Наталья
Ильина
20.07.2021

В Telegram распространяется база с данными о 7,8 млн операций пользователей сервиса SMS-activate. В ней содержатся в том числе частичные номера карт клиентов, банки-эмитенты и сроки действия "пластика", а также информация примерно о 160 тыс. уникальных почтовых адресов.

Об этом сообщили в сервисе разведки утечек данных и мониторинга даркнета DLBI. "Известия" ознакомились с базой, эксперты подтвердили ее подлинность и предупредили, что данные могут использоваться для фишинга и мошенничества с помощью социальной инженерии. В банках также знают об утечке и утверждают, что с таким набором сведений злоумышленники не могут проводить несанкционированные операции.

Карточный слив

16 июля в Telegram-каналах начала распространяться база данных об операциях в SMS-activate. В текстовом документе содержится 7,8 млн записей о транзакциях по оплате услуг сервиса на 89 млн строк. В каждой из них есть информация о сумме операции, дате проведения, электронной почте, а также о первых шести и последних четырех цифрах номера карты, платежной системе, банке-эмитенте и сроке действия "пластика". Согласно файлу, ряд операций проводились через электронные кошельки.

По данным на сайте SMS-activate, он предоставляет виртуальные номера для приема СМС со всего мира. С помощью портала можно создать аккаунт для любого сервиса или приложения. Как пояснил "Известиям" один из клиентов SMS-activate, для того чтобы воспользоваться услугой, нужно, заплатив, выбрать страну и получить номер телефона для регистрации на каком-то портале или в мессенджере. Это нужно, например, чтобы человек мог завести дополнительный аккаунт в соцсети, если его номер уже зарегистрирован на другой странице.

"Известия" направили запрос в техподдержку сервиса SMS-activate, а также в его Telegram-аккаунт.

Сообщение о сливе базы данных перепостили около 15 Telegram-каналов, связанных с информационной безопасностью, сообщил "Известиям" основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он уточнил, что днем 19 июля база по-прежнему была доступна для скачивания. По словам эксперта, принадлежность сведений сервису SMS-activate подтверждается самим содержимым файла.

С большой долей вероятности утечка произошла из-за того, что лог-файл лежал в открытом доступе среди другой информации сайта и был доступен по прямой ссылке, предположил Ашот Оганесян. Он уточнил, что в файле содержится более 163 тыс. уникальных адресов электронных почт клиентов, однако из них валидных всего около 50 тыс. Говорить, данные скольких россиян были скомпрометированы, сложно, добавил эксперт.

В пользу подлинности базы говорит тот факт, что она слишком большая, а ее формат не похож на компиляцию из других источников, сообщил руководитель блока специальных сервисов Infosecurity a Softline company Сергей Трухачев. Он подчеркнул, что утекшие сведения весьма критичны: среди них, в частности, имеются персональные данные клиентов, информация об их IP-адресах, геопозиции, используемых платежных средствах и т.д. Сведения могли оказаться в открытом доступе из-за низкой защищенности данных и невнимательного отношения к вопросам обработки чувствительной информации на сайте, считает эксперт. По его словам, эти сведения могут использовать злоумышленники.

Социнженерия и фишинг

База не содержит данные о всех тех клиентах, которые ею пользовались, отметил технический директор компании RuSIEM Антон Фишман. С помощью платежной информации, которая есть в логах, проще всего атаковать клиентов через фишинговые письма — как персонифицированные, так и массовые, пояснил он. Эксперт предположил, что пользователям будут направлены сообщения с предложением оформить возврат части платежа и ссылкой на сайт-подделку SMS-activate.

Один из собеседников "Известий" добавил, что целью злоумышленников может быть заражение устройств пользователей вирусом, похищающим данные или совершающим небольшие платежи без их ведома. Если клиент базы указывал свою рабочую электронную почту (что маловероятно, но теоретически не исключено), то заражению шифровальщиком может подвергнуться вся компания-работодатель, отметил собеседник.

Об утечке из сервиса SMS-activate знают в "Открытии", Экспобанке и "Зените", сообщили "Известиям" в этих кредитных организациях. Теоретически файл может содержать данные клиентов любого банка, сообщили в "Зените". Номера карт пользователей сервиса хранятся в логах в маскированном виде, поэтому риски проведения несанкционированных финансовых операций не усматриваются, подчеркнул вице-президент банка "Открытие" Илья Сулоев. Он добавил: поскольку полные номера карт не были скомпрометированы, рекомендации перевыпускать "пластик" кредитная организация не дает.

Не исключено, что злоумышленники могут использовать имя, e-mail и информацию о банке-эмитенте карты для проведения фишинговых атак, заявил руководитель службы безопасности Экспобанка Дмитрий Курнявко: в связи с этим в кредитной организации рекомендуют внимательнее относиться к входящим e-mail и не переходить по ссылкам от незнакомых отправителей.

В Tele2 сообщили, что не имеют отношения к сервису SMS-activate. Другие сотовые операторы оперативно не ответили на вопросы. "Известия" также обратились в ЦБ и Роскомнадзор.

Новости из связанных рубрик