Была ли утечка: базу интернет-магазинов "Меломан" и "Империя цветов" с заказами и адресами нашли в Сети

Что произошло

В открытом доступе в интернете можно обнаружить чувствительные персональные данные клиентов популярных казахстанских интернет-магазинов, таких как Meloman (meloman.kz) и "Империя цветов" (imperiacvetov.kz). При этом ни государственная техническая служба (ГТС), ни министерство цифрового развития не знают об этом – по крайней мере, так там говорят. 

Детали

Часть данных, по всей видимости, была загружена в сервисы вроде "Глаза Бога". Утечка затронула не только имена и номера телефонов – в открытом доступе оказались полные адреса доставки, перечни заказанных товаров и даже комментарии к заказам.

Судя по содержимому базы, компрометации подверглись заказы, оформленные с 2021 по 2023 год.

Фрагмент интерфейса с доступом к слитым данным

Фрагмент интерфейса с доступом к слитым данным

Что сказали в "Меломане"

Корреспондент BES.media связался с компанией "Меломан".

В "Меломане" сообщили, что утечки персональных данных с их стороны не зафиксировано. Как уточнили в пресс-службе, ИТ-специалисты компании утверждают, что системы защиты работают надёжно, и предположили, что утечка могла произойти со стороннего ресурса, не связанного с инфраструктурой "Меломана".

С компанией "Империя цветов" связаться не удалось.

Пробелы в системе реагирования

В МЦРИАП, отвечая на запрос, подтвердили, что ведомству в целом известно о фактах утечек персональных данных. Однако проверочные мероприятия по названным случаям не проводились из-за отсутствия официальных обращений от граждан. В министерстве пояснили, что основанием для начала проверок и возбуждения административных дел могут быть только заявления от физических или юридических лиц, сопровождаемые убедительными доказательствами.

"В связи с отсутствием официальных обращений от граждан проверки в отношении компаний не проводились. Соответственно, информация о причинах произошедшего (в том числе технических аспектах, таких как уязвимости в коде, отсутствие защиты или использование устаревших решений) отсутствует", – сообщили в ГТС в ответе на запрос BES.media.

По словам Руслана Тургульдинова, руководителя проекта NomadGuard компании TSARKA Group, в отличие от государственных систем, где мониторинг безопасности обязателен и работает в режиме 24/7, частные компании обязаны сообщать об утечках только при наличии обращений или требований надзорных органов. Это создаёт парадокс – данные клиентов оказываются в открытом доступе, но инцидент официально не зарегистрирован до тех пор, пока гражданин сам не подаст жалобу.

Что сказали в ГТС

В Государственной технической службе BES.media сообщили, что осуществляют постоянный мониторинг инцидентов информационной безопасности, в том числе в отношении объектов, обрабатывающих персональные данные.

"Вместе с тем информация о конкретных инцидентах, включая возможные факты утечек, подлежит уточнению и правовой оценке в установленном порядке. В случае подтверждения фактов нарушений, информация направляется в уполномоченные органы для принятия соответствующих мер реагирования", – прокомментировали в ГТС.

Как работает защита персональных данных в РК

Как пояснил Руслан Тургульдинов, нормативная база для защиты персональных данных в Казахстане едина как для госорганов, так и для частного сектора. Все операторы персональных данных обязаны соответствовать требованиям Закона "О персональных данных и их защите" и закона "Об информатизации", а также соблюдать единые требования в области информационно-коммуникационных технологий (ИКТ) и информационной безопасности (ИБ). Эти документы закрепляют обязательность стандартов ISO/IEC и устанавливают технические меры вроде шифрования, аутентификации и мониторинга.

Однако жёсткость контроля и степень обязательности мер различается. Госорганы и критические объекты ИКТ обязаны подключаться к государственным системам мониторинга, а частные операторы выбирают решения сами.

По словам Руслана Тургульдинова, частный бизнес зачастую действует более гибко:

"Частные компании охотнее подключаются к bug-bounty-платформам и используют облачные решения для мониторинга безопасности, такие как WebTotem, прямо в DevSecOps-процессах. Это усиливает устойчивость систем. Однако в госсекторе внедрение таких практик ограничивается бюджетными циклами, где на ИБ-закупки ежегодно приходится переобъявлять тендеры. Это разрывает непрерывность защиты", – рассказал он.

Кроме того, эксперт отметил необходимость шире привлекать частные профессиональные компании к обеспечению безопасности:

"Госорганы и квазигоскомпании должны активнее отдавать задачи кибербезопасности на аутсорс отечественным компаниям с подтверждённой экспертизой. Это соответствует международному принципу Yellow Page Rules, где государство не дублирует функции зрелого частного сектора", – сказал он.

Ответственность

В части ответственности за допущенные нарушения сообщаем, что действующим законодательством Республики Казахстан предусмотрена административная, а в отдельных случаях – уголовная ответственность за незаконную обработку или разглашение персональных данных.

За нарушение законодательства в сфере защиты персональных данных предусмотрена:

• ,административная ответственность, согласно статье 79 и 641, часть 1, пп. 1, КоАП РК влечёт штраф:
  • на физических лиц – в размере 200 МРП (786 400 тенге);
  • должностных лиц, субъектов малого предпринимательства или некоммерческие организации – 500 МРП;
  • субъектов среднего предпринимательства – 700 МРП (2 752 400 тенге); 
  • крупного предпринимательства – 1000 МРП (3 932 000 тенге).
• уголовная ответственность в соответствии со статьёй 147 Уголовного кодекса влечёт:
  • штраф в размере до 5000 МРП (19 660 000 тенге);
  • лишение свободы до семи лет.

"В рамках усиления ответственности министерством проведена работа по увеличению административных санкций. 10 января 2025 года президентом Республики Казахстан подписан Закон "О внесении изменений и дополнений в Кодекс Республики Казахстан об административных правонарушениях", которым были усилены положения статей 62, 79, 640 и 641 КоАП РК", – сообщили в МЦРИАП.

Контекст

На днях TG-канал SecuriXy.kz сообщил об обнаружении CSV-файла с персональными данными казахстанцев, содержащего 16,3 млн строк.

В таблице указывались фамилии, имена, отчества, пол, дата рождения, ИИН, мобильные, рабочие и домашние номера телефонов, гражданство, национальность, адреса, даты начала и конца проживания.

Министерство цифрового развития сообщило, что изучает распространяемую в Сети информацию об утечке персональных данных.

"Следует отметить, что первичный анализ указывает на возможное происхождение сведений из частных информационных систем. Хакерских атак или утечек персональных данных из государственных информационных систем на данный момент не зафиксировано", – сказали в министерстве и добавили, что, возможно, речь идёт об устаревших данных.

Министерство цифрового развития РК планирует ужесточить требования к частным информационным системам, особенно медицинским. По словам министра Жаслана Мадиева, такие платформы должны соответствовать стандартам критически важных объектов, поскольку обрабатывают большое количество персональных данных. Ведомство также работает над созданием реестра скомпрометированных данных, чтобы граждане могли проверять, попали ли их сведения в утечки.

Кроме того, МЦРИАП намерено внедрить авторизацию через ЭЦП и биометрию для доступа к персональным данным в медучреждениях и усилить ответственность за нарушения – в несколько раз повысятся штрафы, а также будут введены новые меры уголовной и административной ответственности.

–––

Читайте также:

• Утечка данных 16 млн казахстанцев: начато расследование
• МЦРИАП хочет приравнять частные базы данных к критической инфраструктуре на фоне утечек информации
• Масштабная утечка данных 16 млн казахстанцев: в Минцифры не подтверждают взлом государственных баз

____

• Читайте коротко о важных событиях в Telegram. Подписывайтесь и включите уведомления.

• Если у вас есть чем поделиться или вы стали очевидцем событий, пишите, присылайте фото, аудио и видео, документы, в наш анонимный бот @bessimptomno_bot