Joom могут оштрафовать на 20 млн евро. Как в Европе карают интернет-компании за утечку данных

Банк России и Visa обратили внимание на утечку данных у сервиса Joom. РБК пишет, что Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) и Visa предупредили банки, данные которых были скомпрометированы.

РБК опросил затронутые инцидентом кредитные организации и выяснил, что, например, Сбербанк в курсе упомянутой рассылки. Однако компания не обнаружила в обсуждаемой базе данных информацию о своих клиентах. "Промсвязьбанк" настаивает, что утекшие данные не представляют большой опасности

Мол, их недостаточно для хищения денег. Тем не менее кредитная организация планирует перевыпустить карты своих клиентов из слитой базы. "Райффайзенбанк", к слову, уже это сделал. Qiwi просто заблокировала скомпрометированные карты.

Кроме упомянутых организаций утечка затронула "Россельхозбанк", МКБ, "Тинькофф" и не только. Кроме российских компаний утечка задела и ряд иностранных. В открытый доступ попали данные клиентов как минимум люксембургского Advanzia Bank S.A. и ирландского Allied Irish Banks.

Фрагменты утекшей базы можно найти в тематических телеграм-каналах и на форумах. В одном из таких источников Лайф узнал некоторые подробности о сливе. В частности, стало известно, что база данных Joom расходится по Сети в формате таблицы Excel. В ней 55 425 строк с персональными данными:

— первые 6 и 4 последние цифры платёжной карты;

— тип карты (Visa, MasterCard, "Мир");

— банк-эмитент карты;

— срок действия карты;

— имя на карте латиницей;

— имя и фамилия покупателя;

— мобильный телефон;

— адрес электронной почты;

— почтовый адрес, который зачастую совпадает с фактическим адресом проживания человека.

В комментарии Лайфу Group-IB предположила, что слитая информация похожа на "базу с данными с платёжных квитанций пользователей".

— Вообще, довольно странно, что подобная информация была просто выложена в открытый доступ бесплатно. Это ценная база для мошеннических кол-центров, которую обычно продают, и довольно недёшево, — отмечают в Group-IB.

К слову, о стоимости слитых данных. Авторы телеграм-канала "Утечка информации" (ведётся представителями ИБ-компании Data Leakage & Breach Intelligence (DLBI) обнаружили аналогичную базу на рынках Даркнета. Информацию продают по цене 5 руб. за строчку. То есть весь Excel-файл стоит 277 125 руб.

И Group-IB, и DLBI склоняются к мнению, что в свободный доступ попала лишь тестовая часть более крупной базы данных. Проще говоря, у Joom, вероятно, украли куда больше "клиентов", чем известно СМИ.

Лайфу латвийский маркетплейс в лице Мики Стецовского отказался комментировать случившееся. Впрочем, общаясь с РБК, компания всё же подтвердила утечку. Joom узнал о проблеме ещё в марте. О чём сервис якобы незамедлительно сообщил и пользователям, и журналистам.

В марте 2020 г. действительно появлялись сообщения маркетплейса о проблеме. Но, судя по всему, весной компания либо не имела представлений о масштабе случившегося, либо умышленно её приуменьшила в глазах общественности.

Например, издание VC, со слов того же Мики Стецовского, пишет, что Joom потерял данные только тысячи клиентов из России и Белоруссии, а не 55 425. При этом маркетплейс акцентировал внимание именно на том, что информацию о банковских картах злоумышленники не получили.

Отвечая на вопрос, как именно случилась утечка, Joom говорит, что виноват один из подрядчиков, имевший доступ к закрытым ресурсам компании. Андрей Арсентьев, руководитель направления аналитики и спецпроектов группы компаний InfoWatch, в комментарии Лайфу сказал, что версия самого маркетплейса убедительна.

— Скорее всего, хакеры воспользовались уязвимостями в инфраструктуре партнёра, — рассуждает Арсентьев.

Специалисты Group-IB и InfoWatch отмечают, что слитых данных недостаточно для совершения платежей без ведома владельца банковской карты. Вместе с тем утечки достаточно для применения к людям инструментов социальной инженерии и фишинга. То есть имеющейся информации вполне достаточно для обмана людей с целью наживы.

— Используя эти данные, злоумышленники могут представляться сотрудниками банков, чтобы выведать полные данные карт, высылать владельцам карт вредоносные ссылки от имени известных компаний, убедить их загрузить приложение. Открывая подобные ссылки или загружая мошенническое приложение, люди пускают на свои устройства программу для кражи данных, в том числе информации для доступа к мобильному банку, — объясняет эксперт InfoWatch Андрей Арсентьев.

Несмотря на то что Joom работает в том числе и в России, юридически компания зарегистрирована в Риге, столице Латвии. Латвия — государство Евросоюза. Соответственно, если сервису и придётся отвечать перед законом, то только перед европейским. А он, к слову, довольно суров по отношению к интернет-компаниям, которые не могут уберечь конфиденциальные данные клиентов.

— Поскольку маркетплейс Joom зарегистрирован в одной из стран ЕС, ему грозит преследование в связи с нарушением общеевропейского регламента по защите данных — GDPR. На Joom может быть наложен штраф в размере до 20 млн евро, или 4% от годового оборота, — объясняет Андрей Арсентьев.

General Data Protection Regulation (GDPR) — это постановление Европейского союза, вступившее в силу в 2018 г. Сумма самого крупного штрафа по GDPR равна 204 млн евро. Его выписали авиакомпании British Airways, из приложения которого хакеры вынули данные 500 тыс. пассажиров. Второй по величине штраф — 110 млн евро. Его получила сеть отелей Marriott за слив данных 339 млн гостей. В январе 2019 г. Национальная комиссия по делам информационных технологий и правам человека оштрафовала на 50 млн евро Google.

Можно. Но сложно. Андрей Некрасов, кандидат юридических наук и эксперт в вопросах гражданского права, мошенничества и экономической преступности, рассказал Лайфу, что привлечь к ответственности компанию будет сложно до тех пор, пока факт ущерба не будет доказан.

— Когда убьют, тогда и приходите, — иронизирует юрист.

А если без шуток, то самым доступным инструментом воздействия на маркетплейс является обращение в Роскомнадзор.

— В компетенцию этого ведомства входит привлечение к административной ответственности информационных операторов, которые плохо работают с персональными данными, — констатирует Андрей Некрасов.

В таком случае Joom может получить штраф за нарушение закона "О персональных данных". Сегодня за невыполнение обязанности по соблюдению конфиденциальности персональных данных с юридического лица могут взыскать сумму до 50 тыс. руб. В июне текущего года Минюст предложил увеличить штрафы за нарушение закона "О персональных данных" десятикратно.

Единственной возможностью взыскать с Joom что-нибудь в пользу гражданина, считает Андрей Некрасов, является доказательство морального ущерба. Что возможно, поскольку человек, банковские данные которого слил маркетплейс, будет постоянно переживать: менять ему карту или нет, украдут с его карты деньги или не украдут.

— Если многие потерпевшие оформят такую претензию коллективно, то можно надеяться на компенсацию. Хотя установить факт морального вреда в данной ситуации тоже будет непросто, — уверен юрист и подчёркивает, что такой сценарий если и возможен, то скорее в Европе и США, нежели в России.

К слову, о коллективных исках и Европе. Андрей Арсентьев тоже в качестве возможности получить компенсацию от Joom видит только коллективный иск.

— Размер компенсации на одного человека будет весомым только в том случае, если пострадавший докажет, что в результате утечки ему был причинён ущерб. В обратном случае сумма компенсации может составить всего несколько евро, — объясняет эксперт.

Несмотря на то что Joom зарегистрирован в Латвии, россияне всё равно могут выступить в роли частных истцов. Одна проблема — дело должно заводиться на земле потенциального ответчика.

— Там нужно обращаться к адвокатам, которые уже начали вести дело по коллективному иску, либо самому нанимать специалиста, — резюмирует Андрей Некрасов. При этом зачастую нет необходимости физически посещать страну ответчика. Мол, современные инструменты позволяют провести операцию дистанционно.