PickPoint заявил о попытке мошенников заработать на инциденте с открывшимися из-за кибератаки постаматами в 2020 году

Они продают «несуществующие данные», заявила компания.

PickPoint опроверг информацию об утечке данных пользователей в результате кибератаки в декабре 2020 года. В компании сообщили vc.ru, что у них нет доступа к ФИО, дате рождения, телефону и другим данным, которые мошенники продают.

«Эта информация не передаётся нам со стороны интернет-магазинов, для выдачи заказов мы не запрашиваем ее у получателей, личного кабинета у пользователей PickPoint нет», — заявили в компании.

18 января Telegram-канал «Утечки информации» компании DLBI сообщил, что в интернете за $1000 продают SQLi-уязвимость на PickPoint, которая позволяет скачать полную информацию о 4 млн клиентах компании.

4 декабря 2020 года неизвестные атаковали PickPoint — постаматы оператора стали автоматически открывать дверцы. В результате кибератаки из постаматов пропали не более 1 тысячи заказов, заявили в компании.

Как сообщили в PickPoint, после кибератаки началась активность мошенников, «которые используют все возможные методы, чтобы нажиться». В компании добавили, что последствия кибератаки были отработаны в декабре — пострадало всего 198 заказов.

1212
34 комментария

"Эта информация не передаётся нам со стороны интернет-магазинов"
Если никто не передает, то почему бы не убрать соответствующие поля из API при регистрации отправления?)
https://pickpoint.ru/sales/api/#_Toc24018639

10

Комментарий недоступен

33

ФИО они обязаны запрашивать по какому-то закону связанного с борьбой то ли с терроризмом, то ли с педофилией, я уже не помню.
Без телефона код открывания выслать не смогут.

1

Имя получателя — необязательное поле.
Т.е. правильно было бы сказать "необязательно передаётся" или "передаётся не всегда".
По опыту могу сказать что только у Почты России есть строгое требование передавать полные ФИО получателя, у остальных перевозчиков достаточно имени. Так что у ПикПойнта там тоже в основном должны быть имена, без фамилий и отчеств.

Что, конечно, не отменяет того, что их заявление не соответствует действительности.

что у них нет доступа к ФИО, дате рождения, телефону и другим данным

Их api требует передавать ФИО и телефон, но для дня рождения даже поля такого нет, тут они правы, или я чего-то не понял?
RecipientName Имя получателя, строка 150 символов, обязательное полеhttps://pickpoint.ru/sales/api/

4

Похоже, они просто перечислили данные, которые с их точки зрения относятся к персональным, не особо вникая.

1

В Европе уже трусы бы свои продавали лишь бы оплатить штрафы. А в России всем похер была утечка данных или нет.

2