В свободном доступе в сети появились базы с личными данными около 600 тыс. пользователей сайтов объявлений Avito и «Юла», в которых содержатся в числе прочего адреса и номера телефонов. Эксперты считают, что злоумышленники могут воспользоваться ими для рассылки спама или выманивания данных платежных карт пользователей. В Avito не видят проблемы в случившемся и подчеркивают, что речь идет не об утечке, а о сборе открытых данных с сайта.
На одном из хакерских форумов “Ъ” обнаружил появление баз данных клиентов сервисов Avito и «Юла». Базы размещены в свободном доступе, их может скачать любой пользователь. Каталог представляет собой шесть файлов формата .csv (три из них — базы Avito, три — «Юлы»). Первый архив был залит на форум 26 июня, последний — утром 22 июля. Файлы не защищены и открываются любым приложением для просмотра таблиц.
В каждом из них содержится около 100 тыс. строк с регионом, номером телефона пользователя, адресом, категорией товаров, которые он выставил на продажу, и часовым поясом.
Судя по всему, базы актуальны: корреспондент “Ъ” позвонил по пяти номерам, владельцы которых подтвердили размещение объявлений о продаже товара на сервисах.
В Avito не видят проблемы в случившемся. «Мы проверили все три части базы, в каждой из них содержится по 100 тыс. уникальных записей. Ни паролей или их хэшей (значений в закодированном виде.— “Ъ”), ни e-mail, ни какой-либо другой закрытой информации мы не обнаружили. Таким образом, база полностью состоит из публичной информации, которая доступна у нас на сайте и может быть собрана парсингом (автоматический сбор информации с помощью специальных программ.— “Ъ”). Ни о какой утечке данных речи не идет»,— заявили “Ъ” в пресс-службе компании. В пресс-службе «Юлы» на запрос не ответили.
Опрошенные “Ъ” эксперты согласны, что данные, скорее всего, были получены с помощью парсера — сервиса или скрипта, собирающего данные с веб-ресурсов. При утечке данных из самого сервиса набор был бы более полным.
Возможно, даже имел место ручной сбор данных, так как в базе есть телефоны, а на Avito телефонные номера закрыты звездочками, рассуждает руководитель аналитического центра Zecurion Владимир Ульянов. По его словам, как правило, подобные базы данных применяют группировки мошенников, где есть разделение труда: один собирает данные с сайта, другие проводят обзвон с использованием методов социальной инженерии, третьи — выводят деньги. Прибыль, полученная такой группировкой, во много раз превышает затраты на работу ее участников, расценки на которую начинаются всего от 100 руб. в час, отмечает эксперт.
Большой коммерческой ценности, как и опасности, подобная база не представляет, уверен начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. «Для самого опасного сценария использования подобных данных — социальной инженерии — в этой базе слишком мало информации о пользователе. Самое полезное — номера телефонов, которые можно использовать для телефонного спама или дополнения других баз данных»,— поясняет он.
С ним не соглашается руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин, отмечая, что за утечкой могут последовать целенаправленный фишинг и спам-рассылки.
«Успешность таких атак повышается за счет того, что у преступников появляется дополнительная информация о владельцах аккаунтов, а значит, пользователь с большей вероятностью поверит атакующему. Злоумышленник может, к примеру, представиться сотрудником техподдержки компании и попросить у пользователя предоставить какие-то дополнительные сведения о себе или об используемых платежных картах»,— говорит господин Гнедин.
Данные могут использоваться и для фокусных фишинговых рассылок, добавляет директор центра мониторинга и реагирования на киберугрозы Solar JSOC Владимир Дрюков, при этом ссылка на предыдущую историю заказов пользователя повысит вероятность успешного открытия письма.
Avito не считает проблемой утечку данных сотен тысяч пользователей
Данные 600 тысяч пользователей Avito и «Юлы» оказались в сети.