В СДЭК прокомментировали сообщения об утечке персональных данных

Компания СДЭК прокомментировала сообщения о том, что после массового сбоя в работе ее IT-систем информация об отправлениях клиентов оказалась в открытом доступе. «На данный момент у нас нет оснований полагать, что произошла утечка персональных данных», — сообщила Forbes пресс-служба логистического оператора. 

В СДЭК подтвердили, ссылаясь на результаты внутреннего расследования с привлечением экспертов BI.ZONE и «Инфосистемы Джет», что сбой был вызван внешним воздействием. И призвали участников рынка и СМИ «опираться только на подтвержденную информацию и избегать непроверенных источников, которые распространяют данные, не соответствующие действительности». Примером таких данных пресс-служба компании назвала «факт создания бэкапов раз в полгода», отметив по этому поводу, что резервное копирование данных в СДЭК производится ежедневно.

СДЭК сообщил об «обширном техническом сбое» 26 мая. Тогда перестали работать приложение и сайт оператора и были остановлены прием и выдача отправлений в пунктах выдачи заказов. 3 июня компания объявила, что движение отправлений возобновлено и большая часть задержанных посылок выдана. 

Тем не менее 4 июня «Коммерсантъ» сообщил, что СДЭК так и не устранила часть уязвимостей в своей инфраструктуре. Собеседники издания на рынке кибербезопасности рассказали, что «в открытом доступе на сторонних ресурсах» можно обнаружить ссылки на «Google Таблицы» с размещенными в них данными отправлений за апрель. Издание убедилось, что в таблицах содержатся в том числе номера накладных, вес и изображения посылок, имена и названия отправителей (физлица и юрлица).

В СДЭК изданию по этому поводу рассказали, что хранят персональные данные клиентов в собственной защищенной базе, а в открытом доступе допускается появление инструкций для персонала и шаблонов действий по ним. 

В Роскомнадзоре «Коммерсанту» 27 мая сообщили, что СДЭК не уведомляла регулятора об утечках. На запрос издания об информации, размещенной на сервисах Google, в ведомстве не ответили.

Ответственность за последнюю атаку на IT-системы СДЭК взяли на себя хакеры группы Head Mare. Они отметили, что использовали при атаке вируc-шифровальщик.

Источник «Коммерсанта», знакомый с деталями инцидента, уточнил, что «хакеры не стремились получить выкуп, а работали над уничтожением ценных данных». По словам собеседника в одной из компаний в области кибербезопасности, утечка «явно произошла из-за халатности сотрудников СДЭК, потому что злоумышленники публиковали бы данные на профильных форумах». Теперь данные из открытого доступа могут быть использованы для конструирования сложных атак на инфраструктуру СДЭК, отметил главный специалист отдела комплексных систем защиты информации «Газинформсервиса» Дмитрий Овчинников. В «Информзащите» напомнили, что в 30% случаев хакеры после успешных атак совершают вторую попытку, «особенно если организация не закрывает уязвимости».

Издание напоминает, что в мае 2020 года база данных клиентов СДЭК оказалась в доступе — тогда на продажу были выставлены данные, якобы принадлежащие 9 млн клиентов службы экспресс-перевозки СДЭК. В феврале 2022 года в открытом доступе оказались файлы с ФИО, номерами телефонов, адресами и другими чувствительными данными клиентов СДЭК. В июле 2022-го РБК сообщил о новой утечке данных у СДЭК — по оценкам экспертов по кибербезопасности, она затронула 25 млн телефонных номеров клиентов компании и 30 000 контрагентов.