Исследователи DLBI нашли в открытом доступе, предположительно, базу данных пользователей сайта «Ренессанс Страхования» Статьи редакции
Речь о домене renins.ru.
Дополнено в 23:31.
Пресс-служба «Ренессанс Страхования» прокомментировала vc.ru ситуацию. По её словам, сайт компании подвергся хакерской атаке и попытке взлома одного из разделов — сервиса «еОСАГО». Хакеры не получили доступ к паролям, платёжным и паспортным данным клиентов компании. Потенциально проблема могла затронуть не более 2% клиентской базы.
- Об этом сообщил Telegram-канал «Утечки информации» компании DLBI, которая специализируется на разведке уязвимостей и утечек.
- База состоит из 737 665 строк и содержит ФИО, адреса электронных почт (633,2 тысячи уникальных), телефоны (315,4 тысячи уникальных), хешированные пароли, а также даты регистрации и последнего входа на сайт в период с 14 февраля 2015 года по 31 мая 2023-го.
- Авторы «Утечек информации» проверили несколько случайных email-адресов из базы через форму восстановления пароля — те оказались действительными.
- За первые пять месяцев 2023 года Роскомнадзор получил 177 уведомлений от компаний об утечках — при том, что за четыре месяца 2022-го их было всего 70.
14K
показов
5.8K
открытий
А зачем хранить чувствительные данные в открытом виде и передавать их без шифрования?
Это же, блин, так просто защитить!
еще один гений
Не храни яйца в одной корзине. Мы убираем возможность спуффинга и слива базы
вижу, намек ты не понял
Вижу, ты не занимался никогда архитектурой приложений под 152-ФЗ или GDPR
и слава б-гу.
ЗЫ спуфинг с одной Ф пишется.
ЗЗЫ если ты не понял, все твои шифрования не помогут, когда доступ ко всей инфраструктуре и БД, как в данном случае.
Желаю удачи! Код для полей не хранится в базе
зато хранится на сайте, который эти поля юзеру отдает
ЗЫ сколько умников, развелось, которые даже асма не видели, но думают, что знают невероятное
Ахаха ))) Я тебе прямо его дам, только данных ты не получишь, так как обфускация есть. Из минусов - это увеличивает cost запроса
какая обфускация, что ты несешь?
есть сайт, ест БД.
даже если в БД все шифровано (хотя успехов тебе такое протащить, доп. сервера за свои деньги видимо покупать будешь), то сайт, которые общается с БД, будет все это расшифровывать
очередной открыватель
Я понимаю логику твоего мышления, но не понимаю, почему ты мыслишь парадигмой 2008-2010 годов. )) У тебя есть бинарник, который собой представляет сайт. Удачи тебе в вытаскивании кода. )))
Вытащишь, конечно, но через 10-15 лет это не будет актуальным )
гидру и ИДУ про ты тоже в глаза не видел?
а запустить этот бинарник локально и подсунуть ему твою шифрованную слитую БД тоже невероятно сложно?
зы вот из-за таких специалистов такие новости каждый день
Желаю удачи! Самая большая проблема систем, которые слиты сейчас - это страшное легаси, которое менять никто не хотел.
Поддерживаю Кинолога, вы какую-то околесицу несёте, будто ваше шифрование необратимо. Необратимое шифрование = потеря данных.
Если шифрование обратимо, то там все данные и сопрут.
3-звенка тут волшебного спасения не даёт, о которой вы талдычите.
А кто говорит, что только шифрованием должно ограничиваться? Мер для защиты информации значительно больше.
Я хочу напомнить, что в сливах Я и МРГ были пароли в открытом виде. Поэтому и говорю, что используются дикое легаси.