В Сеть утекли данные клиентов сервиса анонимной верификации
В свободном доступе в Telegram появилась база данных о клиентах и транзакциях сервиса анонимной верификации sms-activate.ru, пишет "Коммерсантъ". Первым утечку заметил профильный канал "Утечки информации".
В выложенной базе есть имена, адреса электронной почты, IP-адреса, частичные номера платежных карт и суммы платежей, убедился "Коммерсантъ". В ней около 163 тысяч уникальных записей, в том числе около 50 тысяч валидных, уточнил изданию основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
На сайте на sms-activate.ru говорится, что его ежедневная аудитория доходит до 17 тысяч человек в день, и каждый день на площадке появляется около 1500 новых пользователей. Представители сервиса не ответили на запрос издания по контактам, указанным на сайте.
Подобные сервисы фактически предоставляют мобильные номера во временное пользование клиентам, что позволяет, к примеру, анонимно пройти верификацию в Mail.ru, "ВКонтакте", Avito, Telegram, Twitter, "Яндексе" и на других ресурсах, объясняет газета.
Эта услуга не нарушает закон, если сервис в установленном законом порядке заключает с операторами контракты или договаривается с физическими и юридическими лицами, имеющими такие контракты, сказал изданию управляющий партнер юридической компании "Иккерт и партнеры" Павел Иккерт.
Источники "Коммерсанта" в операторах связи считают, что такие сервисы используют сим-карты, массово закупленные на физических или юридических лиц.
Базу сервиса злоумышленники могли получить с помощью фаззинга — тестирования программного обеспечения путем перебора параметров, при котором в приложение автоматически направляются заведомо неверные данные и анализируется реакция программы на них для обнаружения ошибок, приводит газета мнение экспертов канала "Слив из приватных каналов".
Ашот Оганесян напомнил, что в июне на открытом сервере Elasticsearch "было обнаружено более 1,5 млн сообщений, предположительно отправленных с номера 900 с данными об именах клиентов, суммах снятия или перевода, балансах банковских карт и их последних четырех цифрах".
Гендиректор Infosecurity a Softline Company Кирилл Солодовников считает, что данными из базы могут пользоваться злоумышленники, которые обманывают людей по телефону, представляясь сотрудниками их банка. Также база может быть интересна маркетологам, считает он.
Комментарии
Но такая база данных практически бесполезна, без тупого звонка на развод от "представителя банка" очередному лоху не работает.
Все чаще именно оттуда звонят россиянам на мобильные номера под видом сотрудников банков.
Самая ходовая схема: срабатывает автодозвон со знакомой музыкальной темой банка, затем подключается фальшивый сотрудник и начинает рассказывать легенду о том, что якобы с вашей карты кто-то пытался украсть деньги, ее экстренно заблокировали, и нужно пройти идентификацию.
Как правило, часть данных у мошенников уже есть: имя, отчество, фамилия, адрес.
По ходу разговора из жертвы пытаются выудить секретные пароли из СМС или взломать интернет-банк как-то иначе.
Но бывает, что все проходит не по сценарию.
Один мошенник, когда его самого «раскололи», неожиданно сорвался на суржик, смешанный с отборным русским матом.
Как же достали вы хохлозадые нищеброды )))))
И пока дисциплине "Безопасность информации" будут заниматься общегражданские ВУЗы, эта проблема будет только усугубляться.