Сведения о более чем 30 млн клиентов сети лабораторий «Гемотест» выставлены на продажу в даркнете. В две базы данных входят ФИО, даты рождения, адреса, телефоны, электронная почта, серии и номера паспортов, а также результаты некоторых анализов — в частности, на ВИЧ. Об этом сообщил телеграм-канал «Утечки информации».

Издание SecurityLab со ссылкой на источники утверждает, что база «появилась в закрытом доступе у очень ограниченного числа лиц в начале весны», а сами данные якобы были украдены из-за наличия «уязвимости в IT-системе лаборатории».

Для условно открытой продажи данные были выгружены не позднее 22 апреля 2022 года, причем сначала на теневом форуме появились сведения о клиентах «Гемотеста», а потом — о результатах анализов. В сообщении также говорится, что на самом деле в продаваемой базе меньше позиций, чем заявлено продавцом — не 31 млн, а примерно 30,5 млн строк.

Руководитель информационной безопасности «Гемотеста» Иван Осипов сообщил РБК, что после публикации новости об утечке данных было начато внутреннее служебное расследование. Если по его итогам подтвердится подозрение в том, что имели место незаконный доступ к информации о клиентах и ее распространение, руководство компании примет решение подать заявление в правоохранительные органы.

Параллельно с ходом внутреннего служебного расследования принято решение о дополнительном ужесточении технических мер, направленных на обеспечение надлежащего уровня защиты конфиденциальной информации и безопасности данных, добавил Осипов, подчеркнув, что попавшие в даркнет сведения составляют коммерческую тайну «Гемотеста».

В колл-центре «Гемотеста» по Новосибирску заявили местному изданию НГС24, что на данный момент не располагают никакими сведениями о случившемся и о сроках проведения проверки.

Мы все меры соблюдаем в целях безопасности персональных данных. Пока проводится проверка, нет даже точной информации, правда это или нет, — объяснили в «Гемотесте».

Журналист Ксения Собчак в своем телеграм-канале «Кровавая барыня» оценила утечку данных из «Гемотеста» как «мощную» и несопоставимую по масштабу со всеми предыдущими, поскольку, судя по сообщениям, могли быть украдены сведения о ДНК клиентов лабораторий.

Чтобы вы понимали, речь про 30 миллионов клиентов и 554 миллиона их тестов. Баз две, обе выставили на продажу в даркнете. <…> Результаты тестов клиентов с 2012 года. Это ВСЕ виды анализов и заболевания. А один из самых популярных анализов — генетический. Ты сдаешь слюну, и через пару месяцев тебе рассказывают, кто ты, откуда, где твои родственники и так далее, — пишет Собчак.

Предыдущая масштабная утечка данных произошла у сервиса «Яндекс.Еда», о которой стало известно 1 марта, причем сообщил о ней сам этот сервис. В открытый доступ попала информация о заказах еды, включая имена пользователей, адреса, номера телефонов. В качестве причины произошедшего были названы «недобросовестные действия одного из сотрудников».

22 марта в сети появился сайт с интерактивной картой, составленной на основе данных пользователей «Яндекс.Еды». Посетители портала могли узнать сведения о пользователях сервиса по их адресам. «Яндексу» удалось добиться блокировки этого сайта. 23 марта Роскомнадзор составил в отношении «Яндекс.Еды» административный протокол за нарушение части 1 статьи 13.11 КоАП РФ, штраф по которой достигает 100 тысяч рублей. Клиенты сервиса, нашедшие свои данные в «слитой» базе, подали против компании коллективный иск, потребовав по 100 тысяч рублей на человека.