В киберканалах появилась ссылка на дамп данных сервиса «Мах». Хакеры заявляют о ~47 000 000 записей. Компания официально не опубликовала полный разбор инцидента; регуляторы готовят проверку. Корректно формулировать: «в сеть выложен дамп, хакеры утверждают…; масштабы и состав данных уточняются».
Что, по описанию дампа, могло попасть наружу
— ФИО/никнеймы, e-mail, телефоны, дата регистрации.
— Токены/ID сессий, отпечатки устройств, технические логи.
— История заказов/доставок, адреса (если сервис их хранил).
— Пароли обычно хранятся хешированными; если использовались слабые алгоритмы или повторные пароли — риск высок.
— Платёжные данные: по стандарту PCI DSS сервисы не хранят полный номер карты/СVV; чаще — токены/маски. Но профильные сведения (кто, где, когда платил) всё равно повышают риски фрода.
(Конкретный состав подтвердит только официальное уведомление компании/экспертиза.)
Какие риски для пользователей
- Фишинг и социнженерия: звонки/письма «от поддержки Мах» с просьбой назвать код.
- Смена пароля злоумышленником и захват аккаунта через токены/повтор пароля.
- SIM-swap (перевыпуск SIM на ваш номер) → захват банков/мессенджеров.
- Сбор «досье»: таргет-мошенничество по адресам/заказам.
Что сделать прямо сейчас (чек-лист, 8 шагов)
- Сменить пароль на «Мах» и везде, где он совпадает; включить 2FA (приложение, не SMS).
- Выйти из всех сессий (logout all) в приложении/вебе.
- В почте/мессенджерах завести правило: не открывать ссылки из «службы поддержки», заходить в «Мах» только вручную.
- В банке: включить подтверждения операций, лимиты на переводы, запрет быстрых переводов по незнакомым получателям.
- У оператора связи — поставить запрет дистанционного перевыпуска SIM.
- Проверить «утечки»: e-mail/телефон на сервисах проверки утечек; при совпадении — усилить безопасность (уникальные пароли в менеджере паролей).
- Просмотреть подписки/списания, отключить лишнее; включить уведомления о входах/покупках.
- Сохранить скриншоты подозрительных писем/звонков — пригодится для заявления.
Что должна сделать компания (и на что вправе рассчитывать пользователи)
- Инвалидировать токены, принудительно разлогинить всех, форсировать смену паролей.
- Ротировать API-ключи, OAuth-секреты, закрыть публичные бакеты/отладочные интерфейсы.
- Разослать прозрачное уведомление: какие поля затронуты, за какой период, кого касается, что предпринято.
- По 152-ФЗ: уведомить Роскомнадзор в 24 часа, через 72 часа — отправить результат внутреннего расследования и меры. Пользователям должны предложить рекомендации по защите.
Если ущерб уже есть
— Блокируйте карты/кошельки, оспаривайте операции, подавайте заявление в полицию (киберстатья), фиксируйте факты (логи входов, письма, номера телефонов).
— При захвате e-mail/аккаунтов — восстановление по резервной почте/приложению-аутентификатору, отзыв всех активных сессий.
#утечкаданных #кибербезопасность #Мах #персональныеданные #фишинг