Компания Allium UPI, занимающаяся аптечными и больничными товарами, сообщила в феврале, что в администрируемую ею систему клиентских карт был произведен незаконный вход и из системы были загружены личные коды, данные о покупках и контактные данные клиентов, сообщила утром в четверг пресс-служба Департамента полиции и погранохраны.
Обстоятельства будут выяснены в ходе возбужденных уголовного и надзорного производств.
В рамках уголовного производства на данный момент было установлено, что из базы данных Allium UPI были загружены личные коды около 700 000 владельцев клиентских карт Apotheka, Apotheka Beauty и PetCity, более 400 000 адресов электронной почты, около 60 000 домашних адресов и около 30 000 телефонных номеров. Также возможно установить какие безрецептурные лекарства и прочие аптечные товары были куплены в период с 2014 по 2020 год, но это не касается рецептурных лекарств. Людей, чьи данные были незаконно загружены, Allium UPI уведомит лично по электронной почте.
Глава бюро по борьбе с киберпреступлениями Центральной криминальной полиции Аго Амбур сказал, что целью полиции является выяснить, кто за этим стоит. «С момента обнаружения совершения преступления полиция тесно сотрудничала с разными странами, чтобы по горячим следам установить преступника. По имеющейся сейчас у полиции информации, утекшие данные не были использованы в преступных целях, но киберпреступность является международной, и подобные утечки умело используют и другие мошенники. Поэтому мы просим всех быть бдительными, если с Вами свяжется в связи этой утечкой данных кто-нибудь кроме Allium UPI, поскольку мошенники могут сейчас, воспользовавшись ситуацией, попытаться заполучить деньги или данные людей. Allium UPI уведомит о случившемся всех, чьи данные были загружены, но при этом у людей не будут запрашивать дополнительные данные», – добавил Амбур.
Государственный прокурор Вахур Верте сказал, что киберпреступники действуют целенаправленно с тем, чтобы заполучить более деликатные данные. «Люди всё больше вынуждены доверять свои данные поставщикам услуг, поскольку цифровое ведение дел и хранение данных значительно эффективнее и удобнее, чем в бумажном виде. Поэтому люди верят, что поставщики услуг серьезно относятся к защите их данных. Это доверие легко потерять, но трудно восстановить. Особенно ответственно к кибербезопасности должны относиться компании, которые занимаются обработкой данных о здоровье или других деликатных данных людей», – отметил Верте.
По словам генерального директора Инспекции по защите данных Пилле Лехис, очередной случай демонстрирует, что защита данных является для предпринимателей второстепенной. «Компании и учреждения должны серьезно задуматься об увеличении инвестиций для обеспечения безопасности. Ущерб от подобного инцидента не только материальный, а подрывает доверие и репутацию. Мы просим людей в свете данного инцидента критически отнестись также к предоставлению своих персональных данных для клиентских аккаунтов. Предоставленное согласие можно в любой момент отозвать, но предоставленные уже данные окончательно удалить не удастся. Мы должны и сами интересоваться тем, какие данные о нас имеются, в каких целях их собирают, и кто имеет к ним доступ. Данные стали для каждого конкретного человека самой важной и ценной валютой. Торгуйте ими ответственно, потому что ценность этой валюты растет с каждым днем.»
Глава отдела по решению инцидентов Департамента государственной инфосистемы (CERT-EE) Вейкко Раасуке пояснил, что имеющая серьезные последствия кибератака против компаний или учреждения, зачастую начинается с захвата аккаунта одного из работников: «Для получения имени пользователя и пароля преступники могут использовать вредоносную программу, которая устанавливается на компьютер работника через «зараженное» приложение в электронном письме или загруженного из ненадежного источника пиратского ПО. Для того, чтобы преступники не смогли сразу зайти в систему с помощью утекшего пароля, необходимо использовать двухфакторную аутентификацию. Также через Интернета должны быть доступны только необходимые инфосистемы и услуги, которые необходимо обезопасить с помощью VPN или иного решения. К сожалению, из автоматического мониторинга CERT-EE следует, например, что в Эстонии по-прежнему более 1000 удаленных рабочих столов свободно доступны по Интернету.
Уголовное производство было возбуждено по статье о незаконном получении доступа к компьютерной системе. Уголовное производство проводит бюро по борьбе с киберпреступлениями Центральной криминальной полиции под руководством государственной прокуратуры. Надзорное производство проводит Инспекция по защите данных.
Людей, чьи данные утекли, просим в случае возникновения вопросов обратиться напрямую в Allium UPI (www.allium.upi.ee) и в компании Apotheka (www.apotheka.ee), Apotheka Beauty (www.apothekabeauty.ee) или PetCity (www.petcity.ee), единую программу лояльности клиентов которых администрирует Allium UPI.
