Проверка, связанная с масштабной утечкой данных казахстанцев из микрофинансовой организации, продолжается. Сама МФО все обвинения отвергает.
«Одобрено 250 тыс. тенге», «Получите заем до 180 тыс. тенге под 0%» – такие SMS-сообщения со ссылкой-переходом на сайт-агрегатор МФО начали приходить одному из сотрудников редакции, который заявки на займы не подавал. Журналист, как и многие казахстанцы, в марте получил в личном кабинете eGov уведомление о том, что «ваши персональные данные имеются в утекшей базе данных клиентов zaimer.kz». Через пару дней эти уведомления исчезли, а ещё через неделю посыпались предложения онлайн-микрокредитования. Что всё-таки произошло с личными данными казахстанцев, какие сейчас проводятся проверки и расследования, есть ли предварительные результаты и какой версии придерживаются участники рынка – в материале «Курсива».
Кто заметил утечку?
Об утечке сообщила Государственная техническая служба (ГТС). Эта служба 5 марта 2024 года обнаружила утекшие файлы с персональными данными в ходе мониторинга казахстанского сегмента интернета на наличие угроз и инцидентов информационной безопасности. Центр анализа и расследования кибератак (ЦАРКА) также обнаружил три файла с персональными данными в Telegram-каналах открытого доступа днём позже, 6 марта.
В то же время в бюллетенях безопасности на сайте службы реагирования на компьютерные инциденты ГТС информация об утечке не появлялась. В ГТС объяснили, что у бюллетеней другая цель.
«Бюллетени безопасности ориентированы на информирование о возможных уязвимостях в программном обеспечении, а не на детальное описание конкретных случаев утечки данных. Эти бюллетени предоставляют информацию о методах защиты и рекомендации по исправлению уязвимостей, что помогает организациям обеспечивать свою кибербезопасность», – пояснили «Курсиву» в ГТС.
В ГТС придерживаются версии, что утечке способствовали сторонние лица. По версии службы, злоумышленники взломали инфраструктуру, на которой работают многие МФО, и получили доступ к базам zaimer.kz. По оценке ГТС, в открытый доступ утекли персональные данные 2 млн казахстанцев, а также 23,6 млн россиян, 5 млн филиппинцев и 2 млн вьетнамцев. Нерезиденты Казахстана были клиентами других МФО, которые также работают на инфраструктуре и материнской экосистеме Robo Finance.
В открытом доступе оказались ФИО, ИИН, пол, возраст, номер телефона, адрес электронной почты, статус кредита, дата и место рождения, паспортные данные предположительно клиентов МФО – это информация из слитой папки clients.csv. В другой папке, potential_clients.csv, имеется та же информация плюс номер удостоверения личности, место проживания, зарплата, допзаработок, количество детей, возможный поручитель – на случай, если клиент не сможет выплатить по кредиту.
Что говорят в самом zaimer.kz
МФО zaimer.kz утечку не признает. В пресс-службе МФО также заявили:
«По результатам проверки МЦРИАП, АРРФР установлено, что утечки данных с территории Казахстана не было. Базы данных МФО «Робокэш.кз» хранятся на собственных серверах и независимых облачных серверах сторонней компании, которая также обеспечивает сохранность данных телекоммуникационных провайдеров и других крупных компаний в Казахстане».
По данным пресс-службы АРРФР, проверка ещё продолжается.
В социальных сетях пользователи высказывают предположения, что zaimer.kz мог купить персональные данные людей, не являющихся клиентами МФО, у банковских организаций. Сама МФО заявляет, что не располагает данными не своих клиентов. В МФО ожидают, что МЦРИАП должно отозвать оставшиеся уведомления об утечке данных.
«После масштабной рассылки уведомлений казахстанцам в личном кабинете в eGov.kz у многих сообщение было удалено, но у других этого ещё не сделано, – говорят в пресс-службе организации. – Полагаем, что при обращении в МЦРИАП они получат соответствующее разъяснение об этой ошибке».
Позиция Казахстанской ассоциации ФинТех: информация об утечке данных казахстанцев распространяется с целью навредить репутации МФО. Напомним, что МФО «Робокэш.кз» (бренд «Займер») стала самой прибыльной компанией сектора по итогам прошлого года, заработав 15,9 млрд тенге.
Инструкция по применению
На данный момент за нарушение законодательства о персональных данных и их защите, об информатизации предусмотрена административная и уголовная ответственность. За незаконные сбор и обработку данных, несоблюдение мер по их защите, а также по защите информационных систем предусмотрен штраф.
В уведомлениях Минцифры давало рекомендации для минимизации неблагоприятных последствий утечки. Хотя уведомления и были удалены, рекомендации сохраняют актуальность. Среди рекомендаций: добровольно отказаться от получения займа через сайт электронного правительства или приложение EgovMobile (для этого в разделе «Налоги и финансы» нужно выбрать услугу «Добровольный отказ от получения банковских займов, микрокредитов сроком на 6 месяцев» и подписать её – вся процедура занимает буквально несколько секунд); по возможности не отвечать на неизвестные телефонные номера, а если позвонивший оказался сотрудником банка – перезвонить по официальному номеру учреждения; устанавливать везде двухфакторную аутентификацию и сложные пароли; не сообщать SMS-коды для подтверждения операции и CVC/CVV-коды.