«Билайн» допустил крупную утечку. В сети данные сотен тысяч работников оператора

У российского телеком-оператора «Билайн» произошла крупная утечка персональных данных сотрудников. В сети оказалось почти 200 тыс. уникальных логинов, мобильные и домашние телефоны, ФИО и служебная информация, с помощью которой злоумышленники могут шантажировать работников компании. Теперь оператору грозит штраф – пока все же не оборотный.


Данные в открытом доступе

Персональные данные сотрудников «Билайна» вместе с адресами корпоративной почты и номерами телефонов утекли в открытый доступ. Об этом сообщил Telegram-канал «Утечки информации». Информацию СNews подтвердили представители оператора.

По словам представителей компании, в публичный доступ попала информация из корпоративного справочника, доступная каждому сотруднику. Оператор уже ведет расследование по факту инцидента.

В Telegram-канале утверждается, что «слив» произвел тот же хакер, который ранее выложил в сети данные участников программы лояльности Tele2, «Почты России», образовательной платформы GeekBrains и службы доставки Delivery Club», сервиса покупки билетов tutu.ru и других.

Злоумышленник смог получить доступ к службе каталогов (LDAP) оператора и опубликовал четыре LDIF-файла – это формат представления записей службы каталогов в текстовой форме. В документе содержатся выгрузки, разбитые по регионам: Московский, Южный, Уральский и Центральный.

Каждая запись содержит логин пользователя в домене vimpelcom.ru (всего 198,050 уникальных логинов), адрес электронной почты на домене beeline.ru (67,480 адресов), мобильный телефон (89,519 номеров), домашний телефон (10,969 номеров), ФИО (в кодировке Base64, которую можно декодировать с помощью любого онлайн-дешифратора) и другая служебная информация – например, о подразделении, в котором работает сотрудник.

Насколько масштабна утечка

Данные злоумышленники могут использовать для организации фишинговых атак на сотрудников и телефонного мошенничества. С их помощью также можно шантажировать работников и заставлять их предоставлять доступ к ИТ-инфраструктуре организации.

«Количественно, если смотреть на описание состава базы выглядит нестрашной, – рассказал в беседе с CNews главный редактор сайта Roem.ru Юрий Синодов. – у "Билайна" на несколько порядков больше абонентов. Плохо, как обычно, то, что все эти утекающие базы сводятся, сопоставляются друг с другом и, соответственно, "Билайн" дал данных для дальнейшего разрушения приватности граждан. Как дальше используется эта отсутствующая приватность, уже другой вопрос, но очевидными путями использования является и незапрошенная маркетинговая коммуникация, и потенциально криминальное использование – всеми любимые обзвонщики из "банковских" колл-центров или "начальники полиции Центробанка"».

Как накажут «Билайн»

Напомним, с 1 сентября 2022 г. российская организация, у которой случилась утечка персональных данных, за 24 часа должна уведомить об инциденте Роскомнадзор. Протоколы составляет регулятор, однако размер штрафов в итоге определяется судом. Максимальный размер штрафа сейчас достигает 500 тыс. руб (при первой утечке – 60-100 тыс. руб).

В октябре 2022 г. Минцифры России доработало законопроект об оборотных штрафах для провинившихся компаний и прописало в нем персональную ответственность для должностных лиц. Если в сети оказалось от 10-100 тыс. строчек, главу компании накажут на 200-400 тыс. руб. Для индивидуальных предпринимателей и юрлиц штраф за аналогичный инцидент составит 0,02% оборота, но не меньше 1 млн руб.

В ноябре 2022 г. глава Минцифры Максут Шадаев уточнил, что наказание смягчат, если компании компенсируют ущерб двум третям граждан, чьи данные оказались скомпрометированы.


Утечки оператор за последние пять лет допускал неоднократно

В беседе с CNews руководитель компании «Интернет-розыск» Игорь Бедеров отметил, что в случае с «Билайном» пока неясно, какой именно компании, входящей в группу, грозит штраф.

«У нас штраф назначается не группе компаний, а конкретному юрлицу, которое будет в группе выбрано в качестве того, кто понесет ответственность», – объяснил эксперт.

Юрий Синодов отметил, что фактического существенного влияния на этот рынок утечка «Билайна» не окажет. Что касается штрафов – эксперт полагает, что вряд ли они будут хоть сколько-то существенными: например, «Яндекс.Еда» за утечку данных 58 000 пользователей, включая адреса доставки, была оштрафован на 60 тыс. руб. Вряд ли в этом случае штраф будет сильно выше и окажет хоть какое-то влияние на финансовые показатели бизнеса оператора. Законодательная база по ужесточению штрафов за утечки данных в текущий момент только прорабатывается.

По словам Бедеров, утекли не только данные персонала «Билайна», но и его партнеров, агентов и пользователей, у которых есть личные кабинеты на портале «Билайн».

«Судя по тому, что мы увидели, данные на 90% коррелируют с утечками 2015 г., – отметил Бедеров. – Либо это просто было дополнение базы данных, либо компиляция нескольких баз данных. Хотя компания признала утечку».

Данные у «Билайна» уже утекали

У телеком-оператора уже утекали данные пользователей – последний раз это случилось в 2021 г. В публичном доступе оказалась база с персональными данными почти 2 млн абонентов проводного интернета «Билайна». Причем база по небрежности оператора находилась в свободном доступе больше двух недель. Любой желающий, скачав 4,1-терабайтный файл, могу получить доступ к ФИО абонентов, к их номерам телефонов и адресам электронной почты – данных хватало для того, чтобы, например, заняться телефонными мошенничеством.

То же самое с «Билайном» случилось в 2019 г. Тогда в сети оказалась база пользователей проводного интернета компании, а ее объем составлял в пределах 8 млн записей.

Летом 2022 г. Telegram-каналы также писали, что «Билайн» допустил утечку данных абонентов домашнего интернета – оператор информацию опроверг, заявив, что данные датированы 2015 г. и не содержат никакой новой информации – лишь ту, что утекла семь лет назад.

Адрес новости:
https://telecom.cnews.ru/news/top/2022-12-02_bilajn_dopustil_krupnuyu