Cервис аренды самокатов Whoosh в ноябре столкнулся с хакерской атакой на данные пользователей. О том, что случилось и почему — несмотря на отлаженные системы безопасности — у крупных IT-компаний происходят утечки данных, «Ленте.ру» рассказал CIO (Chief Information Officer) и сооснователь Whoosh Егор Баяндин.
«Лента.ру»: Какие данные были скомпрометированы в результате хакерской атаки? Что вы можете сказать миллионам пострадавших пользователей?
Егор Баяндин: Утечка затронула никнейм, e-mail, номер телефона и маскированный (неполный) номер карты части аккаунтов. В руки злоумышленников не попали данные о поездках или платежные данные наших пользователей. То, что смогли заполучить хакеры, — только название города, в котором состоялась последняя поездка, без указания улиц и точных адресов. По нашим оценкам, информация о городе последней поездки содержалась лишь в четверти объема похищенных данных.
Стоит отметить, что Whoosh никак не валидирует никнейм и почту пользователей, что делает эти данные менее ценными для злоумышленников. Когда утекают, например, координаты точек заказа и конкретного человека — это более чувствительные данные. В нашем случае можно сказать, что данных, позволяющих охарактеризовать пользователя — ФИО, адрес, история поездок, паспортные данные (мы их не собираем), платежные данные, — не попали в руки злоумышленников.
Тем не менее отсутствие в учетке критичных данных не уменьшает проблемность ситуации и нашу вину. Неприятным последствием для пользователей могут стать спамовые электронные письма и звонки. Мы публично принесли извинения всем, кого мог затронуть инцидент. Наша служба поддержки отвечает на вопросы пользователей по этой теме и делится с ними инструкциями, как обезопасить себя от мошенников. Главный совет здесь — пользоваться определителями номера, чтобы избежать спам-звонков.
Маскированный номер карты теоретически может быть использован в социальной инженерии. Например, злоумышленник может позвонить, представиться сотрудником банка и назвать этот номер. Советы пользователям остаются классическими: не предоставлять третьим лицам никакой платежной информации, такой как полный номер карты, ПИН, CVC или код из СМС.
Вы проводили внутреннее расследование того, как эта утечка данных стала возможной? Каковы гарантии, что такие утечки не произойдут в будущем?
Большинство происшествий, связанных с утечками, происходит из-за человеческого фактора. Компании — и мы, в частности — понимают значимость данных юзеров и строят системы, чтобы максимально их защитить. Мы ежедневно отражаем атаки и попытки взлома системы. В данном инциденте наш сотрудник нарушил установленные правила по обращению с аутентификационными данными, вследствие чего злоумышленники получили доступ к части данных пользователей. Важно подчеркнуть: не ко всей инфраструктуре Whoosh, а лишь к небольшой части нашей платформы, с которой смогли сканировать поверхностную информацию аккаунтов.
После инцидента мы повторно пересмотрели процессы предоставления доступа и авторизации с точки зрения повышения безопасности. Наша команда сделает все от нас зависящее, чтобы подобные инциденты больше не повторились.
Защищены ли данные банковских карт, которыми пользователи с вами делятся?
Платежная инфраструктура появилась достаточно давно. Как следствие, в ней существуют жесткие общемировые принятые стандарты — PCI DSS (Payment Card Industry Data Security Standard), которые закрепляют правила обращения и работы с карточными данными. К таким данным относятся номер карты, имя владельца, ПИН-код, CVC-код и срок действия карты. Этот стандарт выделяет несколько уровней сертификации, в зависимости от объемов и типов операций. Наш уровень подразумевает ежеквартальное автоматизированное сканирование системы и ежегодное подтверждение сертификата с проведением аудита и всех необходимых мероприятий. А платежные системы проходят сертификацию PCI DSS даже более высокого уровня.
Важно сказать, что мы не храним у себя номера карт. Те номера карт, что вводят пользователи, попадают напрямую в банк и и хранятся там. У нас сохраняются только токены карт, которыми нельзя оплачивать сторонние транзакции — банк не верифицирует оплату. Поэтому платежные данные наших клиентов при происшествии остались защищены
Оплата в нашем приложении проходит в несколько этапов. При регистрации пользователь вводит номер карты. По зашифрованному каналу номер передается в банк, банк его сохраняет и выдает нам уникальный идентификатор — тот самый токен. Мы сохраняем этот токен у себя в системе. Впоследствии, при завершении поездки пользователем, наша система передает токен в банк и просит списать по нему определенную сумму за эту поездку. А банк на своей стороне отправляет запрос в банк-эмитент, чтобы списать эту сумму с карточки пользователя.
В последние годы происходит так много утечек из разных интернет-сервисов, что их пользователям уже впору заводить себе «левые» сим-карты и имейлы, чтобы не подставляться. Whoosh что-то делает для того, чтобы повысить уровень информационной безопасности? Как вы ею вообще управляете?
Мы не можем подробно рассказывать об этом, по понятным причинам. Но в компании действует мониторинг службы безопасности, благодаря которому мы обнаружили несанкционированные действия и пресекли утечку. У нас есть служба, которая занимается реагированием на эти действия и развитием собственной системы безопасности. Так как злоумышленники постоянно развиваются и разрабатывают новые способы взлома, мы стремимся быть на шаг впереди них и заблаговременно защищать нашу систему.
Безусловно, присутствует достаточное количество людей, желающих бесплатно пользоваться нашим сервисом. Это тоже попадает в зону ответственности команды информационной безопасности. Из всевозможных каналов, которые предлагают промокоды, подавляющее большинство — это мошенники, которым вы заплатите и ничего взамен не получите. В лучшем случае вам раскроют общедоступную информацию о наших тарифах и промокодах. В сообщениях об утечке мошенники говорят о том, что им доступны промокоды, но важно понимать, что это персональные промокоды, которые уже активированы в аккаунтах, а значит, не могут быть активированы в других.
Как вы обеспечиваете физическую безопасность самокатов и пользователей?
Наша система осуществляет постоянный мониторинг за состоянием самоката. Технология может автоматически блокировать самокат в случае наличия неправомерных действий с устройством. Такие случаи берет в работу служба безопасности или операционная команда.
Мы постоянно адаптируем самокаты для большей безопасности поездок. Например, чтобы снизить количество происшествий, мы в 2021 году ввели принудительное ограничение скорости в местах большого скопления пешеходов — парках, скверах, на многолюдных улицах и площадях. Это реализовано с помощью установленного на самокатах IoT (internet of things) — модуля нашей собственной разработки, который позволяет контролировать многие аспекты работы самоката дистанционно, а также модуля спутниковой навигации.
Сначала это были просто зоны, где снижается лимит скорости. Потом мы добавили к ним расписание — чтобы в часы, когда нет трафика пешеходов, скорость не снижалась. Такие зоны отмечены у нас в приложении значком часов. Можно посмотреть, в какой именно временной отрезок скорость самокатов тут снижена.
Используя данные IoT-модулей самокатов, мы развернули собственную систему геоаналитики, на основе выводов которой управляем парком в каждом из городов присутствия: расставляем самокаты по нужным районам, где они будут востребованы как городской транспорт, следим за уровнем их заряда и технической исправностью
Пользователи не видят эту нашу внутреннюю систему, но видят ее эффект — заряженные самокаты стоят в исправном состоянии и там, где они сейчас нужны.
Ранее Whoosh заявлял о планах оснастить самокаты системой компьютерного зрения. Что она собой представляет и как будет работать?
Мы действительно тестируем эту технологию и способы ее лучшего применения. Модуль компьютерного зрения позволит собирать больше данных и анализировать поездки для обнаружения опасного вождения, научит самокаты определять препятствия и предупреждать о них во время поездки, анализировать тип покрытия, по которому едет самокат: дорога, велодорожка или тротуар. Это возможно благодаря нейронным сетям, которые будут обсчитывать информацию прямо на самокате и сигнализировать человеку, что пора бы притормозить или остановиться.
Мы также работаем над нововведениями для повышения удобства пользования самокатами — в частности, планируем улучшать разработанный нами самокатный навигатор. Например, маршрут должен избегать подземных переходов, потому что электросамокат тяжелее везти по ступенькам, чем велосипед.
Когда парочки ездят вдвоем на одном самокате — это тоже небезопасно. Ваша технология способна распознать такое нарушение дистанционно?
Да, мы разработали и успешно протестировали алгоритм, который позволяет с высокой долей точности определять, что на самокате едут двое или больше людей. Зная среднюю скорость, ускорение и потребляемую мощность, мы можем вычислить массу пользователя, спрогнозировать причины и выстроить максимально эффективно программу предотвращения этих нарушений.
В будущем сезоне мы планируем распространить этот алгоритм на разные города присутствия сервиса и продолжать совершенствовать данные для определения таких поездок. Это важный проект для безопасности пользователей самокатов и окружающих их пешеходов.