Онлайн-шоппинг давно стал обычным делом: в России десятки миллионов людей ежемесячно оформляют заказы в интернет-магазинах, вводя свои имя, телефон, email и другие персональные данные. Практически каждый такой заказ — это обмен информацией, последствия которого могут превратить обычную доставку в источник финансовых и репутационных потерь. Базы телефонных номеров и других персональных данных сливаются, продаются и используются мошенниками ежедневно. Телефонный номер сегодня это не просто контакт. Это ключ к учетным записям, подтверждениям операций, восстановлению паролей и инструмент социальной инженерии.
По данным аналитиков, в 2025 году зафиксировано 230 новых публичных утечек баз данных российских организаций, при этом суммарный объем строк персональных данных оказался выше, чем годом ранее. Крупные международные кейсы демонстрируют масштаб проблемы: южнокорейский ритейлер сообщил о компрометации 33,7 млн аккаунтов с телефонами и email клиентов. Европейская DIY-платформа столкнулась с утечкой данных 37,8 млн пользователей через уязвимость стороннего поставщика. Это новая норма цифровой экономики. Многие клиенты искренне считают: «Ну и что, утек только номер». Но именно номер чаще всего становится стартовой точкой атаки.
Тип данных и их критичность
Тип данных
Уровень риска
Что реально происходит
Телефонный номер
Высокий
Фишинг, звонки «из банка», атаки на 2FA
Email
Средний
Массовые фишинговые рассылки
ФИО
Средний
Повышение доверия при мошеннических звонках
Адрес доставки
Средний
Давление через сценарии «курьер», «посылка»
Логин и пароль
Критичный
Захват аккаунта
Финансовые данные
Критичный
Прямые потери средств
Как именно сливаются базы интернет-магазинов
Источник для изображения: gettyimages
Продажа баз сотрудниками магазина
Сотрудник с доступом к CRM выгружает таблицу клиентов и продает ее. Иногда это происходит сознательно. Иногда из-за халатности. Недобросовестные менеджеры или администраторы сливают базы клиентов за деньги. Особенно часто это встречается в компаниях с высокой текучкой кадров. Сценарий во многом напоминает обман при заказе услуг фрилансеров, когда доверие к исполнителю оборачивается потерей данных.
Взлом базы интернет-магазина
Уязвимость инфраструктуры: слабые пароли, отсутствие многофакторной аутентификации, открытые API. Взлом не требует сложной кибероперации. Хакеры крадут телефоны и адреса покупателей при слабой защите сайта. Впоследствии данные перепродаются в теневых чатах, как и при мошенничестве с фальшивыми интернет-магазинами, где страдают обычные клиенты.
Фишинговые формы заказа
Пользователь вводит данные на поддельной странице оплаты. Данные уходят напрямую злоумышленнику. Злоумышленники подменяют формы на сайте: покупатель вводит телефон для подтверждения заказа, а данные уходят на сторонний сервер. Это похоже на обман при онлайн-оплате услуг, где поддельные формы собирают реквизиты карт.
Слив через партнёрские сервисы
Маркетинговая платформа, служба рассылок, подрядчик по рекламе. Доступ есть у всех, контроля нет ни у кого. Курьерские службы и маркетинговые платформы также имеют доступ к номерам. При отсутствии контроля именно они становятся источником утечек. По механике это родственно финансовым пирамидам: жертву втягивают под видом «честного сервиса», а на деле используют в своих целях. Сценарии почти всегда повторяются.
В моей практике чаще всего причиной оказывается именно связка из двух факторов: сторонний сервис плюс отсутствие базовой кибергигиены.
Реальная история из практики
Источник для изображения: gettyimages
Название компании и детали изменены
Этот кейс я помню до мелочей. Потому что в нем было все: беспечность, паника, давление и очень неприятные последствия. Средний интернет-магазин электроники. Оборот приличный, реклама агрессивная, клиентов много. Безопасность считалась «второстепенной задачей». Все началось с жалоб покупателей. Сначала единичные сообщения: «После заказа мне позвонили якобы из службы безопасности банка». «Знали, что я только что купил смартфон». «Назвали точную сумму покупки».
Когда таких обращений стало десятки, руководство занервничало. Меня подключили к аудиту.
Что выяснилось
В даркнете уже продавалась база из 75 000 клиентов магазина. В таблице были: • ФИО • телефон • email • город • сумма заказа • дата покупки
Цена базы была символической. Преступникам важно было не заработать на продаже базы, а использовать ее для массовой социальной инженерии.
Точка входа
Анализ логов показал следующее:
Маркетинговая платформа имела прямой доступ к базе клиентов через API. API-ключ не менялся более двух лет. Двухфакторной аутентификации не было. Мониторинга аномальной активности не было.
Доступ был получен через компрометацию аккаунта сотрудника подрядчика. После этого злоумышленники спокойно выгрузили базу несколькими частями, чтобы не вызвать подозрений. Никто этого даже не заметил.
Что произошло с клиентами
После утечки началась волна целевых звонков. Мошенники не звонили наугад. Они говорили: «Вы недавно покупали технику в интернет-магазине…» «Сумма 48 990 рублей, верно?»
Доверие формировалось мгновенно. Несколько клиентов сообщили о списаниях после передачи кодов из SMS. Один случай закончился оформлением кредита через дистанционный сервис после серии психологических звонков. Это цепная реакция.
И самое болезненное — утрата доверия постоянных клиентов.
Что можно было сделать заранее
Внедрить многофакторную аутентификацию для всех сервисов. Ограничить права доступа по принципу минимальной необходимости. Включить мониторинг подозрительной активности. Использовать маскирование данных для сторонних систем Регулярно проводить аудит безопасности. Эти меры стоят дешевле, чем репутационный кризис.
Как защититься
Источник для изображения: gettyimages
Я работаю с инцидентами информационной безопасности более десяти лет и регулярно сталкиваюсь с последствиями утечек в реальном бизнесе. Практика показывает:
• 80 процентов инцидентов связаны с человеческим фактором; • в большинстве случаев защита могла быть усилена базовыми мерами; • последствия для клиентов почти всегда тяжелее, чем предполагает бизнес.
В материалах я опираюсь на открытые аналитические данные, нормативные акты РФ и реальный опыт расследования инцидентов. Тема утечек данных напрямую влияет на финансовую безопасность людей, поэтому любые выводы должны быть основаны на фактах, а не на предположениях.
Признаки обмана
Подозрительные звонки после интернет-покупки.
Массовый спам с «выгодными предложениями».
Слишком много данных требует магазин: паспорт, место работы, семейное положение.
Отсутствие политики конфиденциальности и HTTPS на сайте.
Как защититься?
Используйте отдельный номер или виртуальную SIM-карту для онлайн-покупок.
Проверяйте репутацию магазина и наличие защиты сайта.
Не передавайте лишних данных: для заказа одежды не нужен паспорт.
Устанавливайте антиспам-приложения и проверяйте звонки через GetScam.com.
• обеспечивать безопасность персональных данных; • предотвращать несанкционированный доступ; • применять организационные и технические меры защиты; • уведомлять Роскомнадзор об инцидентах.
Контроль осуществляет Роскомнадзор. За нарушение требований возможны административные штрафы по КоАП РФ, а в отдельных случаях — гражданско-правовая ответственность и судебные иски со стороны пострадавших.
Итоговый анализ эксперта и прогноз до 2027 года
Источник для изображения: gettyimages
За годы работы я пришел к неприятному, но честному выводу: утечка клиентской базы — это не «форс-мажор» и не коварный взлом гениев из даркнета. В подавляющем большинстве случаев это управленческая халатность, слабая архитектура доступа и недооценка ценности персональных данных. Телефон клиента, его email, история покупок — это не технические строки в таблице. Это цифровой профиль человека. И когда он оказывается в чужих руках, последствия выходят далеко за рамки спама. Начинаются точечные атаки, психологическое давление, кредитные схемы, имитация банковских звонков. Утечка становится не событием, а триггером цепочки мошеннических сценариев.
Компании часто думают, что основной актив — товар, логистика или маркетинг. На практике главным активом становится база клиентов. И именно она оказывается самой плохо защищенной. Отсутствие многофакторной аутентификации, контроль доступа «для всех своих», старые API-ключи, слепое доверие подрядчикам — все это не технологические ошибки. Это просчеты в культуре безопасности.
Если смотреть шире, мы наблюдаем системный сдвиг. Объем утечек растет, а атаки становятся более персонализированными. Социальная инженерия уже не строится на случайных звонках. Она строится на конкретных данных: сумме заказа, дате покупки, городе клиента. Это качественно другой уровень давления.
К 2027 году ситуация станет жестче. Я ожидаю:
• усиление атак через цепочку подрядчиков и маркетинговых платформ; • рост таргетированных схем, основанных на поведенческих профилях покупателей; • ужесточение ответственности за нарушения законодательства о персональных данных; • повышение требований к прозрачности обработки и хранения PII; • рост затрат бизнеса на реагирование вместо профилактики.
Компании, которые не выстроят зрелую систему информационной безопасности, будут терять не только деньги. Они будут терять доверие. А доверие в цифровой среде восстанавливается крайне медленно. Для клиентов главный вывод тоже прост: ни один интернет-магазин не гарантирует абсолютную защиту. Поэтому цифровая гигиена становится личной ответственностью. Двухфакторная аутентификация, осторожность при звонках, контроль уведомлений банка — это уже не рекомендации, а базовый минимум.
Утечка данных — это не катастрофа, если к ней готовы. Но это кризис, если надеяться, что «пронесет».
❗️ Материал носит исключительно информационный характер и не является юридической консультацией.
Частые вопросы
1. Если утек только телефон, это опасно?
Да. Телефон — это точка входа в большинство цифровых сервисов. Через него подтверждаются операции, восстанавливаются пароли, подключается двухфакторная аутентификация. При наличии истории покупок мошенники выстраивают убедительную легенду и используют социальную инженерию. Опасность не в самом номере, а в контексте вокруг него.
2. Как понять, что мои данные уже в утечке?
Признаки косвенные, но показательные: • внезапный рост целевых звонков после покупки; • звонящий знает сумму заказа или дату покупки; • приходят SMS «о возврате средств» именно после оплаты.
Проверить свои данные можно через специализированные сервисы мониторинга утечек, а также следить за официальными уведомлениями компаний. Ответственный оператор обязан информировать субъектов персональных данных о факте инцидента.
3. Кто отвечает за утечку — магазин или подрядчик?
По российскому законодательству ответственность несет оператор персональных данных, то есть компания, которая собирает и обрабатывает данные клиента. Даже если утечка произошла через подрядчика, ответственность полностью не снимается.
4. Можно ли требовать компенсацию?
Да, при наличии ущерба можно требовать компенсацию морального и материального вреда через суд. Практика в РФ развивается, и подобные дела уже рассматриваются.
Признанный эксперт в области кибербезопасности с более чем 10-летним опытом. В своей профессиональной деятельности он специализируется на выявлении интернет-мошенничества, анализе цифровых угроз и разработке эффективных стратегий защиты пользователей в онлайн-среде. Он регулярно публикует аналитические материалы, основанные на проверенных источниках и актуальных исследованиях в сфере информационной безопасности. Цель работы Дениса и команды GetScam — повышение цифровой грамотности и обеспечение прозрачности в вопросах киберугроз. Мы стремимся сделать интернет-пространство безопаснее, предоставляя читателям достоверную информацию, рекомендации по защите личных данных и инструменты для распознавания мошенников.
.jpg)
