Cервис аренды самокатов Whoosh в ноябре столкнулся с хакерской атакой на данные пользователей. О том, что случилось и почему — несмотря на отлаженные системы безопасности — у крупных IT-компаний происходят утечки данных, «Ленте.ру» рассказал CIO (Chief Information Officer) и сооснователь Whoosh Егор Баяндин.
«Лента.ру»: Какие данные были скомпрометированы в результате хакерской атаки? Что вы можете сказать миллионам пострадавших пользователей?
Егор Баяндин: Утечка затронула никнейм, e-mail, номер телефона и маскированный (неполный) номер карты части аккаунтов. В руки злоумышленников не попали данные о поездках или платежные данные наших пользователей. То, что смогли заполучить хакеры, — только название города, в котором состоялась последняя поездка, без указания улиц и точных адресов. По нашим оценкам, информация о городе последней поездки содержалась лишь в четверти объема похищенных данных.
Стоит отметить, что Whoosh никак не валидирует никнейм и почту пользователей, что делает эти данные менее ценными для злоумышленников. Когда утекают, например, координаты точек заказа и конкретного человека — это более чувствительные данные. В нашем случае можно сказать, что данных, позволяющих охарактеризовать пользователя — ФИО, адрес, история поездок, паспортные данные (мы их не собираем), платежные данные, — не попали в руки злоумышленников.
Тем не менее отсутствие в учетке критичных данных не уменьшает проблемность ситуации и нашу вину. Неприятным последствием для пользователей могут стать спамовые электронные письма и звонки. Мы публично принесли извинения всем, кого мог затронуть инцидент. Наша служба поддержки отвечает на вопросы пользователей по этой теме и делится с ними инструкциями, как обезопасить себя от мошенников. Главный совет здесь — пользоваться определителями номера, чтобы избежать спам-звонков.
Маскированный номер карты теоретически может быть использован в социальной инженерии. Например, злоумышленник может позвонить, представиться сотрудником банка и назвать этот номер. Советы пользователям остаются классическими: не предоставлять третьим лицам никакой платежной информации, такой как полный номер карты, ПИН, CVC или код из СМС.
Фото: Алексей Зотов / Коммерсантъ
Вы проводили внутреннее расследование того, как эта утечка данных стала возможной? Каковы гарантии, что такие утечки не произойдут в будущем?
Большинство происшествий, связанных с утечками, происходит из-за человеческого фактора. Компании — и мы, в частности — понимают значимость данных юзеров и строят системы, чтобы максимально их защитить. Мы ежедневно отражаем атаки и попытки взлома системы. В данном инциденте наш сотрудник нарушил установленные правила по обращению с аутентификационными данными, вследствие чего злоумышленники получили доступ к части данных пользователей. Важно подчеркнуть: не ко всей инфраструктуре Whoosh, а лишь к небольшой части нашей платформы, с которой смогли сканировать поверхностную информацию аккаунтов.
После инцидента мы повторно пересмотрели процессы предоставления доступа и авторизации с точки зрения повышения безопасности. Наша команда сделает все от нас зависящее, чтобы подобные инциденты больше не повторились.
Защищены ли данные банковских карт, которыми пользователи с вами делятся?
Платежная инфраструктура появилась достаточно давно. Как следствие, в ней существуют жесткие общемировые принятые стандарты — PCI DSS (Payment Card Industry Data Security Standard), которые закрепляют правила обращения и работы с карточными данными. К таким данным относятся номер карты, имя владельца, ПИН-код, CVC-код и срок действия карты. Этот стандарт выделяет несколько уровней сертификации, в зависимости от объемов и типов операций. Наш уровень подразумевает ежеквартальное автоматизированное сканирование системы и ежегодное подтверждение сертификата с проведением аудита и всех необходимых мероприятий. А платежные системы проходят сертификацию PCI DSS даже более высокого уровня.
Важно сказать, что мы не храним у себя номера карт. Те номера карт, что вводят пользователи, попадают напрямую в банк и и хранятся там. У нас сохраняются только токены карт, которыми нельзя оплачивать сторонние транзакции — банк не верифицирует оплату. Поэтому платежные данные наших клиентов при происшествии остались защищены
Оплата в нашем приложении проходит в несколько этапов. При регистрации пользователь вводит номер карты. По зашифрованному каналу номер передается в банк, банк его сохраняет и выдает нам уникальный идентификатор — тот самый токен. Мы сохраняем этот токен у себя в системе. Впоследствии, при завершении поездки пользователем, наша система передает токен в банк и просит списать по нему определенную сумму за эту поездку. А банк на своей стороне отправляет запрос в банк-эмитент, чтобы списать эту сумму с карточки пользователя.
В последние годы происходит так много утечек из разных интернет-сервисов, что их пользователям уже впору заводить себе «левые» сим-карты и имейлы, чтобы не подставляться. Whoosh что-то делает для того, чтобы повысить уровень информационной безопасности? Как вы ею вообще управляете?
Мы не можем подробно рассказывать об этом, по понятным причинам. Но в компании действует мониторинг службы безопасности, благодаря которому мы обнаружили несанкционированные действия и пресекли утечку. У нас есть служба, которая занимается реагированием на эти действия и развитием собственной системы безопасности. Так как злоумышленники постоянно развиваются и разрабатывают новые способы взлома, мы стремимся быть на шаг впереди них и заблаговременно защищать нашу систему.
Фото: Whoosh
Безусловно, присутствует достаточное количество людей, желающих бесплатно пользоваться нашим сервисом. Это тоже попадает в зону ответственности команды информационной безопасности. Из всевозможных каналов, которые предлагают промокоды, подавляющее большинство — это мошенники, которым вы заплатите и ничего взамен не получите. В лучшем случае вам раскроют общедоступную информацию о наших тарифах и промокодах. В сообщениях об утечке мошенники говорят о том, что им доступны промокоды, но важно понимать, что это персональные промокоды, которые уже активированы в аккаунтах, а значит, не могут быть активированы в других.
Как вы обеспечиваете физическую безопасность самокатов и пользователей?
Наша система осуществляет постоянный мониторинг за состоянием самоката. Технология может автоматически блокировать самокат в случае наличия неправомерных действий с устройством. Такие случаи берет в работу служба безопасности или операционная команда.
Мы постоянно адаптируем самокаты для большей безопасности поездок. Например, чтобы снизить количество происшествий, мы в 2021 году ввели принудительное ограничение скорости в местах большого скопления пешеходов — парках, скверах, на многолюдных улицах и площадях. Это реализовано с помощью установленного на самокатах IoT (internet of things) — модуля нашей собственной разработки, который позволяет контролировать многие аспекты работы самоката дистанционно, а также модуля спутниковой навигации.
Сначала это были просто зоны, где снижается лимит скорости. Потом мы добавили к ним расписание — чтобы в часы, когда нет трафика пешеходов, скорость не снижалась. Такие зоны отмечены у нас в приложении значком часов. Можно посмотреть, в какой именно временной отрезок скорость самокатов тут снижена.
Используя данные IoT-модулей самокатов, мы развернули собственную систему геоаналитики, на основе выводов которой управляем парком в каждом из городов присутствия: расставляем самокаты по нужным районам, где они будут востребованы как городской транспорт, следим за уровнем их заряда и технической исправностью
Пользователи не видят эту нашу внутреннюю систему, но видят ее эффект — заряженные самокаты стоят в исправном состоянии и там, где они сейчас нужны.
Ранее Whoosh заявлял о планах оснастить самокаты системой компьютерного зрения. Что она собой представляет и как будет работать?
Мы действительно тестируем эту технологию и способы ее лучшего применения. Модуль компьютерного зрения позволит собирать больше данных и анализировать поездки для обнаружения опасного вождения, научит самокаты определять препятствия и предупреждать о них во время поездки, анализировать тип покрытия, по которому едет самокат: дорога, велодорожка или тротуар. Это возможно благодаря нейронным сетям, которые будут обсчитывать информацию прямо на самокате и сигнализировать человеку, что пора бы притормозить или остановиться.
Мы также работаем над нововведениями для повышения удобства пользования самокатами — в частности, планируем улучшать разработанный нами самокатный навигатор. Например, маршрут должен избегать подземных переходов, потому что электросамокат тяжелее везти по ступенькам, чем велосипед.
Когда парочки ездят вдвоем на одном самокате — это тоже небезопасно. Ваша технология способна распознать такое нарушение дистанционно?
Да, мы разработали и успешно протестировали алгоритм, который позволяет с высокой долей точности определять, что на самокате едут двое или больше людей. Зная среднюю скорость, ускорение и потребляемую мощность, мы можем вычислить массу пользователя, спрогнозировать причины и выстроить максимально эффективно программу предотвращения этих нарушений.
В будущем сезоне мы планируем распространить этот алгоритм на разные города присутствия сервиса и продолжать совершенствовать данные для определения таких поездок. Это важный проект для безопасности пользователей самокатов и окружающих их пешеходов.