Медицинские утечки колоссального масштаба

Как сообщил 3 маятелеграмм-канал "Утечки информации", на одном из форумов в даркнете был выставлен на продажу массив данных о клиентах сети медлабораторий "Гемотест". "По заявлению продавца в базе 31 млн строк, содержащих ФИО, дату рождения, адрес, телефон, адрес эл. почты, серию/номер паспорта и т.п.", - такие подробности приводились в сообщении. Данные, по оценке компании DLBI, которой принадлежит канал "Утечки информации", оказались в распоряжении злоумышленников вследствие эксплуатации уязвимости в одной из информационные систем "Гемотеста". Руководитель группы развития бизнеса центра продуктов Dozor компании "Ростелеком-Солар" Алексей Кубарев не исключает и того, что причиной инцидента могла оказаться деятельность внутреннего злоумышленника. Позднее на теневом форуме появилось новое объявление, где выставлялась информация о 554 млн заказов, где содержались ФИО, год рождения, дата и состав заказа. Анализ тестового образца, проведенный DLBI, показал, что база была выгружена из информационной системы лаборатории не раньше 22 апреля 2022 года. "Нередко компании хранят все яйца в одной корзине, то есть в одной системе содержатся и персональные данные клиентов, и их заказы. Если такая система будет взломана или кто-то из сотрудников захочет "слить" базу данных, то в доступе окажется сразу полный пакет сведений о клиентах. Как показывают последние утечки, это может быть весьма чувствительная информация – например, домашние адреса и стоимость тех или иных заказов", - так прокомментировал инцидент исполнительный директор HFLabs Константин Степанов. И в подобном положении может оказаться практически каждая российская компания. Как показало исследование "Итоги контроля уязвимостей российских компаний за 2021 год", проведенное "Ростелеком-Солар", все исследуемые компании использовали небезопасные методы шифрования или испытывали трудности с сертификатами или конфигурацией, способные нарушить целостность данных и привести к их перехвату злоумышленниками. При этом 94% обнаруженных уязвимостей имели критичность выше среднего. На следующий день пресс-служба "Гемотеста" выступила со следующим заявлением: "Департамент корпоративной безопасности лаборатории "Гемотест" начал служебное расследование после появившихся в сети сообщений об утечке данных. Если в ходе проверки информация о том, что данные были украдены, подтвердится, следующим шагом станет обращение в правоохранительные органы по факту разглашения конфиденциальной информации. Параллельно с расследованием "Гемотест" ужесточает технические меры, направленные на защиту информации и безопасности данных". В тот же день Роскомнадзор потребовал у "Гемотеста" предоставить всю информацию о возможной утечке. Также регулятор обратился в прокуратуру с запросом на проверку данного сообщения, мотивировав это тем, что в России действует мораторий на проверки юридических лиц. "В соответствии с решением правительства РФ введен мораторий на проведение проверок в отношении юридических лиц, в связи с чем Роскомнадзор обратится в прокуратуру с запросом о возможности проведения проверки в данном случае", - прокомментировала пресс-служба Роскомнадзора. В ходе утечки в распоряжении злоумышленников оказались весьма чувствительные данные, которые широко востребованы на теневом рынке. "Если утечка базы заказов (анализов) и персональных данных клиентов "Гемотеста" действительно случилась, данные могут быть использованы для социальной инженерии. Например, злоумышленник узнает, что человек регулярно делает чекапы. В этом случае ему можно предложить чудодейственные БАДы. Особенно уязвимыми в такой ситуации могут оказаться пенсионеры. Также паспортные данные могут быть использованы для оформления микрокредитов или заведения электронных кошельков", - напоминает Константин Степанов. "Медицинские данные являются высокочувствительной информацией, защите которой должно уделяться особое внимание. В даркнет пользуются спросом любые данные о пользователях, и медицинские - не исключение. Они могут быть использованы для реализации мошеннических схем, шантажа или таргетированной рекламы, - считает Алексей Кубарев. - По данным, размещенным в даркнет, база включает ФИО, дату рождения, адрес, телефон, электронную почту, серию и номер паспорта, номер страховки и СНИЛС, данные об анализах. Перечень этой информации дает большой простор для фантазии злоумышленников и атак на пользователей, чьи данные утекли". Аналитик Zecurion Мария Ефимова обращает внимание на то, что многие из утекших данных могли потерять актуальность: "Сами по себе медицинские данные на черном рынке могут быть использованы для шантажа и последующего вымогательства денежных средств у жертв. Но часто медицинские данные сопровождаются и паспортными личными данными, реальными местами проживания людей, что может представлять уже серьезную опасность для жертв. По общедоступной информации, информация в утечке предлагается за 2012 год, то есть 10-летней давности. За это время многие данные могут стать неактуальными, в том числе и паспортные данные. Причин данного инцидента может быть несколько и одна из них, что кто-то из сотрудников стал инсайдером и продал базу клиентов преступникам, еще причина может быть в эксплуатации уязвимости. Часто бывает так, что о таких инцидентах не становится известно в СМИ, а жертвы даже и не знают, что они пострадали от утечки. Масштаб данного инцидента велик (речь может идти о нескольких миллионах человек), даже несмотря на то, что информация, которая есть в общем доступе, разнится – 31 млн строк или 554 млн строк". Основатель KIP LegalTech, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков считает очень высокими перспективы удовлетворения исков от пострадавших в ходе данного инцидента. "В данном случае истец выступает в двух лицах: потребителя по смыслу закона о защите прав потребителей и владельца персональных данных, которые были разглашены. Перспективы удовлетворения иска велики, а вот к сумме есть вопросы. Нематериальные категории, вроде морального вреда, наши суды традиционно оценивают невысоко. Возможно, точка зрения суда будет меняться с учетом повышения актуальности вопроса защиты персональных данных и учащения случаев их утечки, а также повышенного внимания к этому властей, так как это указывает на большую, чем ранее, общественную значимость этой проблемы. В любом случае, для изменения ситуации нужна исковая активность, новые дела, и как следствие, формирование системной судебной практики по ним", - говорит Павел Катков. Ссылка на источник