⚡️Кассы торговых точек программируют на передачу сведений о покупках «на сторону» - не только в ОФД
Данные о покупках в магазинах, в том числе электронных, утекают в неизвестном направлении. Об этой практике свидетельствуют предупреждения, которые разослал клиентам оператор фискальных данных «Первый ОФД» (собирает сведения о продажах для передачи в налоговую).
В письме, поступившем в распоряжение «Известий», говорится, что кассовая техника была перенастроена на передачу данных третьим лицам. Мало того что по договору вся информация должна идти исключительно на сервер ОФД, так еще и использовать эти данные компании могут далеко не в интересах потребителей. Они полезны для анализа предпочтений покупателей и конкурентной разведки.
Опрошенные «Известиями» эксперты полагают, что риски утечки персональных данных по таким фискальным каналам есть, однако они преувеличены.
«Системы мониторинга безопасности выявили случаи изменения настроек на кассовом аппарате для передачи фискальных данных в адрес третьих лиц», — говорится в рассылке одного из крупных ОФД своим потребителям. В письме также указывается, что это высокорискованная практика, которая к тому же не соответствует 54-ФЗ, о чем неоднократно высказывалась ФНС.
В ОФД подчеркивают, что кассовый аппарат должен быть настроен на передачу фискальных данных исключительно на сервер оператора. «В обратном случае ОФД снимает с себя ответственность за возможные перебои и утечку информации», — сообщается в письме.
В пресс-службе оператора на официальный запрос «Известий» не ответили. В его сервисном центре на вопрос о том, что предупреждение означает на практике, сообщили, что в ряде случаев настройки касс были изменены и информация направлялась «на сторону, в неизвестном направлении».
— Условно говоря, от торговца бытовой техникой к продуктовому ритейлеру, — привел пример сотрудник сервисной службы.
«Известия» направили запросы в пресс-центры крупнейших ОФД, официально аккредитованных ФНС.
Большая часть уклонилась от ответа на вопрос, случались ли в их практике инциденты, связанные с перенастройкой клиентами касс на передачу фискальных сведений третьим лицам. Представители отрасли ограничились уверениями в защищенности собственных систем обработки и предоставления информации.
Впрочем, рискованные практики на рынке действительно есть, подтверждают участники отрасли.
Например, программное обеспечение, установленное на кассовую технику, может собирать данные без ведома владельца аппарата для их последующей перепродажи, сказал «Известиям» директор OFD.ru Антон Румянцев.
Это более вероятный канал утечки, чем передача данных с кассы оператору, согласен замгендиректора ОФД «Электронный экспресс» Владимир Пащак.
— ПО кассы может дополнительно передавать информацию третьей стороне, однако это вопрос к добросовестности разработчиков, а не к ОФД или их клиентам, — пояснил он.
— Кроме этого, не исключены уязвимости в информационной безопасности самих операторов фискальных данных.
Но и бизнес самих ОФД может представлять определенные риски.
Кроме этого, в ряде моделей кассовой техники данные о трансакциях автоматически передаются в том числе и в личный кабинет самого клиента, который расположен на ресурсе производителя аппарата.
Дальнейшая судьба этих данных определяется политикой производителя техники, добавил Александр Лактионов.
Для перенастройки кассового оборудования могут быть и криминальные мотивы. Так, по словам замдиректора компании «Такском» Артема Меликджаняна, это может быть способом уклонения от налогов. Действительно, пользователь кассовой техники может продать товар на сумму, в несколько раз превышающую значение, поступающее через ОФД в ФНС, подтвердил Антон Фишман.
#офд #данные #кассы #утечка
@ofd24
Данные о покупках в магазинах, в том числе электронных, утекают в неизвестном направлении. Об этой практике свидетельствуют предупреждения, которые разослал клиентам оператор фискальных данных «Первый ОФД» (собирает сведения о продажах для передачи в налоговую).
В письме, поступившем в распоряжение «Известий», говорится, что кассовая техника была перенастроена на передачу данных третьим лицам. Мало того что по договору вся информация должна идти исключительно на сервер ОФД, так еще и использовать эти данные компании могут далеко не в интересах потребителей. Они полезны для анализа предпочтений покупателей и конкурентной разведки.
Опрошенные «Известиями» эксперты полагают, что риски утечки персональных данных по таким фискальным каналам есть, однако они преувеличены.
«Системы мониторинга безопасности выявили случаи изменения настроек на кассовом аппарате для передачи фискальных данных в адрес третьих лиц», — говорится в рассылке одного из крупных ОФД своим потребителям. В письме также указывается, что это высокорискованная практика, которая к тому же не соответствует 54-ФЗ, о чем неоднократно высказывалась ФНС.
В ОФД подчеркивают, что кассовый аппарат должен быть настроен на передачу фискальных данных исключительно на сервер оператора. «В обратном случае ОФД снимает с себя ответственность за возможные перебои и утечку информации», — сообщается в письме.
В пресс-службе оператора на официальный запрос «Известий» не ответили. В его сервисном центре на вопрос о том, что предупреждение означает на практике, сообщили, что в ряде случаев настройки касс были изменены и информация направлялась «на сторону, в неизвестном направлении».
— Условно говоря, от торговца бытовой техникой к продуктовому ритейлеру, — привел пример сотрудник сервисной службы.
«Известия» направили запросы в пресс-центры крупнейших ОФД, официально аккредитованных ФНС.
Большая часть уклонилась от ответа на вопрос, случались ли в их практике инциденты, связанные с перенастройкой клиентами касс на передачу фискальных сведений третьим лицам. Представители отрасли ограничились уверениями в защищенности собственных систем обработки и предоставления информации.
Впрочем, рискованные практики на рынке действительно есть, подтверждают участники отрасли.
Например, программное обеспечение, установленное на кассовую технику, может собирать данные без ведома владельца аппарата для их последующей перепродажи, сказал «Известиям» директор OFD.ru Антон Румянцев.
Это более вероятный канал утечки, чем передача данных с кассы оператору, согласен замгендиректора ОФД «Электронный экспресс» Владимир Пащак.
— ПО кассы может дополнительно передавать информацию третьей стороне, однако это вопрос к добросовестности разработчиков, а не к ОФД или их клиентам, — пояснил он.
— Кроме этого, не исключены уязвимости в информационной безопасности самих операторов фискальных данных.
Но и бизнес самих ОФД может представлять определенные риски.
Кроме этого, в ряде моделей кассовой техники данные о трансакциях автоматически передаются в том числе и в личный кабинет самого клиента, который расположен на ресурсе производителя аппарата.
Дальнейшая судьба этих данных определяется политикой производителя техники, добавил Александр Лактионов.
Для перенастройки кассового оборудования могут быть и криминальные мотивы. Так, по словам замдиректора компании «Такском» Артема Меликджаняна, это может быть способом уклонения от налогов. Действительно, пользователь кассовой техники может продать товар на сумму, в несколько раз превышающую значение, поступающее через ОФД в ФНС, подтвердил Антон Фишман.
#офд #данные #кассы #утечка
@ofd24
⚡️Ушли из базы: в Сеть утекли 14 млн записей компаний и покупателей.
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ.
Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.
Что произошло
Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.
Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.
Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».
«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.
В компании объяснили утечку атаками на серверы, происходившими с начала сентября.
Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.
— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.
Эксперты по кибербезопасности сомневаются в корректности этого объяснения.
— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.
— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.
ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».
Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock.
Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.
Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Чем грозит
Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.
Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.
За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.
#дримкас #офд #утечка
@ofd24
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ.
Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.
Что произошло
Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.
Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.
Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».
«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.
В компании объяснили утечку атаками на серверы, происходившими с начала сентября.
Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.
— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.
Эксперты по кибербезопасности сомневаются в корректности этого объяснения.
— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.
— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.
ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».
Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock.
Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.
Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Чем грозит
Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.
Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.
За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.
#дримкас #офд #утечка
@ofd24
Оператор фискальных данных "Дримкас" опроверг утечку данных клиентов
Оператор фискальных данных (ОФД) "Дримкас" опровергает утечку данных клиентов, обращений от них по данному вопросу не получал, заявил РИА Новости руководитель отдела маркетинга оператора Эдуард Сайфуллин.
"Конфиденциальность фискальных данных на сервере ОФД не нарушена. Эти данные передаются по отдельному независимому каналу. За время работы компании утечки информации не зафиксировано и обращений от наших клиентов не поступало", - сказал Сайфуллин.
"Автор статьи указал: "Сервер ОФД "Дримкас" стал общедоступным 9 сентября и пробыл в таком состоянии три дня". Эта информация не соответствует действительности. Указанный сервер не относится к техническим средствам ОФД "Дримкас", - добавил он.
По словам Сайфуллина, вопросы возникли с сервером, который собирает служебную информацию о техническом состоянии онлайн-касс. Например, данные о подключении кассы к интернету, об успешном или ошибочном результате загрузки обновления программного обеспечения, версиях программ, количестве обработанных кассиром товаров.
"Технический сервер не имеет отношения к серверам ОФД "Дримкас", эти сервера изолированы друг от друга и относятся к разным каналам передачи информации", - подчеркнул представитель ОФД. Компания проводит дополнительный аудит с привлечением внешних специализированных компаний и модернизирует систему безопасности. По окончании работ оповестит о результатах.
#дримкас #офд #утечка
@ofd24
Оператор фискальных данных (ОФД) "Дримкас" опровергает утечку данных клиентов, обращений от них по данному вопросу не получал, заявил РИА Новости руководитель отдела маркетинга оператора Эдуард Сайфуллин.
"Конфиденциальность фискальных данных на сервере ОФД не нарушена. Эти данные передаются по отдельному независимому каналу. За время работы компании утечки информации не зафиксировано и обращений от наших клиентов не поступало", - сказал Сайфуллин.
"Автор статьи указал: "Сервер ОФД "Дримкас" стал общедоступным 9 сентября и пробыл в таком состоянии три дня". Эта информация не соответствует действительности. Указанный сервер не относится к техническим средствам ОФД "Дримкас", - добавил он.
По словам Сайфуллина, вопросы возникли с сервером, который собирает служебную информацию о техническом состоянии онлайн-касс. Например, данные о подключении кассы к интернету, об успешном или ошибочном результате загрузки обновления программного обеспечения, версиях программ, количестве обработанных кассиром товаров.
"Технический сервер не имеет отношения к серверам ОФД "Дримкас", эти сервера изолированы друг от друга и относятся к разным каналам передачи информации", - подчеркнул представитель ОФД. Компания проводит дополнительный аудит с привлечением внешних специализированных компаний и модернизирует систему безопасности. По окончании работ оповестит о результатах.
#дримкас #офд #утечка
@ofd24