Хакеры слили в сеть данные карт миллиона клиентов Best2Pay. Сервис заявил, что это просто таблицы для тестирования
Хакеры слили в Сеть данные 1 миллиона пользователей платежного сервиса Best2Pay, который заявляет, что его "миссия – сделать онлайн-платежи безопасными".
Представители компании заявили, что данные актуальны только на 2021 год, и вообще они готовились для тестировщиков.
Выложенный неизвестными файл содержит ФИО плательщиков через Best2Pay, более 338 тысяч уникальных номеров телефонов, адреса электронной почты, типы проводимого платежа, неполный номер карты (маску), а также дату платежа и технические детали.
Специалисты считают, что "утекшие" данные Best2Pay актуальны на 23 января 2023 года.
Сам сервис утверждает, что это не так. Также специалисты заявили, что есть большая вероятность, что выложена лишь часть базы, имеющейся в распоряжении взломщиков, остальное будут продавать.
Более детальный анализ утечки показал, что в ней фигурируют 204 тысячи уникальных банковских карт, выпущенных банками из 102 стран мира.
Но большая часть обнародованной информации касается российских карт. Из 2429 BIN-ов российским банкам принадлежит 1399 идентификаторов, утечка затронула клиентов 185 российских банков. При этом несколько карт из утечки были выпущены уже прекратившими деятельность кредитными организациями.
Хотя база данных не содержит полных номеров карт, мошенники могут ее использовать для тех самых звонков от "службы безопасности банка" с применением методов социальной инженерии клиентам банков. Иногда чтобы украсть деньги со счета, злоумышленникам хватает имени, номера телефона и знания, в каком банке находится карта.
Между тем, Best2Pay уже выпустил официальное заявление по инциденту, в котором убеждает всех, что данные старые и вообще использовались только для тестов.
"В декабре 2022 года информационные системы нашей Компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из наших подрядчиков, работавшего в изолированной тестовой среде. С использованием аккаунта подрядчика была скомпрометирована Тестовая система формирования отчетов.
Тестовая среда полностью изолированна от основных информационных систем компании, а размещенные в ней данные были подготовлены специально для работы с внешними подрядчиками. Актуальность массива данных относится к периоду с начала 2019 г. по июнь 2021 г. В похищенном массиве отсутствуют полные данные карт (только маска) и иные платежные реквизиты.
Все боевые системы, которые отвечают за обработку и хранение карточных данных полностью отделены от всех тестовых сред и надежно защищены по всем стандартам PCI DSS, что ежегодно подтверждается независимыми аудитами уже более 10 лет. Платежные данные клиентов не пострадали и находятся в безопасности".
Эксперты отмечают, что наличие финансовой информации в подобных дампах — большая редкость. Коммерсанты обычно хранят ее отдельно от прочих обрабатываемых персональных данных.
В данном случае, видимо, не последнюю роль сыграла специфика атакованного сервиса: это агрегатор онлайн-платежей, процессинговый центр, которым пользуются интернет-магазины, стартапы сферы услуг и мобильные приложения.
Также читайте на нашем сайте:
- В деле о февральской утечке персональных данных клиентов Яндекс Еда признана потерпевшей
- Delivery Club получил штраф за утечку данных клиентов. Как думаете, на какую сумму?
- Readovka сообщила об утечке персональных данных всех клиентов Wildberries – сам сервис это отрицает
- Обнаружены очередные крупные утечки данных клиентов – на этот раз в СДЭК и Kari
- Какого размера должна быть утечка персональных данных, чтобы компании грозил оборотный штраф?
Интересная новость? А ведь новости гораздо удобнее отслеживать в Telegram. Подпишитесь на наш Telegram-канал вот по этой ссылке. И вы будете и читать, и получать все самое важное наиболее удобным способом.
 |
Ян Хотетовский
Организатор коммуникации, Обормот.ру |
Их сейчас активно везде нужно устанавливать. На мобилку тоже вот.
 |
Юлия Парамонова
Коммерческий Директор, Книги, игрушки |
