В Telegram-канале «Утечки информации» появилась информация о публикации в открытом доступе персональных данных участников программы лояльности Tele2. В сообщении, в частности, указывается, что «Источник, ранее «сливший» данные «Почты России», образовательного портала «GeekBrains», службы доставки «Delivery Club», сервиса покупки билетов tutu.ru и др., выложил в свободный доступ дамп базы данных предположительно участников программы лояльности оператора связи «Tele2». В дампе 7,530,149 строк».
Партнерская утечка
В соответствии с информацией из Telegram-канала опубликована база данных содержится 7,5 млн записей, каждая из которых содержат имя, номер телефона, электронную почту, пол и идентификатор BERCUT_CONTACTID пользователя Tele2. Последняя информация позволяет предположить, что утечка произошла, скорее всего, из решения компании Bercut — разработчика BSS-решений, сотрудничающего с Tele2. Также в записи есть ссылка на страницу на домене l.tele2.ru. По сведениям владельцев Telegram-канала даты создания и обновления размещенной базы данных — с 5 сентября 2017 года по 27 июня 2022 года.
В пресс-службе оператора агентству ТАСС подтвердили факт утечки: «Tele2 проводит служебное расследование. Уже известно, что ответственность на стороне IT-партнера, который подвергся хакерской атаке. Наши собственные системы надежно защищены, факт утечки на стороне Tele2 полностью исключен. Большая часть этих данных не представляет угрозы пользователям, по сути, это перекомпиляция сведений, которые доступны онлайн из других источников».
Новые требования закона №152-ФЗ
Следует отметить, что 14 июля был принят федеральный закон № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты РФ…», который изменяет правила оповещения об утечках персональных данных. В частности, в нем предусмотрено обязательное требование для оператора ПДн в течении 24 часов уведомить Роскомнадзор о факте утечки персональных данных, а в течении 72 часов оператор должен предоставить в Роскомнадзор результаты внутреннего расследования по инциденту. Причем Роскомнадзор в соответствии с изменениями в закон будет вести собственный реестр инцидентов, куда указанные сведения будут помещаться. Правда, закон вступает в силу с 1 сентября этого года, и на утечку из Tele2 или его партнера, скорее всего, распространяться не будет.
