% от годового оборота, — объясняет Андрей Арсентьев.
General Data Protection Regulation (GDPR) — это постановление Европейского союза, вступившее в силу в 2018 году. Сумма самого крупного штрафа по GDPR равна 204 млн евро. Его выписали авиакомпании British Airways, из приложения которой хакеры вынули данные 500 тысяч пассажиров. Второй по величине штраф — 110 млн евро. Его получила сеть отелей Marriott за слив данных 339 млн гостей. В январе 2019 года Национальная комиссия по делам информационных технологий и правам человека оштрафовала на 50 млн евро Google.
Я нашёл своё имя в слитой базе данных — я могу что-нибудь предъявить Joom?
Можно. Но сложно. Андрей Некрасов, кандидат юридических наук и эксперт в вопросах гражданского права, мошенничества и экономической преступности, рассказал Лайфу, что привлечь к ответственности компанию будет сложно до тех пор, пока факт ущерба не будет доказан.
— Когда убьют, тогда и приходите, — иронизирует юрист.
А если без шуток, то самым доступным инструментом воздействия на маркетплейс является обращение в Роскомнадзор.
— В компетенцию этого ведомства входит привлечение к административной ответственности информационных операторов, которые плохо работают с персональными данными, — констатирует Андрей Некрасов.
В таком случае Joom может получить штраф за нарушение закона "О персональных данных". Сегодня за невыполнение обязанности по соблюдению конфиденциальности персональных данных с юридического лица могут взыскать сумму до 50 тысяч рублей. В июне текущего года Минюст предложил увеличить штрафы за нарушение закона "О персональных данных" десятикратно.
Единственной возможностью взыскать с Joom что-нибудь в пользу гражданина, считает Андрей Некрасов, является доказательство морального ущерба. Что возможно, поскольку человек, банковские данные которого слил маркетплейс, будет постоянно переживать: менять ему карту или нет, украдут с его карты деньги или не украдут.
— Если многие потерпевшие оформят такую претензию коллективно, то можно надеяться на компенсацию. Хотя установить факт морального вреда в данной ситуации тоже будет непросто, — уверен юрист и подчёркивает, что такой сценарий если и возможен, то скорее в Европе и США, нежели в России.
К слову, о коллективных исках и Европе. Андрей Арсентьев тоже в качестве возможности получить компенсацию от Joom видит только коллективный иск.
— Размер компенсации на одного человека будет весомым только в том случае, если пострадавший докажет, что в результате утечки ему был причинён ущерб. В обратном случае сумма компенсации может составить всего несколько евро, — объясняет эксперт.
Несмотря на то что Joom зарегистрирован в Латвии, россияне всё равно могут выступить в роли частных истцов. Одна проблема — дело должно заводиться на земле потенциального ответчика.
— Там нужно обращаться к адвокатам, которые уже начали вести дело по коллективному иску, либо самому нанимать специалиста, — резюмирует Андрей Некрасов. При этом зачастую нет необходимости физически посещать страну ответчика. Мол, современные инструменты позволяют провести операцию дистанционно.