Cообщи

Имена, телефоны, адреса: данные тысяч клиентов эстонского э-магазина утекли в сеть

Copy
Утечка MMS.
Утечка MMS. Фото: Illustratsioon: Artur Kuus

Никогда прежде в Эстонии в сеть не утекало такого количества данных клиентов интернет-магазина, пишет Postimees.

Всего в открытом доступе оказались данные 5000 клиентов Mineral Garden, продающего компоненты MMS. Среди имен есть и известные в стране люди.

Оказавшаяся в открытом доступе информация дала обзор того, какие люди употребляют MMS. Среди покупателей были предприниматели, руководители высшего звена, чиновники местных самоуправления, журналисты, разнорабочие, селяне и представители разных других профессий.

Например, в MMS заказывал хозяин одной столичной точки общепита, а также директор таллиннской школы и даже известный актер.

Безусловно, одним из самых известных людей, чьи данные оказались в открытом доступе, стала бывший депутат парламента Лайне Рандъярв.

Покупка из интереса

Издание обнародовало имя Рандъярв, поскольку речь идет об общественном деятеле, а в качестве контактного адреса в заказе за 2017 году было указано ее место работы — замок Тоомпеа. В то время Рандъярв была членом Рийгикогу.

Лайне Рандъярв.
Лайне Рандъярв. Фото: Mihkel Maripuu

«Я не использовала MMS, не решилась. Заказала, а после подумала, что это была бессмысленная покупка»

По словам Рандъярв, она заказала MMS из интереса, но не употребляла его: «Скажем так, я покупала в интернете разные вещи. И эти [компоненты MMS] стояли у меня на полке, в итоге я их выбросила. Я их не использовала. Не рискнула их использовать. Заказала, а потом подумала, что это бессмысленная покупка».

Утечку данных она назвала заслуживающей сожаления, но большой проблемы для себя в этом не видит, поскольку она общественный деятель, информацию о котором в большом количестве можно найти в интернете.

Тысячи имен, адресов электронной почты, номеров телефонов, домашних адресов и информации и покупках тысяч клиентов Mineral Garden еще совсем недавно можно было найти при поиске в Google.

Никогда прежде такого большого количества данных интернет-магазинов в Эстонии в сеть не просачивалось. Однако и сейчас еще сложно оценить объемы утечки, равно как успели ли этой информацией злоупотребить, а также - как много людей успели ее увидеть.

Не ясна и причина утечки. Данные можно было получить простым поиском в Google.

Если, например, загуглить свое имя, при том, что оно фигурировало при покупке чего-то в каком-то э-магазине, то одним из результатов поиска являлась страница Mineral Garden. А открыв страницу, можно было найти данные значительного числа людей, но достаточно пары кликов, чтобы зайти в Excel-файл, в котором появлялась информация о 5300 заказах в э-магазине.

Информация об утечке

Тут нужно отметить, что данные не всех клиентов магазина, открывшегося в 2016 году, стали достоянием общественности. В интернет попала информация о тех, кто совершал покупки в период с февраля 2017 года по декабрь 2018 года, то есть речь идет о заказах, сделанных в течении почти двух лет.

Департамент государственной инфосистемы получил информацию об утечке 3 февраля. Следящий за происходящим в эстонском киберпространстве CERT-EE связался с собственниками сайта и Mineral Garden быстро изменил настройки, чтобы посторонние больше не имели доступа к данным. Через день собственник сайта Living Minerals OÜ известил о происходящем и Департамент защиты данных, который начал надзорное производство.

Интернет-магазин Mineral Garden привлек значительное внимание в 2018 году, когда работающие в Эстонии банки сообщили, что убрали свои линки, через которые можно заплатить за товар. Причиной стала продажа MMS. В феврале 2019 года Департамент здоровья запретил распространение опасного вещества, но это не помешало Mineral Garden. В октябре того же года собственнику магазина было назначено взыскание в размере 600 евро, поскольку предприятие продолжало продавать запрещенное вещество.

Просочившиеся данные могли стать лакомым куском для активных мошенников, которые, представляясь работниками банков, пытаются получить доступ к счетам людей.

«Департамент здоровья неоднократно назначал взыскания интернет-магазину. По обоснованности назначения последнего взыскания мы ждем решения суда», - сказала специалист по связям с общественностью департамента Мерилин Верник. Собственницей Living Minerals является названная в СМИ президентом движения MMS Мерили Кукушкин. Бывшая яхтсмен высшего уровня Кукушкин работала, например, ассистентом в Институте машиностроения Таллиннского технического университета, но договор с ней был расторгнут в 2015 году из-за пропаганды MMS. Увольнению предшествовал случай, когда Кукушкин на лекции рассказывала, как начала использовать MMS, и всячески одобряла продукт.

Отвечая на вопросы, связанные с утечкой данных, Кукушкин пытается минимизировать этот случай: «Теперь оказалось, что данные все же не были достаточно открытыми. Этот файл открывали всего два раза. Один раз наш ИТ-работник, а второй раз — тот самый человек, который о нем сообщил. Ничего плохого произойти не успело».

Утверждение Кукушкин о том, что до удаления файла с сайта, в него зашли всего два раза, не отвечает действительности.

Можно найти при поиске

Сайт проверил эксперт CERT-EE, в тот же файл заходил и автор этого материала. Но даже если файл открывали всего четыре раза, неизвестно, сколько человек просматривали сайт, на котором также имелись данные людей, а найти их можно было простым поиском в Google.

Пресс-секретарь Инспекции защиты данных, начавшей надзорное производство, Сигне Хейнберг сказала, что каждая утечка данных представляет угрозу приватности, поскольку информацией могут начать злоупотреблять. По словам Хейнберг, пока невозможно оценить ущерб от утечки данных, поскольку неизвестно, сколько раз их скачали или использовали: «Обработчика данных можно наказать штрафом, если он совершил проступок».

Разгромную оценку происшествию дал и эксперт отдела инфопространства CERT-EE Йоозеп Сандер Юхансон.

«Эти данные можно использовать для совершения кибер-преступлений, а также для продажи на черном рынке. Ничего хорошего в любом случае нет, если такие данные оказываются в доступе на сайте», - сказал он. Такие данные могут стать лакомым куском для мошенников, которые звонят людям, называют себя работниками банка и пытаются получить доступ к счетам жертв. В случае клиентов Mineral Garden, например, видно, каким банком пользовались при оплате товара в э-магазине.

Mineral Garden годами продает MMS компоненты. MMS рекламируют на многих форумах и в социальных сетях, как очищающее организм чудо-лекарство.

Ядовитое вещество

Однако речь идет о ядовитом веществе, которое может вызвать рвоту, расстройство желудка, повреждение внутренних органов и смерть. Врачи и ученые не советуют употреблять MMS, поскольку нет доказательств его положительного влияния на здоровье.

На сайте Департамента лекарств указано, что под именем MMS продают растворы хлорида натрия и лимонной кислоты. При их смешивании возникает химическая реакция, в результате которой возникает диоксид хлора.

Департамент подчеркивает, что MMS не лечит болезни. Сейчас Mineral Garden продает хлорид натрия в качестве средства для полоскания рта. «Продающийся в виде концентрата раствор NaClO2 в 23-процентной концентрации опасен для здоровья человека. Таким образом, в качестве концентрата его ни в коем случае нельзя использовать, а при обращении с ним, при разведении, нужно обязательно пользоваться средствами индивидуально защиты», - ответила главный специалист отдел безопасности химикатов Департамента здоровья Аннемари Линно.

Диоксид хлора действует при уничтожении микробов и его используют в качестве отбеливателя, дезинфекции твердых поверхностей, а также для очистки воды в условиях, когда доступность питьевой воды является проблемой.

Научно лечебные свойства диоксида хлора не доказаны. Продукт не предусмотрен в качестве лекарства или для использования в виде пищевой добавки, и неправильное его использование опасно.

Пропагандисты MMS советуют использовать вещество вместе с диметилсульфоксидом, то есть с DMSO, который также можно найти в перечне товаров магазина.

Кукушкин утверждает, что сейчас ее сайт не продает ни одного запрещенного товара, поскольку хлорид натрия предлагается в э-магазине в качестве средства для полоскания рта.

Эксперт: небрежность на сайте несет очень большой риск безопасности

Йоозеп Сандер Юхансон.
Йоозеп Сандер Юхансон. Фото: ria

Эксперт по инфопространству CERT-EE Йоозеп Сандер Юхансон сказал, что утечка данных в таких объемах, как это произошло на сайте Mineral Garden, скорее редкий случай. Он объяснил, что люди должны добавлять на сайты разные плагины, которые обычно не нужны. К тому же, мало кто знакомится с инструкциями: «Кроме того, многие не обновляют свои системы внутреннего администрирования с достаточной регулярностью. Все это вместе создает ситуацию, при которой на популярных платформах, как, например, WordPress и Drupal невероятно часто происходят утечки данных».

Эксперт по инфопространству добавил, что небрежно выбранный плагин, с сутью которого недостаточно ознакомились или добавили в спешке, а в дальнейшем не обновляли, является очень большим риском для безопасности сайта: «Новые пробелы в безопасности обнаруживаются каждый день, и мы видим, что первые попытки их использовать возникают примерно через пару дней».

Юхансон отметил, что если работа по созданию страницы ведется с нарушениями, то определенные файлы или ящики со временем оказываются открытыми.

«Причиной может быть ошибка разработчика или мнение собственника сайта, что никто не найдет административную страницу сайта, где хранятся потенциально чувствительные данные, - сказал он. - Взломщики используют автоматику, чтобы картировать весь сайт и все те страницы, и без ограничения для входа они никак не защищены».

Он сказал, что если на сайте используемые данные хранятся недостаточно безопасно и осторожно, то там вероятнее всего имеются и другие недостатки.

В случае утечки данных собственник сайта обязан сообщить в Инспекцию защиты данных о том, что точно произошло и что предпринято для защиты личных данных. Советник инспекции Сигне Хейберг отметила, что обработчик данных отвечает перед всеми теми людьми, чьи данные он обрабатывает: «Это означает, что обработчик данных должен использовать все известные ему и доступные средства, чтобы как можно быстрее прекратить атаку на приватность людей».

Наверх