Исследователи DLBI нашли в открытом доступе, предположительно, базу данных пользователей сайта «Ренессанс Страхования» Статьи редакции
Речь о домене renins.ru.
Дополнено в 23:31.
Пресс-служба «Ренессанс Страхования» прокомментировала vc.ru ситуацию. По её словам, сайт компании подвергся хакерской атаке и попытке взлома одного из разделов — сервиса «еОСАГО». Хакеры не получили доступ к паролям, платёжным и паспортным данным клиентов компании. Потенциально проблема могла затронуть не более 2% клиентской базы.
- Об этом сообщил Telegram-канал «Утечки информации» компании DLBI, которая специализируется на разведке уязвимостей и утечек.
- База состоит из 737 665 строк и содержит ФИО, адреса электронных почт (633,2 тысячи уникальных), телефоны (315,4 тысячи уникальных), хешированные пароли, а также даты регистрации и последнего входа на сайт в период с 14 февраля 2015 года по 31 мая 2023-го.
- Авторы «Утечек информации» проверили несколько случайных email-адресов из базы через форму восстановления пароля — те оказались действительными.
- За первые пять месяцев 2023 года Роскомнадзор получил 177 уведомлений от компаний об утечках — при том, что за четыре месяца 2022-го их было всего 70.
14K
показов
5.8K
открытий
А зачем хранить чувствительные данные в открытом виде и передавать их без шифрования?
Это же, блин, так просто защитить!
Ну допустим в скриптах личного кабинета ошибка, которая позволяет передать какой-нибудь параметр, что бы авторизоваться под клиентом по его ID. Хакер просто спарсивает данные со страниц личного кабинета и складывают в свою базу. Как в это ситуации поможет хранение в зашифрованном виде, если на сайте все равно все должно отображаться в открытом виде?)
Inpersonate? По-моему, это давно успешно решается многими корпорациями.