Опочтоволосились. Персональные данные 3,5 млн клиентов Mail.ru утекли в даркнет

16.01.2023 |

Андрей Блинов.

В открытом доступе появилась конфиденциальная информация более чем 3,5 миллионов пользователей почтового сервиса Mail.ru (входит в экосистему VK). Злоумышленники, уже фигурировавшие в других подобных «сливах», разместили в даркнете базу данных с ФИО пользователей, их e-mail и номерами телефонов. Согласно предварительной выборочной проверке, база подлинная. Как заверяют представители VK, содержащихся в ней сведений недостаточно для взлома электронных почтовых ящиков. Однако эксперты замечают, что эту базу можно попытаться скомбинировать с другими утекшими в Сеть базами или применить для противоправных действий в сторонних сервисах, поддерживающих регистрацию по электронной почте.

3,5 млн – такую цифру озвучивают профильные паблики, специализирующиеся на утечках: например, телеграм-канал «Утечки информации». Это около 7,6% от общего числа активных пользователей сервиса Mail.ru (46 млн). По сообщению представителей VK, опубликованная на теневом форуме база данных была «утеряна» около года назад, вину за случившееся медиахолдинг перекладывает на некий «сторонний сервис».

Данных, содержащихся в базе (ФИО и номера мобильного телефона), очевидно не хватит злоумышленникам для взлома электронной почты Mail.ru, даже если их сопоставление выведет на реального пользователя. Здесь, например, нет никакой информации о паролях или захэшированных (зашифрованных) данных, которые используются сервисом для идентификации пользователя. Но такое сопоставление как минимум может повысить эффективность социальной инженерии – например, если злоумышленники будут совершать персонализированные звонки, чтобы выведать более ценные конфиденциальные сведения.

Эксперты также отмечают, что такого набора персональных данных хватает для компрометации учетных записей пользователей в других системах – например, на Госуслугах, если электронная почта Mail.ru была указана при регистрации.

Масштабные утечки персональных данных в последнее время происходят с пугающей периодичностью. Только за последний месяц их жертвами стали пользователи сервисов «Ситимобил» и «Спортмастер». Очевидно, что операторы даже крупных цифровых сервисов не всегда готовы гарантировать пользователям безопасность данных. На этом фоне государство готовится ужесточить регуляторику в области персданных – поднять штрафы для организаций за утечки до 500 млн рублей.