Утекающая красота
Хакеры получили данные клиентов Oriflame
Газета «Коммерсантъ» №150 от 24.08.2021, стр. 10
Сканы паспортов 1,3 млн российских клиентов косметической компании Oriflame выставлены на продажу на хакерском форуме. Злоумышленники могут использовать их для оформления микрокредитов, сим-карт, регистрации в онлайн-сервисах или в телефонных мошенничествах, предупреждают эксперты. В Oriflame расследуют инцидент.
“Ъ” обнаружил на теневой площадке RaidForums, что база паспортных данных более чем 1,3 млн российских клиентов Oriflame выставлена на продажу. На сайте самой компании сообщается, что 31 июля и 1 августа она подверглась серии кибератак, которые привели к несанкционированному доступу к информационным системам компании. В то же время в Oriflame заверили, что номера банковских счетов, телефонов, пароли и коммерческие операции пользователей атака не затронула.
В компании признают, что пострадали клиенты не только из России, но также из других стран СНГ и Азии. «Oriflame усилила меры кибербезопасности и расследует инцидент при участии правоохранительных органов»,— отмечается в ее сообщении. На запрос “Ъ” в компании не ответили.
Oriflame — шведский бренд косметики. Компания работает в 60 странах и ведет продажи через независимых дистрибуторов, которых у нее, по собственным данным, 3 млн человек по всему миру.
Ранее продавец на форуме выкладывал сканы документов клиентов Oriflame в Грузии и Казахстане и заявлял, что в его руках данные участников системы из 14 стран. Поскольку данные по России не первые, атака производилась из другой страны, считает директор по стратегическим коммуникациям Infosecurity a Softline Company Александр Дворянский. «Вероятно, компания отказалась выкупать данные у злоумышленников, поэтому теперь они выкладываются в публичный доступ»,— добавляет основатель сервиса разведки утечек данных DLBI Ашот Оганесян.
Создатели архива заявляют, что речь о содержимом одного из глобальных файловых хранилищ Oriflame, скопированного вирусом-вымогателем, уточняет господин Оганесян. Хакеры получили его в результате атаки с использованием уязвимостей корпоративного сайта, предполагает Александр Дворянский. Утечка могла произойти из резервной копии хранилища файлов, добавил руководитель направления Solar webProxy компании «Ростелеком-Солар» Петр Куценко.
База из 1,3 млн копий сканов паспортов на черном рынке обойдется в сотни тысяч долларов, оценивает управляющий RTM Group Евгений Царев. По поддельным документам можно взять микрозаем, зарегистрировать домены в зоне .ru, сим-карты или кошельки платежных систем — «качественная копия реального паспорта является исходной точкой в мошеннических схемах», рассказывает он. Объединив информацию, например, с базой пластиковых карт, злоумышленник может подготовить поддельный паспорт или оформить электронную подпись, что может привести к краже всех денег с банковских счетов или перепродаже активов, предупреждает эксперт.
Когда речь об утечке из конкретной компании, потерпевшие рискуют стать жертвой фишинговой атаки под конкретный повод, например «специальное предложение для клиентов», отмечает ведущий аналитик «СёрчИнформ» Леонид Чуриков. Также злоумышленники могут оперировать паспортными данными во время телефонных мошенничеств, чтобы вызвать доверие людей и заставить их раскрыть данные кредитных карт или пароли, предупреждает ведущий эксперт по информационной безопасности «Крок» Александр Черныхов.
Утечка Oriflame не первая среди компаний, развивающих сетевой маркетинг. В 2020 году в открытый доступ попали данные 19 млн клиентов и работников компании Avon, включая имена, номера телефонов, даты рождения, e-mail и адреса, отметил Ашот Оганесян. А в 2019 году из-за уязвимостей облачного сервиса в открытый доступ попали около 100 тыс. записей клиентов Herbalife, включавшие имена, телефоны и адреса электронной почты, рассказал он. В сетевом маркетинге, объясняет Леонид Чуриков, клиенты часто являются и продавцами, и потому в компании оказывается много более подробных сведений, чем при утечках в ритейле.