Tazabek — Бывший сотрудник сервиса доставки «Яндекс.Еда» выложил в открытый доступ архив заказов, содержащий адреса, телефоны и состав покупок более чем 7 млн пользователей. Об этом сегодня, 10 июля, рассказал старший менеджер «Лаборатории Касперского» Сергей Полицын в ходе семинара по кибербезопасности.
По его словам, информация моментально разошлась по сети: через два дня полицейские нанесли утечку на карту и смогли увидеть, что заказывали жители кремлёвских кабинетов, храмов и обычных квартир.
«Как произошла утечка?
По словам экспертов по кибербезопасности, сотрудник имел расширенные права администратора и сохранил архивную копию базы ещё до увольнения.
Даже устаревшая база остаётся золотой жилой для злоумышленника», — подчёркивает специалист.
Там есть личные данные, которые легко использовать для фишинговых атак, шантажа или социальной инженерии, добавил он.
«За время пандемии рынок доставки еды в России вырос на 42%, а «Яндекс Еда» стала одним из главных бенефициаров. Чем крупнее сервис, тем ценнее его данные для инсайдеров и внешних хакеров», — отметил он.
Кого и что интересует злоумышленник
— Личные данные сотрудников — телефоны, адреса, привычки.
— Корпоративная информация — внутренние контакты, схемы поставок.
— Финансовые операции — в редких случаях попытки выманить деньги, выдавая себя за коллегу или родственника.
«Если вам приходит просьба о переводе денег якобы от знакомого, самый простой способ проверки — перезвонить на уже известный номер, а не отвечать в мессенджере», — напоминает эксперт.
Почему внутренние сотрудники — ключевая угроза
По словам эксперта, администраторы и регистраторы обладают доступом, которого нет у обычных пользователей.
«Мотив может быть как корыстным (продажа базы), так и «местью» после увольнения.
Контроль за копированием и выносом данных внутри компании остаётся слабым звеном во многих организациях», — рассказал он.
Что делать компаниям
— Минимизировать привилегии — давать сотрудникам ровно столько прав, сколько нужно по должности.
— Жёстко логировать выгрузку и копирование данных.
— Проводить регулярные проверки аккаунтов уволенных сотрудников и немедленно отзывать доступы.
— Обучить персонал простейшим методам верификации запросов — особенно финансовых.
Что делать пользователям
— Будьте готовы к волне спама и мошеннических звонков: не подтверждайте незнакомые SMS-коды и ссылки.
— Проверьте настройки приложений доставки — удалите привязанные карты, если не пользуетесь сервисом постоянно.
— При подозрительной активности обратитесь в банк и смените пароли.
За последними событиями следите через наш Твиттер @tazabek
По сообщению сайта Tazabek