В открытом доступе оказался сервер с персональной информацией клиентов сервиса «Премиум бонус», который обеспечивает программы лояльности популярным кафе и ресторанам (например, «Му-Му», «Жан Жак», «Империя пиццы»). Об этом «Известиям» рассказал основатель и технический директор DeviceLock Ашот Оганесян, он обнаружил базу данных 16 марта. Несмотря на то что компанию предупредили об уязвимости в тот же день, сервер пропал из свободного доступа лишь в 13 часов 17 марта.
«Известия» ознакомились с фрагментами базы данных. В клиентских записях присутствовали полные имена, фамилии и отчества покупателей, даты рождения, e-mail, мобильные телефоны, адреса доставки, сумма и состав заказов. В частности, на открытом сервере хранилась информация о посетителях ресторанов «Му-Му», «Жан-Жак», «Империя пиццы», «Тарелка», «Ташир Пицца», «Грузинские каникулы», «Джон Донн», «Тапчан», «Контакт бар», а также о покупателях магазинов «Органик Маркет», French Kiss, «Добрынинский и партнеры», «Интермода», рассказал Ашот Оганесян.
Только в одном из индексов (разделов) сервера находилось 55 млн строк, из них 21 млн содержали телефонные номера. С учетом того, что базе были в основном «логи» системы, то есть информация не только о клиентах и их заказах, но и об обновлениях статуса этих заказов и других служебных действиях, назвать точное число пострадавших сложно, пояснил Ашот Оганесян. По его оценкам, на сервере находилось не менее 300 тыс. записей, включающих клиентские данные, однако и они могли содержать повторы, и число клиентов, чьи данные утекли, может быть не так велико.
Эксперт убедился в том, что сервер рабочий, поменяв собственные данные в приложении — эту корректировку он тут же увидел в базе, рассказал «Известиям» Ашот Оганесян.
— Обладая этой информацией, злоумышленники могут обманывать клиентов методами социальной инженерии. Например, распространять фишинговые письма от имени ресторанов, предлагая скидки, подарки или акции. Для получения бонусов клиенту могут предложить ввести данные карты, с которой потом будут похищены средства, — пояснил Ашот Оганесян.
По его словам, с точной информацией о клиенте и о последних заказах легче создать достаточный для таких мошеннических схем уровень доверия.
В компании «Премиум бонус» (Jamm Group) на запрос «Известий» на момент публикации не ответили. Участники программы лояльности, которую предлагает эта компания, — кафе «Му-му», «Жан-Жак», кондитерская фабрика French kiss и другие — не предоставили оперативных комментариев.
Украсть и разрекламировать
Гендиректор консалтинговой компании Restcon Елена Перепелица сказала «Известиям», что чаще всего подобные базы данных используются в рекламных и маркетинговых целях. То есть клиенты, чья информация стала известной коммерческим структурам, в перспективе будут получать более точные предложения о покупке товаров. Более того, данные могут перепродавать для того, чтобы другие компании четко понимали профиль нового покупателя и ориентировались на эту фактуру при развитии своего бизнеса.
— В нашем сегменте подобные взломы базы данных обычно не заканчиваются попытками украсть средства со счетов, — сказала она.
По словам контент-аналитика «Лаборатории Касперского» Владислава Тушканова, любая полученная злоумышленниками информация может использоваться для социальной инженерии и фишинга. Если человек получит письмо с указанием своего имени, деталей заказа в прошлом и предложением, сулящим финансовую выгоду, то вероятность, что он не распознает мошенничество, очень велика.
— Легенд у злоумышленников может быть множество — сообщение о возврате средств в связи с перерасчетом, поздравление с победой в розыгрыше, просьба пройти опрос с возможностью получить вознаграждение и так далее, — сказал эксперт. — Пользователям могут предложить ввести данные банковской карты, сообщить конфиденциальную информацию (например, одноразовый пароль из СМС), перейти по ссылке, скачать программное обеспечение и другое.
Для бизнеса, по словам Владислава Тушканова, подобная ситуация прежде всего грозит репутационными рисками, которые связаны с потерей доверия клиентов.
Представитель Group-IB, компании, специализирующейся на предотвращении кибератак, сказал «Известиям», что указанный набор данных не совсем стандартный для классических утечек. Кроме фамилии, имени и отчества, а также адресов и телефонов клиентов злоумышленники знают сумму заказа гостей ресторанов и кафе. Гипотетически на основе таких данных они могут предположить, кто из жертв — важный и обеспеченный клиент. Это опасно тем, что позволит преступникам сделать более точечным сбор данных, например, о состоянии банковских счетов, и увеличить потенциальный ущерб при атаках, отметили в компании.
Евгения Перцева
Наталья Ильина