В Сеть утекли данные клиентов сервиса анонимной верификации. Комментарий Павла Иккерта, Управляющего партнера «Иккерт и партнеры» для «Интерфакс».
В свободном доступе в Telegram появилась база данных о клиентах и транзакциях сервиса анонимной верификации sms-activate.ru, пишет "Коммерсантъ". Первым утечку заметил профильный канал "Утечки информации".
В выложенной базе есть имена, адреса электронной почты, IP-адреса, частичные номера платежных карт и суммы платежей, убедился "Коммерсантъ". В ней около 163 тысяч уникальных записей, в том числе около 50 тысяч валидных, уточнил изданию основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
На сайте на sms-activate.ru говорится, что его ежедневная аудитория доходит до 17 тысяч человек в день, и ежедневно на площадке появляется около 1500 новых пользователей. Представители сервиса не ответили на запрос издания по контактам, указанным на сайте.
Подобные сервисы фактически предоставляют мобильные номера во временное пользование клиентам, что позволяет, к примеру, анонимно пройти верификацию в Mail.ru, "ВКонтакте", Avito, Telegram, Twitter, "Яндексе" и на других ресурсах, объясняет газета.
Эта услуга не нарушает закон, если сервис в установленном законом порядке заключает с операторами контракты или договаривается с физическими и юридическими лицами, имеющими такие контракты, сказал изданию управляющий партнер юридической компании "Иккерт и партнеры" Павел Иккерт. Источники "Коммерсанта" в операторах связи считают, что такие сервисы используют сим-карты, массово закупленные на физических или юридических лиц.
Базу сервиса злоумышленники могли получить с помощью фаззинга — тестирования программного обеспечения путем перебора параметров, при котором в приложение автоматически направляются заведомо неверные данные и анализируется реакция программы на них для обнаружения ошибок, приводит газета мнение экспертов канала "Слив из приватных каналов".
Ашот Оганесян напомнил, что в июне на открытом сервере Elasticsearch "было обнаружено более 1,5 млн сообщений, предположительно отправленных с номера 900 с данными об именах клиентов, суммах снятия или перевода, балансах банковских карт и их последних четырех цифрах".
Гендиректор Infosecurity a Softline Company Кирилл Солодовников считает, что данными из базы могут пользоваться злоумышленники, которые обманывают людей по телефону, представляясь сотрудниками их банка. Также база может быть интересна маркетологам, считает он.