Онлайн-шоппинг давно стал обычным делом: в России десятки миллионов людей ежемесячно оформляют заказы в интернет-магазинах, вводя свои имя, телефон, email и другие персональные данные. Практически каждый такой заказ — это обмен информацией, последствия которого могут превратить обычную доставку в источник финансовых и репутационных потерь. Базы телефонных номеров и других персональных данных сливаются, продаются и используются мошенниками ежедневно. Телефонный номер сегодня это не просто контакт. Это ключ к учетным записям, подтверждениям операций, восстановлению паролей и инструмент социальной инженерии.
По данным аналитиков, в 2025 году зафиксировано 230 новых публичных утечек баз данных российских организаций, при этом суммарный объем строк персональных данных оказался выше, чем годом ранее. Крупные международные кейсы демонстрируют масштаб проблемы: южнокорейский ритейлер сообщил о компрометации 33,7 млн аккаунтов с телефонами и email клиентов. Европейская DIY-платформа столкнулась с утечкой данных 37,8 млн пользователей через уязвимость стороннего поставщика. Это новая норма цифровой экономики. Многие клиенты искренне считают: «Ну и что, утек только номер». Но именно номер чаще всего становится стартовой точкой атаки.
Тип данных и их критичность
Как именно сливаются базы интернет-магазинов
Источник для изображения: gettyimages
Продажа баз сотрудниками магазина
Сотрудник с доступом к CRM выгружает таблицу клиентов и продает ее. Иногда это происходит сознательно. Иногда из-за халатности. Недобросовестные менеджеры или администраторы сливают базы клиентов за деньги. Особенно часто это встречается в компаниях с высокой текучкой кадров. Сценарий во многом напоминает обман при заказе услуг фрилансеров, когда доверие к исполнителю оборачивается потерей данных.
Взлом базы интернет-магазина
Уязвимость инфраструктуры: слабые пароли, отсутствие многофакторной аутентификации, открытые API. Взлом не требует сложной кибероперации. Хакеры крадут телефоны и адреса покупателей при слабой защите сайта. Впоследствии данные перепродаются в теневых чатах, как и при мошенничестве с фальшивыми интернет-магазинами, где страдают обычные клиенты.
Фишинговые формы заказа
Пользователь вводит данные на поддельной странице оплаты. Данные уходят напрямую злоумышленнику. Злоумышленники подменяют формы на сайте: покупатель вводит телефон для подтверждения заказа, а данные уходят на сторонний сервер. Это похоже на обман при онлайн-оплате услуг, где поддельные формы собирают реквизиты карт.
Слив через партнёрские сервисы
Маркетинговая платформа, служба рассылок, подрядчик по рекламе. Доступ есть у всех, контроля нет ни у кого. Курьерские службы и маркетинговые платформы также имеют доступ к номерам. При отсутствии контроля именно они становятся источником утечек. По механике это родственно финансовым пирамидам: жертву втягивают под видом «честного сервиса», а на деле используют в своих целях. Сценарии почти всегда повторяются.
В моей практике чаще всего причиной оказывается именно связка из двух факторов: сторонний сервис плюс отсутствие базовой кибергигиены.
Реальная история из практики
Источник для изображения: gettyimages
Название компании и детали изменены
Этот кейс я помню до мелочей. Потому что в нем было все: беспечность, паника, давление и очень неприятные последствия. Средний интернет-магазин электроники. Оборот приличный, реклама агрессивная, клиентов много. Безопасность считалась «второстепенной задачей». Все началось с жалоб покупателей. Сначала единичные сообщения:
«После заказа мне позвонили якобы из службы безопасности банка».
«Знали, что я только что купил смартфон».
«Назвали точную сумму покупки».
Когда таких обращений стало десятки, руководство занервничало. Меня подключили к аудиту.
Что выяснилось
В даркнете уже продавалась база из 75 000 клиентов магазина. В таблице были:
• ФИО
• телефон
• email
• город
• сумма заказа
• дата покупки
Цена базы была символической. Преступникам важно было не заработать на продаже базы, а использовать ее для массовой социальной инженерии.
Точка входа
Анализ логов показал следующее:
Маркетинговая платформа имела прямой доступ к базе клиентов через API.
API-ключ не менялся более двух лет.
Двухфакторной аутентификации не было.
Мониторинга аномальной активности не было.
Доступ был получен через компрометацию аккаунта сотрудника подрядчика. После этого злоумышленники спокойно выгрузили базу несколькими частями, чтобы не вызвать подозрений. Никто этого даже не заметил.
Что произошло с клиентами
После утечки началась волна целевых звонков. Мошенники не звонили наугад. Они говорили:
«Вы недавно покупали технику в интернет-магазине…»
«Сумма 48 990 рублей, верно?»
Доверие формировалось мгновенно. Несколько клиентов сообщили о списаниях после передачи кодов из SMS. Один случай закончился оформлением кредита через дистанционный сервис после серии психологических звонков. Это цепная реакция.
Последствия для бизнеса
• Потеря репутации
• Падение повторных продаж
• Проверка Роскомнадзора
• Экстренный аудит инфраструктуры
• Срочное внедрение MFA
• Увольнение части персонала
И самое болезненное — утрата доверия постоянных клиентов.
Что можно было сделать заранее
Внедрить многофакторную аутентификацию для всех сервисов. Ограничить права доступа по принципу минимальной необходимости. Включить мониторинг подозрительной активности. Использовать маскирование данных для сторонних систем Регулярно проводить аудит безопасности. Эти меры стоят дешевле, чем репутационный кризис.
Уточнить данные о человеке по всем доступным государственным базам
GETSCAM| Проверка Граждан РФ по открытым базам данных: МВД, ФМС, ФНС, ФССП, ГИС ГМП, ФНП, ЕФРСБ, ГИБДД и других государственных органов.
Как защититься
Источник для изображения: gettyimages
Я работаю с инцидентами информационной безопасности более десяти лет и регулярно сталкиваюсь с последствиями утечек в реальном бизнесе. Практика показывает:
• 80 процентов инцидентов связаны с человеческим фактором;
• в большинстве случаев защита могла быть усилена базовыми мерами;
• последствия для клиентов почти всегда тяжелее, чем предполагает бизнес.
В материалах я опираюсь на открытые аналитические данные, нормативные акты РФ и реальный опыт расследования инцидентов. Тема утечек данных напрямую влияет на финансовую безопасность людей, поэтому любые выводы должны быть основаны на фактах, а не на предположениях.
Признаки обмана
- Подозрительные звонки после интернет-покупки.
- Массовый спам с «выгодными предложениями».
- Слишком много данных требует магазин: паспорт, место работы, семейное положение.
- Отсутствие политики конфиденциальности и HTTPS на сайте.
Как защититься?
- Используйте отдельный номер или виртуальную SIM-карту для онлайн-покупок.
- Проверяйте репутацию магазина и наличие защиты сайта.
- Не передавайте лишних данных: для заказа одежды не нужен паспорт.
- Устанавливайте антиспам-приложения и проверяйте звонки через GetScam.com.
- Следите за утечками и вовремя меняйте контакты.
Юридический аспект в РФ: что говорит закон
Источник для изображения: gettyimages
В России обработка персональных данных регулируется Федеральным законом № 152-ФЗ «О персональных данных». Ключевые требования к операторам:
• обеспечивать безопасность персональных данных;
• предотвращать несанкционированный доступ;
• применять организационные и технические меры защиты;
• уведомлять Роскомнадзор об инцидентах.
Контроль осуществляет Роскомнадзор. За нарушение требований возможны административные штрафы по КоАП РФ, а в отдельных случаях — гражданско-правовая ответственность и судебные иски со стороны пострадавших.
Итоговый анализ эксперта и прогноз до 2027 года
Источник для изображения: gettyimages
За годы работы я пришел к неприятному, но честному выводу: утечка клиентской базы — это не «форс-мажор» и не коварный взлом гениев из даркнета. В подавляющем большинстве случаев это управленческая халатность, слабая архитектура доступа и недооценка ценности персональных данных. Телефон клиента, его email, история покупок — это не технические строки в таблице. Это цифровой профиль человека. И когда он оказывается в чужих руках, последствия выходят далеко за рамки спама. Начинаются точечные атаки, психологическое давление, кредитные схемы, имитация банковских звонков. Утечка становится не событием, а триггером цепочки мошеннических сценариев.
Компании часто думают, что основной актив — товар, логистика или маркетинг. На практике главным активом становится база клиентов. И именно она оказывается самой плохо защищенной. Отсутствие многофакторной аутентификации, контроль доступа «для всех своих», старые API-ключи, слепое доверие подрядчикам — все это не технологические ошибки. Это просчеты в культуре безопасности.
Если смотреть шире, мы наблюдаем системный сдвиг. Объем утечек растет, а атаки становятся более персонализированными. Социальная инженерия уже не строится на случайных звонках. Она строится на конкретных данных: сумме заказа, дате покупки, городе клиента. Это качественно другой уровень давления.
К 2027 году ситуация станет жестче. Я ожидаю:
• усиление атак через цепочку подрядчиков и маркетинговых платформ;
• рост таргетированных схем, основанных на поведенческих профилях покупателей;
• ужесточение ответственности за нарушения законодательства о персональных данных;
• повышение требований к прозрачности обработки и хранения PII;
• рост затрат бизнеса на реагирование вместо профилактики.
Компании, которые не выстроят зрелую систему информационной безопасности, будут терять не только деньги. Они будут терять доверие. А доверие в цифровой среде восстанавливается крайне медленно. Для клиентов главный вывод тоже прост: ни один интернет-магазин не гарантирует абсолютную защиту. Поэтому цифровая гигиена становится личной ответственностью. Двухфакторная аутентификация, осторожность при звонках, контроль уведомлений банка — это уже не рекомендации, а базовый минимум.
Утечка данных — это не катастрофа, если к ней готовы. Но это кризис, если надеяться, что «пронесет».
❗️ Материал носит исключительно информационный характер и не является юридической консультацией.