Произошли две беспрецедентные по объему утечки данных клиентов лаборатории "Гемотест". Одна из них содержит более 30 млн строк, другая - данные о более чем 500 млн анализов за 10 лет.

© ComNews
11.05.2022

Как сообщил 3 мая телеграмм-канал "Утечки информации", на одном из форумов в даркнете выставлен на продажу массив данных о клиентах сети медлабораторий "Гемотест". "По заявлению продавца, в базе 31 млн строк, содержащих ФИО, дату рождения, адрес, телефон, адрес электронной почты, серию/номер паспорта и т.п.", - такие подробности приводились в сообщении. Данные, по оценке компании DLBI, которой принадлежит канал "Утечки информации", оказались в распоряжении злоумышленников вследствие эксплуатации уязвимости в одной из информационных систем "Гемотеста". Руководитель группы развития бизнеса центра продуктов Dozor компании "Ростелеком-Солар" Алексей Кубарев не исключает и того, что причиной инцидента могла оказаться деятельность внутреннего злоумышленника.

Позднее на теневом форуме появилось новое объявление, где выставлялась информация о 554 млн заказов, где содержались ФИО, год рождения, дата и состав заказа. Анализ тестового образца, проведенный DLBI, показал, что база выгружена из информационной системы лаборатории не раньше 22 апреля 2022 г.

"Нередко компании хранят все яйца в одной корзине, то есть в одной системе содержатся и персональные данные клиентов, и их заказы. Если такая система будет взломана или кто-то из сотрудников захочет "слить" базу данных, то в доступе окажется сразу полный пакет сведений о клиентах. Как показывают последние утечки, это может быть весьма чувствительная информация - например, домашние адреса и стоимость тех или иных заказов", - так прокомментировал инцидент исполнительный директор HFLabs Константин Степанов.

И в подобном положении может оказаться практически каждая российская компания. Как показало исследование "Итоги контроля уязвимостей российских компаний за 2021 г.", проведенное "Ростелеком-Солар", все исследуемые компании использовали небезопасные методы шифрования или испытывали трудности с сертификатами или конфигурацией, способные нарушить целостность данных и привести к их перехвату злоумышленниками. При этом 94% обнаруженных уязвимостей имели критичность выше среднего.

На следующий день пресс-служба "Гемотеста" выступила со следующим заявлением: "Департамент корпоративной безопасности лаборатории "Гемотест" начал служебное расследование после появившихся в Сети сообщений об утечке данных. Если в ходе проверки информация о том, что данные были украдены, подтвердится, следующим шагом станет обращение в правоохранительные органы по факту разглашения конфиденциальной информации. Параллельно с расследованием "Гемотест" ужесточает технические меры, направленные на защиту информации и безопасности данных".

В тот же день Роскомнадзор потребовал у "Гемотеста" предоставить всю информацию о возможной утечке. Также регулятор обратился в прокуратуру с запросом на проверку данного сообщения, мотивировав это тем, что в России действует мораторий на проверки юридических лиц. "В соответствии с решением правительства РФ введен мораторий на проведение проверок в отношении юридических лиц, в связи с чем Роскомнадзор обратится в прокуратуру с запросом о возможности проведения проверки в данном случае", - прокомментировала пресс-служба Роскомнадзора.

В ходе утечки в распоряжении злоумышленников оказались весьма чувствительные данные, которые широко востребованы на теневом рынке. "Если утечка базы заказов (анализов) и персональных данных клиентов "Гемотеста" действительно случилась, данные могут быть использованы для социальной инженерии. Например, злоумышленник узнает, что человек регулярно делает чекапы. В этом случае ему можно предложить чудодейственные БАДы. Особенно уязвимыми в такой ситуации могут оказаться пенсионеры. Также паспортные данные могут быть использованы для оформления микрокредитов или заведения электронных кошельков", - напоминает Константин Степанов.

"Медицинские данные являются высокочувствительной информацией, защите которой должно уделяться особое внимание. В даркнете пользуются спросом любые данные о пользователях, и медицинские - не исключение. Они могут быть использованы для реализации мошеннических схем, шантажа или таргетированной рекламы, - считает Алексей Кубарев. - По данным, размещенным в даркнете, база включает ФИО, дату рождения, адрес, телефон, электронную почту, серию и номер паспорта, номер страховки и СНИЛС, данные об анализах. Перечень этой информации дает большой простор для фантазии злоумышленников и атак на пользователей, чьи данные утекли".

Аналитик Zecurion Мария Ефремова обращает внимание, что многие из утекших данных могли потерять актуальность: "Сами по себе медицинские данные на черном рынке могут быть использованы для шантажа и последующего вымогательства денежных средств у жертв. Но часто медицинские данные сопровождаются и паспортными личными данными, реальными местами проживания людей, что может представлять уже серьезную опасность для жертв. По общедоступной информации, данные в утечке предлагаются за 2012 г., то есть 10-летней давности. За это время многие данные могут стать неактуальными, в том числе и паспортные. Причин этого инцидента может быть несколько, и одна из них, что кто-то из сотрудников стал инсайдером и продал базу клиентов преступникам, еще причина может быть в эксплуатации уязвимости. Часто бывает так, что о таких инцидентах не становится известно в СМИ, а жертвы даже и не знают, что они пострадали от утечки. Масштаб данного инцидента велик - речь может идти о нескольких миллионах человек, - даже несмотря на то, что информация, которая есть в общем доступе, разнится - 31 млн строк или 554 млн строк".

Основатель KIP LegalTech, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков считает очень высокими перспективы удовлетворения исков от пострадавших в ходе данного инцидента.

"В данном случае истец выступает в двух лицах - потребителя по смыслу закона о защите прав потребителей и владельца персональных данных, которые разглашены. Перспективы удовлетворения иска велики, а вот к сумме есть вопросы. Нематериальные категории, вроде морального вреда, наши суды традиционно оценивают невысоко. Возможно, точка зрения суда будет меняться с учетом повышения актуальности вопроса защиты персональных данных и учащения случаев их утечки, а также повышенного внимания к этому властей, так как это указывает на большую, чем ранее, общественную значимость этой проблемы. В любом случае, для изменения ситуации нужна исковая активность, новые дела и, как следствие, формирование системной судебной практики по ним", - говорит Павел Катков.

Новости из связанных рубрик