В даркнете хакеры выставили на продажу базу данных из 51 тысячи номеров, предположительно, клиентов «БКС Мир Инвестиций». Подлинность слитой базы подтверждают проверка пробного фрагмента базы, а также пользователи этого брокера.
В БКС утверждают, что слитые данные не имеют никакого отношения к клиентам компании.
Утечку обнаружили в компании DLBI. Номера из базы клиенты «БКС Мир Инвестиций» используют для входа в личный кабинет, из которого они торгуют на бирже, выводят деньги, смотрят отчеты. Преимущественно номера принадлежат жителям Москвы. Паролей в базе нет.
База продается в одни руки по цене 15 рублей за номер. Ее можно приобрести также за 2 эфира (около 650 тысяч рублей).
Как утверждает продавец, он получил базу методом перебора (брутфорса, перебора параметров при доступе к API или веб-интерфейсу). Он предоставил «Известиям» три номера телефона в качестве «пробников». Дозвониться удалось по двум из них. Один собеседник сообщил, что действительно пользуется «БКС Мир Инвестиций». Другой отказался давать комментарии.
При вводе номеров в качестве логина на сайте «БКС Мир Инвестиций» и при нажатии кнопки «Забыли логин или пароль» система предлагает ввести новый пароль.
В финансовой группе БКС утверждают, что сотрудники информационной безопасности провели тщательный анализ и не выявили никаких утечек клиентских данных. По данным компании на первое полугодие 2021 года, в «БКС Мир Инвестиций» обслуживались более 800 тысяч человек.
Роскомнадзор заявил, что обезличенные сведения с номерами телефонов не могут быть отнесены к персональным. Там напомнили, что граждане, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
Основатель сервиса DLBI Ашот Оганесян отмечает, что, если закера не заблокировали в процессе перебора, можно говорить о легкомысленном отношении брокера к информационной безопасности. По его словам, база из одних номеров телефонов годится для SMS-спама и, возможно, фишинга, связанного с получением налоговых вычетов. Однако при ее пополнении именами и паспортными данными возможны мошеннические звонки, направленных на получение пароля от личного кабинета у брокера или платежных данных.
Руководитель аналитического центра Zecurion Владимир Ульянов говорит, что эта база может быть интересна конкурентам: другим брокерам, которые хотели бы расширить свою аудиторию. Они могут начать обзванивать людей и предлагать свои услуги.
По данным DLBI, в 2021 году стоимость «пробива» данных российских пользователей в различных компаниях (у агрегаторов, сотовых операторов и даже госорганов) увеличилась в 2 раза, а цена на такие же услуги в банковской сфере, включая выписку по банковским картам, выросла в 4 раза.
Специалисты DLBI считают, что рост цен на такие незаконные услуги связан с тем, что многие банки усилили защиту от утечек внутри своего периметра и повысили рамки ответственности за подобные нарушения для своих сотрудников. Теперь персонал, задействованный в подобных схемах, действует аккуратнее.
habr.com
В БКС утверждают, что слитые данные не имеют никакого отношения к клиентам компании.
Утечку обнаружили в компании DLBI. Номера из базы клиенты «БКС Мир Инвестиций» используют для входа в личный кабинет, из которого они торгуют на бирже, выводят деньги, смотрят отчеты. Преимущественно номера принадлежат жителям Москвы. Паролей в базе нет.
База продается в одни руки по цене 15 рублей за номер. Ее можно приобрести также за 2 эфира (около 650 тысяч рублей).
Как утверждает продавец, он получил базу методом перебора (брутфорса, перебора параметров при доступе к API или веб-интерфейсу). Он предоставил «Известиям» три номера телефона в качестве «пробников». Дозвониться удалось по двум из них. Один собеседник сообщил, что действительно пользуется «БКС Мир Инвестиций». Другой отказался давать комментарии.
При вводе номеров в качестве логина на сайте «БКС Мир Инвестиций» и при нажатии кнопки «Забыли логин или пароль» система предлагает ввести новый пароль.
В финансовой группе БКС утверждают, что сотрудники информационной безопасности провели тщательный анализ и не выявили никаких утечек клиентских данных. По данным компании на первое полугодие 2021 года, в «БКС Мир Инвестиций» обслуживались более 800 тысяч человек.
Роскомнадзор заявил, что обезличенные сведения с номерами телефонов не могут быть отнесены к персональным. Там напомнили, что граждане, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
Основатель сервиса DLBI Ашот Оганесян отмечает, что, если закера не заблокировали в процессе перебора, можно говорить о легкомысленном отношении брокера к информационной безопасности. По его словам, база из одних номеров телефонов годится для SMS-спама и, возможно, фишинга, связанного с получением налоговых вычетов. Однако при ее пополнении именами и паспортными данными возможны мошеннические звонки, направленных на получение пароля от личного кабинета у брокера или платежных данных.
Руководитель аналитического центра Zecurion Владимир Ульянов говорит, что эта база может быть интересна конкурентам: другим брокерам, которые хотели бы расширить свою аудиторию. Они могут начать обзванивать людей и предлагать свои услуги.
По данным DLBI, в 2021 году стоимость «пробива» данных российских пользователей в различных компаниях (у агрегаторов, сотовых операторов и даже госорганов) увеличилась в 2 раза, а цена на такие же услуги в банковской сфере, включая выписку по банковским картам, выросла в 4 раза.
Специалисты DLBI считают, что рост цен на такие незаконные услуги связан с тем, что многие банки усилили защиту от утечек внутри своего периметра и повысили рамки ответственности за подобные нарушения для своих сотрудников. Теперь персонал, задействованный в подобных схемах, действует аккуратнее.
В даркнете продают базу из 51 тысячи номеров клиентов БКС
В даркнете хакеры выставили на продажу базу данных из 51 тысячи номеров, предположительно, клиентов «БКС Мир Инвестиций». Подлинность слитой базы подтверждают проверка пробного фрагмента базы, а также...
habr.com