Злоумышленники «слили» в Сеть данные 10 млн пользователей букмекерской платформы Pin-Up.bet
Владелец базы данных готов «слить» ее за 10 тысяч долларов (716,5 тысячи рублей), оплата принимается в криптовалюте. За эти деньги он обещает предоставить покупателю информацию об электронной почте юзеров, дате рождения, номере мобильного телефона, финансовые данные, адрес, пол, а также любимую игру, в которой было сделано наибольшее количество ставок.
Директор блока экспертных сервисов BI.ZONE Евгений Волошин в беседе с РБК отметил, что данная база, по словам продавца, актуальна на конец 2020 года. Для предотвращения возможных последствий он посоветовал пользователям сменить пароли и настроить двухфакторную аутентификацию.
Факт существования такой базы и ее наличия в продаже с 5 октября подтвердили руководитель группы исследования публичных утечек Group-IB Олег Деров и основатель сервиса анализа утечек данных DLBI Ашот Оганесян.
Случаи, когда в интернете оказываются данные букмекерских платформ, происходят достаточно редко. Это можно назвать крупным «сливом». Вероятнее всего, был взломан сервер. «Сливать» могли через какую-то уязвимость, например, SQLi (один из самых распространенных способов взлома сайтов и программ, которые работают с базами данных), пояснил Оганесян. При этом он выразил сомнения, что кто-то купит базу за указанную цену, потому что она слишком высокая.
Деров при этом назвал утечку достаточно крупной, но не рекордной ни для мира, ни для России. Например, в 2012–2014 годах произошли массовые утечки «ВКонтакте» и «Рамблера», каждая из которых содержала данные о более чем 90 миллионах пользователях. В сентябре этого года команда Group-IB обнаружила порядка 120 опубликованных (не на продажу) баз данных, 7 из которых были крупнее, чем утечка Pin-Up.bet. А одна из самых массовых утечек данных букмекерских платформ произошла в январе 2019 года, когда в связи с отсутствием пароля на публичном сервере ElasticSearch утекли данные группы онлайн-казино Mountberg Limited, напомнил Оганесян. По его словам, база содержала данные о более чем 108 миллионах сделанных ставок, выигрышей, депозитов и выводов средств. Вдобавок утекли имена, домашние адреса, номера телефонов и т.д.
Чаще всего базы данных, которые выставляют на продажу в даркнете, попадают в руки к злоумышленникам в результате успешных атак на инфраструктуру организации или посредством кражи с корпоративных серверов с незакрытым доступом в интернет. Также это происходит из-за «слива» данных внутренним сотрудником, пояснил эксперт Центра продуктов Dozor компании «Ростелеком-Солар» Алексей Кубарев.
Он отметил, что обычно при регистрации пользователи букмекерских сервисов и онлайн-казино предоставляют полный набор персональных данных, в том числе адрес, телефон, электронную почту и другую информацию.
Деров добавил, что конкретно в этой утечке пароли к аккаунтам хранились не в открытом виде, но даже без них «слив» опасен для пользователей. Большое количество электронных адресов и телефонов позволяет мошенникам проводить массовые спам-рассылки. А со знанием дополнительных данных из этой утечки они могут провести фишинг- и вишинг-атаки.
Такая утечка может обернуться для скомпрометированных юзеров либо попытками скама, когда злоумышленник сначала втирается к пользователю, а потом вынуждает жертву раскрыть свои данные и отдать деньги, либо спамом от других букмекеров, отметил Оганесян.
Руководитель отдела анализа цифровых угроз компании «Инфосекьюрити» (входит в группу Softline) Александр Вураско подчеркнул, что политика обработки персональных данных пользователей Pin-Up.bet допускает расплывчатые формулировки, в частности их передачу третьим лицам. В одном из пунктов пользовательского соглашения говорится, что компания не несет ответственности за любой причиненный ущерб или убытки, не ограничиваясь потерей данных, дохода, престижа, репутации, а также за любые потери, которые она не может предусмотреть. В том же соглашении отмечается, что все споры регулируются законодательством Кипра.
Между тем, мечты фантастов прошлых поколений все же начали сбываться, если уже не сбылись: все чаще от госуправленцев и глав крупных IT-корпораций можно услышать, что будущее наступило. Кинематограф приучил нас, что можно подделать любые документы, фото человека, голос и даже отпечатки пальцев. Последним оплотом надежности оставалась идентификация по лицу. Сегодня эту технологию используют производители смартфонов, госорганы, а также банки и даже метро.
Подписывайтесь на Новости LIVE24.RU и на наш канал в Дзенe. Следите за главными новостями России и Мира в telegram-канале LIVE24.RU.