В Государственной технической службе (ГТС) Комитета национальной безопасности Казахстана сообщили об утечке персональных данных микрофинансовой организации (МФО) ТОО "МФО Робокэш.кз". По информации ведомства, утечка персональных данных казахстанцев произошла посредством взлома инфраструктуры (Robo Finance, robo.finance) – материнской экосистемы, поддерживающей многие МФО.
При этом в самой МФО заявили, что по предварительным данным, хакерской атаки на системы компании не было, информационные системы компании не взломаны.
Как могут быть использованы данные казахстанцев?
В ГТС напомнили, что утечка персональных данных в сеть может привести к потере конфиденциальной информации, нарушению частной жизни, а люди, чьи данные оказались "слитыми" в сеть могут потенциально стать жертвами финансового мошенничества.
Глава Центра анализа и расследования кибератак (ЦАРКА) Олжас Сатиев отметил, что в данной утечке было порядка 2 млн уникальных записей казахстанцев. В них содержалась информация о тех гражданах, которые или брали кредит, или пытались оформить займ. Это не только персональные данные, но также сведения о месте работы, паспортные данные, номер телефонов доверенных лиц (друзей или знакомых) и т.д. Примечательно, что в этих записях также были и данные о госслужащих.
Первый риск связанный с утечкой для граждан в том, что эта информация может быть как угодно использована злоумышленниками. Кроме того, не исключено что этими же базами пользуются и другие МФО, за что собственно и могут ухватиться мошенники.
"Зная ваши паспортные данные и прочее, злоумышленники могут делать какую-то фишинговую рассылку, как будто открылась какая-то новая микрофинансовая организация с займами. Также, уже были случаи, когда создавались фишинговые сайты для того, чтобы обманывать людей". Олжас Сатиев
Еще одна опасность, по словам эксперта – это использование данных о казахстанцах зарубежными группировками. Они могут увидеть, у кого из граждан есть кредиты, или возможные проблемы с деньгами, и применить эти сведения для преступных целей.
"Данные могут быть использованы для обмана, шантажа, для использования их в своих системах. Этим не гнушаются и легальные компании, они могут ими воспользоваться для прозвона. Это хорошая база клиентов, которые уже получали микрокредиты, и которую, скажем так, могут отрабатывать маркетологи". Олжас Сатиев
Безопасность МФО
По данным ГТС в целях противодействия выдаче фиктивных микрокредитов с мая 2021 года был ужесточен порядок идентификации заемщиков при выдаче онлайн-микрокредитов. Для выдачи онлайн-займа организация обязана произвести идентификацию клиента посредством цифровой подписи, через биометрию или с помощью двухфакторной проверки персональных данных. Также, с января 2022 года МФО обязаны осуществлять сверку указанного клиентом абонентского номера с данными операторов мобильной связи.
Между тем, Олжас Сатиев считает, что в части безопасности сервисы по онлайн кредитованию не слишком зарегулированы, и в данном случае требуется ужесточить контроль со стороны Агентства Республики Казахстан по регулированию и развитию финансового рынка. Эксперт полагает, что необходимо ужесточить правила в вопросах кибербезопасности, по примеру банков.
"Банк должен проводить ежегодный аудит безопасности, должен проводить какие–то внутренние проверки и прочее. К МФО не так требовательны. Однако в МФО собираются большие данные клиентов и здесь вопрос стоит о том, чтобы их тоже обязать проводить аудит информационной безопасности, возможно относить их к критически важным объектам информационно–коммуникационной инфраструктуры". Олжас Сатиев
Стоит добавить, что помимо участившихся случаев утечки данных граждан, за последние семь лет более чем в 10 раз выросло количество случаев интернет-мошенничества. Об этом сообщал заместитель министра внутренних дел Айдос Рысбаев.
Такие преступления составляют 19% от общего количества зарегистрированных в прошлом году преступлений и 50% от всех мошенничеств. И только за прошлый год причиненный гражданам ущерб составил 21 млрд тенге.
По данным Первого Кредитного Бюро, в 2023 года в Казахстане было зарегистрировано почти 44,8 тысяч случаев мошенничества, а чаще всего жертвами мошенников становились люди в возрасте от 30 до 39 лет. При этом, около половины всех эпизодов мошенничества в последние три года совершаются онлайн.