Приветствую. Такие новости уже переходят в разряд рядовых, в общем потоке взломов и компрометации пользовательских данных.

Но мне кажется, не будет лишним в очередной раз обратить ваше внимание на то, что информацией о себе следует распоряжаться бережно. Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов Нова Пошта.

Как таковых баз две: первая содержит информацию порядка полумиллиона человек, с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email.

Читайте также: Хочу поделиться болью от "Новой почты" – клиент

Вторая - 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон).

Мне удалось связаться с продавцом (который, внезапно, озвучил цены за базы в гривнах) и проверить "качество" информации.

Во-первых, предоставлен произвольный кусок базы.

Во-вторых, я попросил прислать мне значения записей из базы, дав ему несколько номеров телефонов для идентификации.

Номера принадлежали совершенно разным людям из разных городов и никак не были связаны друг с другом.

Ответ пришел меньше, чем через пять минут, и содержал абсолютно точные и свежие данные о клиентах (включая измененную, в связи с недавним замужеством, фамилию одной из них).

Для дополнительной проверки я задал еще несколько телефонных номеров, которые априори не могли быть использованы в сервисе Новой Почты (это корпоративные номера) и верно - их в этой базе не оказалось.

Кроме того, в демонстрационном экземпляре я наблюдаю как минимум нескольких человек с емейлами в домене [at]novaposhta.com.ua. Итоги подведем: объемная и судя по всему актуальная клиентская база Нова Пошта действительно продается в даркнете, за вполне подъемные деньги.

Как используются эти данные злоумышленниками? Прежде всего, навязчивая реклама, спам SMS и по электронной почте, холодный обзвон.

Далее идут варианты использования этих данных в качестве компонента атак социальной инженерии, с разнообразными, далеко идущими последствиями.

Читайте также:  "Новая почта" со временем превратилась в филиал "укрпочты" советского разлива – клиент

Вам, друзья мои, пожелаю тщательно относиться к выбору, кому, куда и зачем вы предоставляете информацию о себе.

Организации - искать точку компрометации (судя по всему - инсайдера), вводить дополнительные контроли и так далее.

Ну и отчетик, про инцидент, как в цивилизованном мире делается. Если бы Новая Почта была регламентирована европейским GDPR (и оно уже вступило бы в силу), и уплыли данные граждан ЕС, то компании вполне серьезно светил бы штраф в 4% от годового оборота за предыдущий финансовый год. Или двадцать миллионов евро (в зависимости от того, что больше).