Os usuários da operadora de entrega expressa de documentos e mercadorias SDEK ainda não tiveram tempo de avaliar completamente as consequências do vazamento de seus dados na Web em fevereiro, e informações “frescas” sobre os clientes da empresa já apareceram na Internet, provavelmente afetando os interesses de cerca de 25 milhões de contas e 30 mil contrapartes.
Fonte da imagem: unsplash.com
Um novo vazamento de dados das bases da operadora de entrega expressa de correio e carga foi relatado pelo canal Telegram da empresa Infosecurity, que faz parte do Softline Group of Companies, e pelo canal Information Leaks, de propriedade do fundador da DLBI Ashot Oganesyan.
De acordo com o canal Information Leaks, os internautas têm acesso aos seguintes materiais:
- O arquivo client.csv contém 161,7 milhões de linhas de informações sobre 329.382 remessas, incluindo o nome do destinatário, seu endereço de e-mail, o nome da empresa remetente, o ID do remetente/destinatário e o código do ponto de coleta;
- O arquivo contragent.csv contém 30.129.288 linhas de dados detalhados sobre pessoas físicas e jurídicas, incluindo a data em que o registro foi criado ou atualizado, nome completo ou razão social, telefone, endereço de e-mail, endereço postal;
- Por fim, o arquivo phone.csv contém 92.610.884 linhas com telefones, identificadores de remetente/destinatário, o que permite vincular esse banco de dados com o banco de dados do arquivo client.csv. De acordo com “Information Leaks”, após a remoção de duplicatas, 24,7 milhões de telefones permanecem.
Segundo a RBC, o próprio CDEK comentou com moderação as informações, limitando-se a relatar uma investigação interna. Em fevereiro, a empresa confirmou oficialmente o fato do vazamento anterior, ressaltando que o banco de dados carece de documentos e informações de pagamento.
De acordo com o RBC com referência a um representante da Infosecurity, levando em conta o incidente anterior, o CDEK vazou dados de dezenas de milhões de clientes, o que pode se tornar um “recorde no mercado russo”. Especialistas sugerem que os criminosos combinarão todos os dados da empresa e criarão um dos maiores bancos de dados de cidadãos russos obtidos ilegalmente. De acordo com alguns especialistas, podemos falar de 30% dos usuários de Internet russos.
Fonte da imagem: Sigmund/unsplash.com
Se anteriormente a SDEK disse que os ataques de hackers se tornaram a causa do primeiro vazamento de dados, a causa do novo incidente ainda é desconhecida. É possível que possamos falar de roubo pelos próprios funcionários ou da presença de uma “brecha” que apareceu quando o equipamento de rede da empresa foi configurado incorretamente.
No início deste ano, já havia vazamentos em larga escala nos serviços Yandex.Food, Tutu.ru, Delivery Club e, de acordo com Yandex.Food, que pediu desculpas pelo incidente, o motivo para os bancos de dados se tornarem de acesso aberto foi o ações injustas de um dos funcionários – os usuários afetados já entraram com uma ação coletiva contra a empresa.
O Ministério do Desenvolvimento Digital propôs a introdução de multas por rotatividade para empresas que vazaram dados pessoais. De acordo com alguns relatórios, tal multa pode chegar a 1% da receita total do ano. É possível que o projeto de lei relevante seja considerado pela Duma do Estado no outono. A ocultação de informações sobre um vazamento pode ser classificada como um grau agravante de punição – o presidente assinou recentemente uma lei segundo a qual as empresas que vazaram são obrigadas a relatar ao Roskomnadzor sobre isso dentro de 24 horas após a descoberta do fato do vazamento em si , e dentro de 72 horas – para relatar os resultados da investigação. Presume-se que será prevista multa fixa para o primeiro vazamento e negociável apenas para os seguintes. Ao mesmo tempo, ninguém espera que os incidentes de disseminação de dados possam ser completamente evitados.