Россия 26.02.2023

Доставка еды и ритейл — лидеры по объему утечек пользовательских данных в 2022 году

Источник: The DairyNews

Специалисты «Лаборатории Касперского» проанализировали случаи утечек данных в России за прошлый год. По данным исследования, ритейл является безоговорочным лидером по количеству утечек за 2022 год (26%), вторым в списке антилидеров идет сервис доставки продуктов (14%), передает The DairyNews. Всего за год было зафиксировано 168 фактов утечки данных и только 28% компаний открыто прокомментировали этот факт.

Доставка еды и ритейл — лидеры по объему утечек пользовательских данных в 2022 году

По данным аналитического отчета «Лаборатории Касперского», в 2022 году обнаружено 168 случаев публикаций значимых баз данных, относящихся к российским компаниям. Если распределить утечки равномерно в течение года, выяснится, что практически каждый второй день в свободный доступ выкладывалась информация, затрагивающая российских пользователей интернета. Если мартовская активность связана в первую очередь с массовыми взломами ресурсов СМИ и служб доставки ресторанов, то август отметился публикацией объемного архива дампов небольших баз данных различных компаний, среди которых присутствовали в том числе значимые утечки.

Лаборатория Касперского количество утечек данных по отраслям 2022 год.jpg

64% пользовательских данных были скомпрометированы в результате атак именно на крупный бизнес. Представители крупного бизнеса понимают риски, которые могут возникнуть в случае отсутствия организации защиты информации, имеют возможность тратить деньги на развитие систем защиты. Но обладание гигантскими объемами ценных данных, финансовая обеспеченность делают эти компании привлекательной целью злоумышленников, отмечают специалисты «Лаборатории Касперского». В 2022 году, помимо перечисленных факторов, одну из основных ролей сыграл общественный резонанс, возникший после первых крупных утечек данных.

В компании также рассказали, чем могут быть опасны утечки данных сервисов доставки еды. Базы сервисов доставки не содержат платежной информации, тем не менее те данные, которые там есть, тоже могут представлять серьезную проблему в случае утечки.

12% инцидентов, связанных с утечками пользовательских данных, произошли именно в организациях категории «Рестораны и доставка еды». Из-за них в публичный доступ попали в общей сложности почти 14 миллионов пользовательских данных. На первый взгляд, в подобных базах нет каких-то сверхчувствительных данных (банковских или паспортных), но в реальности эти утечки могут доставить много неприятностей и бизнесам, и их клиентам.

В утечках из сервисов доставки маловероятно найти данные банковских карт — просто потому, что подобные организации не имеют с ними дела. Как правило, у них подключен платежный шлюз, этим шлюзом управляет банк-эквайер, номер карты вбивается на странице банка, и мерчант (поставщик услуги) не то что не хранит его, он его вообще не видит. Даже если при оплате пользователь соглашается привязать карту, это происходит на стороне банка, а мерчант только получает идентификатор «биндинга».

Тем не менее утечки из сервисов доставки еды опасны — как правило, даже более, чем утечки из маркетплейсов. Дело в том, что заказ с маркетплейса можно получить в пункте выдачи или на почте, а заказ еды, очевидно, всегда доставляется по фактическому активному адресу проживания (или как минимум частого присутствия) клиента. И это уже серьезно: перед нами буквально персональные данные, позволяющие надежно связать человека, его номер телефона и физический адрес, а также получить некоторое представление о его достатке и поведенческих паттернах.

Можно рассмотреть несколько возможных негативных последствий:

У злоумышленников есть информация о том, где живет человек, сколько он тратит на доставку еды, когда он ее заказывает, а какие дни, как правило, пропускает. В принципе, это может быть хорошей начальной базой для вора-домушника.
Могут возникнуть неожиданные бытовые проблемы. Так, летом в соцсетях ходила история про девушку, которая, изучив базу, обнаружила, что ее молодой человек регулярно заказывал пиццу на домашний адрес ее подруги… В общем, закончилось все печально.
Подобные утечки — готовые базы для маркетинговых исследований, позволяющие составить портрет потребителя и заваливать его таргетированным спамом по известному почтовому адресу.
В базах встречаются не только квартиры, но и офисы. А это значит, что злоумышленник может попробовать применить социальную инженерию, чтобы через клиента сервиса доставки проникнуть во внутреннюю сеть организации. Например, позвонить и рассказать, что человек выиграл приз как активный клиент и ему выслан подарок, которым по факту оказывается пресловутая флешка с вредоносом. Поскольку человек — настоящий клиент службы доставки, у него будет мало поводов подозревать дурное, особенно если флешку доставит курьер в форме.

Очевидно, что для бизнеса подобные утечки — форс-мажор, несущий в себе множество рисков:

Репутационные. Об утечках быстро становится известно, потому что базы неизбежно появляются где-нибудь в дарквебе; поэтому, как правило, сами компании стараются сообщить о них первыми. Но подобная открытость не слишком помогает — инциденты с безопасностью неизбежно приводят к недоверию со стороны клиентов и партнеров.

Регуляторные. Регуляторы всегда готовы оштрафовать бизнес за нарушение законодательства в области защиты персональных данных. Суммы штрафа, конечно, зависят от юрисдикции, причем роль может играть не только регион, где компания зарегистрирована, но и география проживания клиентов. Например, под действие GDPR подпадает любая компания, предоставляющая услуги европейским клиентам.

Материальные. Клиенты все чаще объединяются для подачи коллективных исков в случае утечки их данных, и суды начинают вставать на их сторону. Опять же, суммы исков небольшие, но растут из-за увеличивающегося количества готовых судиться граждан.

Что с этим делать?

Выбор действий клиента, к сожалению, невелик, особенно если он не готов полностью отказаться от сервисов доставки. В целом стоит осознать, что утечки — это неизбежный риск; они были, есть и, скорее всего, будут, а значит, этот риск надо оценить и постараться нивелировать его последствия. Например, заказывать доставку товаров в пункты выдачи, а не домой. Обратить внимание на галочки в интерфейсе — возможно, в нем можно запретить хранить в базе ваш домашний адрес и телефон.

У бизнеса возможностей больше, они давно известны, но, к сожалению, не всегда применяются в полной мере. Например, стоит предпринять следующее:

ограничивать доступ сотрудников к внутренним базам с персональными данными;
периодически проводить аудит систем безопасности;
не хранить в базе лишние персональные данные, давать клиентам возможность выбирать, что именно они готовы доверить бизнесу, а что надо удалить сразу по завершении заказа;
тщательно следить за происходящим в вашей инфраструктуре при помощи сервисов класса MDR.

Горячая тема

18.09.2023

"На одну пиццу с натуральной моцареллой приходится три пиццы с аналогом". Что говорят участники отрасли о фальсификатах сыра в пицце

Роскачество обнаружило фальсификат сыра в половине проверенных пицц «Маргарита» в известных российских торговых сетях и пиццериях. The DairyNews спросили участников отрасли, почему производители не сообщают об использовании сырных аналогов при изготовлении пиццы и что с этим делать.

Читать полностью

Аналитика

25.09.2023

Dairy Index DIA превысил 32 руб./кг

18.09.2023

Dairy Index DIA держится на уровне 31,9-32 руб./кг

11.09.2023

Dairy Index DIA вырос на две копейки

Аналитика

Цитаты дня

Иван Федяков, глава ГК INFOLine

На мой взгляд, расти могут только дискаунтеры, поскольку сейчас они представляют достаточно востребованный формат, особенно для бедного населения, число которого, к сожалению, растет. Очевидно, что в течение ближайших 3-5 лет отечественные дискаунтеры будут продавать 50% товаров под маркой СТМ. Крупные сети не скрывают, что их основные планы связаны с развитием именно сетей дискаунтеров.

Владислав Курбатов, генеральный директор «Пятерочки»

В перспективе нескольких лет в онлайн продажах у нас будет 5-8-10%. Кардинального всплеска, например, до 50%, как я думаю, не произойдет. В каких-то городах это будет выражено сильнее, например, в Москве, где уже больше 5% онлайн продаж.

Андрей Дахнович, председатель совета директоров Еланского и Семикаракорского сыродельных комбинатов

Я оцениваю объем потребления пиццачиз в России примерно в 1200-1400 тонн в месяц, в то время как аналогов пиццачиза потребляется около 4.000 тонн. Получается соотношение примерно один к трем — на одну пиццу с натуральной моцареллой приходится три пиццы с аналогом.

Вячеслав Гладков, губернатор Белгородской области

Надеюсь, что в этом году урожай порадует наших аграриев, которым крайне непросто, в принципе, как и всем жителям Белгородской области, приходится. Работают в очень тяжелых условиях: и обстрелы, и минирования, уходят в поля в касках и бронежилетах – мужественные люди, справляются со своими задачами, за что очень благодарен им.

Анатолий Лосев, генеральный директор ГК «Молвест»

Повышение ключевой ставки до 12% вместе с планируемым уменьшением процента субсидирования от ключевой ставки является болезненной мерой для производителей и переработчиков молока. Это приведет к сокращению объемов инвестиций в молочную отрасль. Плюс вырастет себестоимость производства молочной продукции, поскольку увеличится стоимость денег.

Александр Поляк, директор компании «ИТ молоко»

На мой взгляд, повышение ключевой ставки до 12% продлится недолго. Думаю, что в течение полугода все стабилизируется. И это будет связано, как ожидается, с положительным торговым сальдо России по итогам 2023 года.

Дмитрий Матвеев, президент ГК «Кабош»

Экспорт в Китай, Индию, Пакистан, Арабские страны - это не то же самое, что поставки в Евросоюз. В Азии и на Ближнем Востоке совершенно другой менталитет, другая культура потребления. И если мы хотим, чтобы наши продукты там пользовались спросом, то государство должно действовать совместно с бизнесом.

Артем Крецу, представитель ТОО «ДЕП» (Казахстан)

Россия своим решением поддержала молочную отрасль Казахстана. Я считаю, что это классная мера поддержки российских экспортеров. Казахстану она пойдет на пользу, в первую очередь потому, что в республику из РФ ввозятся в большом количестве продукты сухих фракций.

Игорь Брыло, помощник президента Беларуси по Витебской области

В Витебской области очень большой резерв производства в животноводческой продукции. Поэтому ей будет уделено максимальное внимание. Если 5-7% ежегодно будем добавлять, то, думаю, в течение трех-четырех лет мы можем достаточно неплохо нарастить производство мяса и молока.

Константин Сухарев, генеральный директор Пятигорского молочного комбината

Мы не рассматривали и не рассматриваем возможность выхода на рынок растительных напитков, потому что сам рынок уже сложился. Там есть крупные игроки-монополисты. В этот сегмент сложно выйти, а для выхода нужны крупные инвестиции. Это история для крупных федеральных компаний.