СДЭК допустил ещё одну массовую утечку данных

Служба доставки для онлайн-торговли СДЕК допустила вторую за год утечку данных, включая персональные. База данных о заказах – более 300 тыс отправлений(включая ФИО, адреса эл. почты,отправителе), данные о контрагентах (а значит и клиентах), база телефонов. Учитывая тот факт, что это не первая утечка в этом году и большие проблемы службы доставки в пиаре и других вопросах безопасности – эта новость очень важна.

Источник: ТГ-канал “Утечки информации ” Перепечатка”

Утечка от 5 июля

Сейчас в открытый доступ снова были выложены данные клиентов транспортной компании.

Три текстовых файла:

 client.csv – 161,7 млн строк, содержащих информацию о 329,382 отправлениях (ФИО получателя, адрес эл. почты получателя, название компании отправителя, идентификатор отправителя/получателя, код пункта самовывоза)

contragent.csv – 30,129,288 строк с информацией о физических и юридических лицах (ФИО/название компании на русском и англ. языках, телефон, адрес эл. почты, почтовый адрес, дата создания/обновления записи). Судя по датам из этого файла, данный дамп базы был сделан 05.07.2022!

phone.csv – 92,610,884 строки с телефонами, идентификаторами отправителя/получателя (через эти идентификаторы есть связь с данными из файла client.csv). После удаления дублей остается 24,7 млн телефонов.

 

Утечка 25 февраля

На форум действительно был выложен архив, содержащий два файла. В одном 466 млн. строк (ID, телефон), во втором – 822 млн. строк (ID, ФИО и адрес эл. почты).

Источник этих данных пока однозначно не идентифицирован, но сами данные достоверные.

Подробнее об этой утечке и её последствиях  писал КоммерсантЪ

Клиенты сервиса экспресс-доставки СДЭК подали к компании коллективный иск на 2,2 млн руб. о взыскании компенсации за утечку персональных данных. Информация о пользователях появилась в сети в конце февраля, в СДЭК объясняли ее масштабной хакерской атакой. Несмотря на ужесточение российского законодательства в данной сфере, реальная выплата пострадавшим вряд ли будет больше 10 тыс. руб., считают юристы.

“Ъ” ознакомился с коллективным иском «о компенсации морального вреда в связи с нарушением законодательства о персональных данных», поданным к российскому оператору экспресс-доставки СДЭК («СДЭК-Глобал») 6 июня в Центральный районный суд города Новосибирска, по месту регистрации ответчика. Причиной разбирательства стала масштабная утечка персональных данных клиентов сервиса, о ней стало известно 28 февраля. В открытом доступе оказались две таблицы с ФИО, номерами телефонов, адресами и другими чувствительными данными клиентов компании: один файл содержал 466 млн строк, второй — 822 млн.

В иске участвуют 22 пользователя службы СДЭК, еще более 100 пользователей отправили заявки на присоединение к коллективному иску, рассказали в юридической фирме DestraLegal.ru, представляющей истцов.

Согласно исковому заявлению, моральная компенсация каждому участнику процесса полагается в размере 100 тыс. руб., следовательно, общая сумма иска составляет порядка 2,2 млн руб.

Сам СДЭК объяснял утечку политически мотивированной хакерской атакой на свои информационные ресурсы: «СДЭК, как и многие другие российские компании и учреждения, оказался заложником ситуации после 24 февраля». На запрос “Ъ” касательно коллективного иска в компании не ответили.

Утечка данных пользователей сервиса СДЭК может говорить о том, что оператор не принял необходимые и достаточные меры, чтобы обеспечить их безопасность, считает директор по правовым вопросам DestraLegal.ru Борис Фельдман: «Передавая свои данные курьерам, клиенты сервиса СДЭК надеялись на их сохранность и конфиденциальность».

Помимо клиентов СДЭК в конце февраля пострадали пользователи «Яндекс.Еды», Avito, Wildberries, Delivery Club и других популярных платформ.

В конце марта через DestraLegal.ru коллективный иск подали пользователи «Яндекс.Еды», в нем участвовали 33 человека, сумма компенсации на каждого также составляла 100 тыс. руб. Профильное ведомство — Роскомнадзор, со своей стороны, 23 марта составил на компанию «Яндекс.Еда» протокол за нарушение законодательства в сфере персональных данных (ч. 1 ст. 13.11 КоАП РФ, предполагает штраф в размере от 60 тыс. до 100 тыс. руб.) (см. “Ъ” от 23 марта). Суд назначил компании штраф в размере 60 тыс. руб.

Громкие утечки данных отчасти подтолкнули законодательство в этой сфере к ужесточению: в конце мая Минцифры согласовало законопроект, который предполагает не только введение оборотного штрафа за потерю данных в 1%, но и увеличение его до 3%, если компания попытается скрыть инцидент (см. “Ъ” от 30 мая). Сейчас компания в случае утечки данных должна в течение 24 часов уведомить об этом Роскомнадзор.

Раньше у компаний было больше возможностей пренебрегать сохранностью данных в силу мягкости законодательства, считают юристы. Например, ООО «Орифлейм» оштрафовали в 2021 году всего на 30 тыс. руб., говорит юрист BGP Litigation Анастасия Мырсина: «Сейчас государство идет по пути ужесточения ответственности, и идея увеличить штрафы за подобные нарушения представляется верной, поскольку будет мотивировать компании внимательнее относиться к данным».

Юристы считают, что шансы на удовлетворение требований у истцов есть, но оно будет частичным. «Размер присужденной компенсации морального вреда может оказаться до смешного малым, он рассчитывается с учетом индивидуальных особенностей потерпевшего, степени его моральных и физических страданий»,— отмечает руководитель практики разрешения споров Savina Legal Артем Баринов. По такой категории дел средний размер присуждаемой компенсации составляет 2 тыс. руб., уточнил он. Исходя из судебной практики, согласна адвокат коллегии Delcredere Анастасия Дудко, суммы компенсаций вряд ли будут выше 10 тыс. руб.

 

Реакция СДЭКа (данные “Коммерсанта”)

Инцидент прокомментировала пиар-директор СДЭК Анна Иоспа, уточнив, что сейчас в компании проводится внутреннее расследование и выясняются обстоятельства произошедшего. Прямого подтверждения случившегося и масштабов утечки от госпожи Иоспы не последовало.

 

Комментарий EH

1. Благодаря этой новости мы узнали, что у СДЭК’а есть пиар-директор. Очевидно, руководящая самым невидимым отделом СДЭК’а. Взять хотя бы новости этого года об отправителях в камуфляже из Белоруссии или освещение работы CDEK.Shopping.
2. Наши источники неоднократно сообщали, что данные о клиентах (не получателях, а интернет-магазинах) СДЭК – одни из самых легкодоступных и что существует широкий рынок “пробива” по клиентам компании.