Чем для пользователей опасны сливы баз данных на примере Best2pay

Best2pay раскрыл детали утечки данных о клиентах.

В открытый доступ попала база платёжного сервиса Best2pay, сообщили «Известиям» эксперты по кибербезопасности. В сливе содержится 1 млн строк с ФИО, номерами телефонов и частичными платёжными данными клиентов.

Что попало в интернет

Актуальность массива данных, попавшего в открытый доступ, относится к периоду с начала 2019-го по июнь 2021-го, заявили «Известиям» в сервисе Best2pay. Там уточнили: в похищенной базе отсутствуют полные данные карт, а только только их маска , то есть первые шесть и последние четыре цифры карты, а также иные платёжные реквизиты.

В декабре 2022 года информационные системы нашей компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из наших подрядчиков, работавшего в изолированной тестовой среде. С его использованием была скомпрометирована тестовая система формирования отчётов.

Из объяснений Best2pay

В Best2pay подчеркнули: тестовая среда полностью изолирована от основных информационных систем компании, а размещённые в ней данные были подготовлены специально для работы с внешними подрядчиками.

Best2pay — это интернет-эквайринг с облачной кассой. Сервис обрабатывает онлайн-платежи для интернет-магазинов и мобильных приложений и взимает комиссию с каждой успешной операции. Так, например, среди основных клиентов организации — BoxBerry, служба такси Maxim, страховая компания «Гелиос» и другие, указано на сайте организации.

Информация об утечке базы данных начала распространяться 31 января. По данным Telegram-канала in2security, опубликованный файл содержит 1 млн строк.

Утечка включала:

• ФИО; 
• фрагмент номера карты — первые шесть и последние четыре цифры; 
• дата; 
• сумма и назначение платежа; 
• адреса электронной почты; 
• телефоны пользователей сервиса.

По сообщениям в Telegram-канале, в базе содержатся 824 тыс. уникальных номеров телефонов и 204 тыс. уникальных банковских карт. По сведениям канала, утечка более свежая — последняя информация датируется 28 января 2023 года.

О сливе также написал Telegram-канал «Утечки информации». Там отмечается, что базу разместил тот же источник, который раньше уже выкладывал в открытый доступ данные, в том числе образовательного портала Geek Brains, и компания 1 июня 2022-го подтвердила утечку.

Чем грозит слив

В компании Infosecurity a Softline Company, которая специализируется на кибербезопасности, заявили «Известиям», что изучают данные утечки в 1 млн строк. Аналитик отдела анализа и оценки цифровых угроз Максим Грязев пояснил: косвенные сведения указывают, что база относится именно к платёжной системе, так как в дампе содержится информация с адресом платёжного шлюза Best2pay, а также адреса электронных почт с доменом Best2pay.

По слитым данным можно идентифицировать организации, которые выдали банковские карты пользователям. В список вошли и представители топ-10 российских банков. Названия можно понять по БИНам, данные о которых содержатся в утечке. Банковский идентификационный номер (БИН) — часть номера, расположенного на пластиковой карте. Она используется для идентификации банка в рамках карточной платёжной системы при авторизации, процессинге и клиринге.

Максим Грязев, аналитик Infosecurity a Softline Company

О сливе данных Best2pay также известно основателю сервиса разведки утечек данных и мониторинга даркнета DLBI Ашоту Оганесяну. По его словам, наиболее вероятным сценарием утечки стало подключение хакеров к рабочему месту специалиста, имеющего доступ к серверу баз данных, и последующая их выгрузка. Нечто схожее утверждает и сама компания, правда виноват, по её версии, подрядчик, и доступ он имел не к базе данных, а к тестовой среде, отметил эксперт.

Злоумышленники могут использовать полученную информацию в мошеннических схемах с использованием методов социальной инженерии, подтвердил руководитель аналитического центра компании Zecurion Владимир Ульянов. Он пояснил: располагая достоверными и актуальными сведениями, включая имена, контактные данные, географию и сведения о совершённых финансовых операциях, нетрудно втереться в доверие и заставить выдать нужные сведения или совершить какое-либо действие для кражи денег.