Главная » Технологии » Данные сервиса для анонимной верификации попали в сеть

Данные сервиса для анонимной верификации попали в сеть

Сергей Мингазов Forbes Staff

В интернет утекла база данных с платежной информацией пользователей сервиса виртуальных онлайн-номеров, которые позволяют сохранять анонимность в сети. Эксперты по безопасности отмечают, что такого рода утечки редки

В сети появилась в открытом доступе база данных с платежной информацией пользователей сервиса виртуальных онлайн номеров sms-activate.ru. Первым о базе рассказал Telegram-канал «Утечки информации», пишет «Коммерсантъ».

Сервис sms-activate.ru предоставляет «в аренду» мобильные номера. С их помощью пользователи анонимно верифицируются в соцсетях, мессенджерах, на торговых площадках и других онлайн-платформах. В сеть утекла база данных с данными 163 000 пользователей. В файле — 2,35 гигабайта информации, в том числе имена, адреса электронной почты, IP-адреса, частичные номера платежных карт, суммы платежей.

Из данных на sms-activate.ru следует, что ежедневная аудитория сервиса доходит до 17 000 пользователей в день. Из 163 000 уникальных записей, которые содержит утекшая база, около 50 000 валидных, уточнил газете основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

База была добыта при помощи фаззинга — тестирования программного обеспечения путем перебора параметров, при котором в приложение автоматически направляются заведомо неверные данные и анализируется реакция программы на них для обнаружения ошибок, рассказали эксперты телеграм-канала «Слив из приватных каналов». Такая уязвимость указывает на то, что само веб-приложение не тестировалось либо тестировалось поверхностно, отметил ведущий эксперт направления «Информационная безопасность» компании КРОК Александр Черныхов.

Эксперт центра продуктов Dozor компании «Ростелеком-Солар» Алексей Кубарев назвал случай утечки довольно редким, и уточнил, что ранее он не слышал о сливах из сервисов приема sms на виртуальные номера. Оганесян сообщил, что похожая утечка была в июне: тогда на открытом сервере Elasticsearch было обнаружено более 1,5 млн сообщений, «предположительно отправленных с номера 900 с данными об именах клиентов, суммах снятия или перевода, балансах банковских карт и их последних четырех цифрах».

Гендиректор Infosecurity a Softline Company Кирилл Солодовников предупредил, что, располагая данными об операциях и частичными номерами карт, несложно составить примерный профиль владельца для манипулирования жертвой во время звонка от лица банка. Базой, по его словам, могут воспользоваться маркетологи. Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд отметил, что деанонимизация — это основной риск для пользователей именно таких сервисов. Анонимность необходима для операций с сомнительными целями, таких как накрутки лайков в соцсетях или на платформах для голосования, создание и верификация фейковых аккаунтов, объяснил Дрозд. 

Управляющий партнер юридической компании «Иккерт и партнеры» Павел Иккерт отметил, что услуга предоставления виртуального номера не несет в себе признаков нарушения закона, если сервис в установленном законом порядке заключает с операторами контракты или договаривается с физическими и юридическими лицами, имеющими такие контракты. Собеседники в операторах связи ранее рассказывали газете, что подобные сервисы используют сим-карты, массово закупленные на физических или юридических лиц.