По словам экспертов, это самая крупная утечка персональных данных российских служб доставки.
Данные, якобы принадлежащие 9 млн клиентов службы экспресс-перевозки СДЭК, выставили на продажу в Интернете за 70 тыс. рублей, пишет «Коммерсант». Это заметил Telegram-канал In4security. В базе данных содержатся информация о доставке и местонахождении грузов и сведения о покупателях, включая ИНН. В самой службе утверждают, что утечки данных из компании не было. Личные данные собираются множеством компаний, в том числе на государственных агрегаторах, утечка могла произойти на любом из подобных ресурсов, а компания СДЭК к этому не причастна, подчеркнул ее представитель.
По словам экспертов, это самая крупная утечка персональных данных российских служб доставки, но и ранее клиенты СДЭК жаловались, что из-за уязвимостей на сайте компании видны личные данные других людей. Также подобные утечки опасны тем, что повышают вероятность успеха при использовании методов социальной инженерии — после них следуют звонки от мошенников, которые представляются сотрудниками компании и пытаются узнать информацию о платежных данных, предупреждают эксперты. Данные могут попасть в базу маркетологов, в том числе для «холодного обзвона».
Бренд СДЭК эксплуатируют также фейковые сайты, которых с начала 2020 года появилось более 450, указывает In4security. Как сообщает основатель и технический директор DeviceLock Ашот Оганесян, большое число пользователей сайтов объявлений, таких как Avito, жаловались на фишинговые ссылки, ведущие на ресурсы, имитирующие сайт СДЭК, а также активное использование поддельных накладных с ее реквизитами. Злоумышленники делают фейковые объявления на популярных площадках с товарами по привлекательным ценам и высылают покупателю данные накладной с мошеннического сайта доставки, имитирующего ресурсы СДЭК или другой известной службы доставки, человек оплачивает товар, но в итоге не получает желаемую вещь, поясняют эксперты.