Данные были украдены из системы клиентских карт, администрируемой компанией Allium UPI, которая оказывает данную услугу для Apotheka, Apotheka Beauty и Pet City. Сообщение о несанкционированном проникновении в систему поступило в правоохранительные органы в феврале.
На данный момент установлено, что из базы данных Allium UPI были загружены личные коды около 700 000 владельцев клиентских карт Apotheka, Apotheka Beauty и PetCity, более 400 000 адресов электронной почты, около 60 000 домашних адресов и около 30 000 телефонных номеров.
Кроме того, данные позволяют установить, какие безрецептурные лекарства и прочие аптечные товары были куплены в период с 2014 по 2020 год. В общей сложности утечка касается данных о 43 млн покупок. Утечки данных о рецептурных лекарствах и паролях не было.
Allium UPI разошлет персональные уведомления по электронной почте людям, чьи данные были незаконно загружены.
Хакеры получили доступ к данным через резервную копию базы данных.
Глава бюро по борьбе с киберпреступлениями Центральной криминальной полиции Аго Амбур сказал, что целью полиции является выяснить, кто за этим стоит. "С момента обнаружения совершения преступления полиция тесно сотрудничала с разными странами, чтобы по горячим следам установить преступника", - сказал Амбур.
"По имеющейся сейчас у полиции информации, утекшие данные не были использованы в преступных целях, но киберпреступность является международной, и подобные утечки умело используют и другие мошенники. Поэтому мы просим всех быть бдительными, если с Вами свяжется в связи этой утечкой данных кто-нибудь кроме Allium UPI, поскольку мошенники могут сейчас, воспользовавшись ситуацией, попытаться заполучить деньги или данные людей. Allium UPI уведомит о случившемся всех, чьи данные были загружены, но при этом у людей не будут запрашивать дополнительные данные", - добавил он.
Государственный прокурор Вахур Верте отметил, что киберпреступники целенаправленно стремятся заполучить более деликатные данные.
"Люди все больше вынуждены доверять свои данные поставщикам услуг, поскольку цифровой документооборот и хранение данных значительно эффективнее и удобнее бумажного. Поэтому люди верят, что поставщики услуг серьезно относятся к защите их данных. Это доверие легко потерять, но трудно восстановить. Особенно ответственно к кибербезопасности должны относиться компании, которые занимаются обработкой данных о здоровье или других деликатных данных людей", - отметил Верте.
По словам генерального директора Инспекции по защите данных Пилле Лехис, очередной случай взлома базы данных демонстрирует, что защита данных является для предпринимателей второстепенной.
"Компании и учреждения должны серьезно задуматься об увеличении инвестиций для обеспечения безопасности. Ущерб от подобного инцидента не только материальный, а подрывает доверие и репутацию. Мы просим людей в свете данного инцидента критически отнестись также к предоставлению своих персональных данных для клиентских аккаунтов. Предоставленное согласие можно в любой момент отозвать, но предоставленные уже данные окончательно удалить не удастся. Мы должны и сами интересоваться тем, какие данные о нас имеются, в каких целях их собирают, и кто имеет к ним доступ. Данные стали для каждого конкретного человека самой важной и ценной валютой. Торгуйте ими ответственно, потому что ценность этой валюты растет с каждым днем", - сказала Лехис.
Глава отдела по решению инцидентов Департамента государственной инфосистемы (CERT-EE) Вейкко Раазуке пояснил, что кибератака против компании или учреждения часто начинается с захвата аккаунта одного из работников.
"Для получения имени пользователя и пароля преступники могут использовать вредоносную программу, которая устанавливается на компьютер работника через "зараженное" приложение в электронном письме или загруженного из ненадежного источника пиратского программного обеспечения. Для того чтобы преступники не смогли сразу зайти в систему с помощью утекшего пароля, необходимо использовать двухфакторную аутентификацию. Также через Интернет должны быть доступны только необходимые инфосистемы и услуги, которые необходимо обезопасить с помощью VPN или иного решения. К сожалению, из автоматического мониторинга CERT-EE следует, например, что в Эстонии по-прежнему более 1000 удаленных рабочих столов свободно доступны по Интернету", - сказал Раазуке.
Инцидент расследуется в рамках уголовного производства по статье о незаконном получении доступа к компьютерной системе.