На онлайн-торговлю пришлось 44 процента утечек данных

В первом полугодии 2025 года на интернет-торговлю пришлось 44% всех зафиксированных утечек данных в России, посчитали "Инфосистемы Джет". Специалисты пришли к выводу, что онлайн-маркеты экономят на информационной безопасности, не считая ее приоритетом. Между тем утечка данных из внутренних систем торговых площадок грозит неприятностями в первую очередь их клиентам.

"После утечки клиентской базы к злоумышленникам попадают персональные данные - ФИО, телефон, адрес, e-mail и тому подобное. Далее эти сведения могут быть использованы различными способами. Например, чтобы "подцепить" клиента при помощи фишинга, спама, рекламы и шантажа. Также можно использовать данные для взлома аккаунта в онлайн-банке, на Госуслугах и других ресурсах", - рассказал "РГ" ведущий инженер IT-компании CorpSoft24 Михаил Сергеев.

Самое неприятное - утечка платежных данных, которые могут быть использованы для кражи денег, указал руководитель направления киберразведки Центра противодействия киберугрозам Innostage SOC CyberART Александр Чернов.

"Базы клиентов онлайн-маркетов содержат не только персональные данные, но и платежную информацию, что делает их привлекательными для атак злоумышленников", - пояснил эксперт.

По словам Сергеева, онлайн-маркеты действительно могут экономить на кибербезопасности, так как защита персональных данных - процесс дорогостоящий. Кроме того, сайты торговых площадок часто используют готовое бесплатное программное обеспечение, которое содержит известные уязвимости. Взломать такой ресурс - дело пяти минут для злоумышленника.

Чернов отметил, что онлайн-маркеты сейчас активно развиваются и интегрируют все новые сервисы для удобства пользователей - платежи, доставку и другие. Это, с одной стороны, еще больше отодвигает для площадок решение вопроса безопасности, с другой - расширяет возможности для кибератак на них.

Как сообщили "РГ" в Роскомнадзоре, в период с 2024-го по 2025 год ведомство зафиксировало 22 случая утечки персональных данных из сервисов онлайн-торговли. Допустившие утечки площадки были оштрафованы на общую сумму свыше 900 тыс. руб.

В мае этого года в России была значительно усилена ответственность за утечку персональных данных. Уличенные в ней коммерческие организации теперь могут быть оштрафованы на сумму от трех до 15 миллионов рублей. Однако доказать, что данные утекли по вине того или иного маркетплейса, и привлечь его к ответственности непросто. На это в беседе с "РГ" указал председатель Московского общества защиты прав потребителей Антон Недзвецкий.

"К нам периодически обращаются люди с жалобами на утечки данных из маркетплейсов, но доказать это невозможно. Как определить, откуда эти персональные данные утекли? Тем более люди сами распространяют их и в маркетплейсах, и в подписочных сервисах. Даже если человек уверяет, что больше нигде не оставлял свои данные, это всегда можно поставить под сомнение", - отметил Недзвецкий.

При этом он подчеркнул, что жаловаться на утечку данных из того или иного онлайн-маркета все равно имеет смысл. При поступлении ряда таких жалоб общество защиты потребителей может обратиться в прокуратуру или Роскомнадзор с просьбой о проверке маркетплейса на утечку данных, а затем подать к нему иск о возмещении ущерба пострадавшим клиентам.

В маркетплейсах не согласны с мнением экспертов о пренебрежении мерами информационной безопасности и утверждают, что предпринимают все необходимое для защиты персональных данных клиентов.

"Непрерывный контроль защищенности инфраструктуры и продуктов компании осуществляется путем проведения регулярных аудитов безопасности и пентестов, а также за счет наличия эффективно работающей программы BugBounty, в рамках которой "белые хакеры" в режиме 24/7 ищут уязвимости за вознаграждение. Также в Wildberries действует отдельная внутренняя команда, основная задача которой - поиск и исправление уязвимостей", - заявили в пресс-службе компании Wildberries & Russ (маркетплейс Wildberries).

Благодаря такому подходу найденные уязвимости, в том числе те, которые потенциально могли бы привести к утечкам данных, оперативно устраняются еще до того, как ими воспользуются злоумышленники, отметили в компании.