Seсurity Lab: в даркнете появилась уязвимость на Pickpoint, она позволяет скачать полную базу клиентов
Как сообщает SecurityLab, в даркнете выставлена на продажу SQLi уязвимость на Pickpoint.ru, которая позволяет скачать полную базу данных клиентов компании, в которой содержится ФИО, даты рождения, телефоны, адреса, эл. почты, хешированные (MD5) пароли и т.п. Возможно обнаруженная уязвимость также использовалась в предыдущей атаке в начале декабря, в результате которой было украдено более 1000 посылок.
15
показов
2.2K
открытий
По следам кибератаки началась активность мошенников, которые пытаются продать несуществующие данные. PickPoint не имеет в своей базе данных о ФИО, днях рождения и тем более каких-либо персональных паролей пользователей. Эта информация не передаётся нам со стороны интернет-магазинов, для выдачи заказов мы не запрашиваем ее у получателей, личного кабинета у пользователей PickPoint нет. Это провокация со стороны мошенников, которые используют все возможные методы, чтобы нажиться. Все последствия кибератаки были отработаны в декабре прошлого года. По итогам пострадало 198 заказов, которые полностью компенсированы покупателям.
Что значит нет личного кабинета? А это что? История заказов, ФИО, почта, телефон. Даты рождения нет, согласен. НО! Я вписываю фамилию. Сохраняю. Деавторизуюсь. Удаляю приложение. Скачиваю снова и прохожу авторизацию по коду который приходит на мой номер, захожу и вижу в профиле свою фамилию. Ещё раз. Это по Вашему называется "нет личного кабинета и Вы не храните персональные данные"?
100%, дату Рождения мы вам точно не передаем, хотя емаил передаем.
Кстати, когда вы будете код открывания постамата на емаил дублировать? А то частенько у людей проблемы с телефоном.
Денис, спасибо! Код открытия мы высылаем в нотификации на e-mail, если пользователь при оформлении заказа оставил свой e-mail и Вы его передали нам.
Отлично, тогда не понятны жалобы людей, видимо и телефон и емаил некоторые передают нам некорректный.
Что-то вокруг них нехорошее. Или внутри обиделся кто-то, или снаружи загрызть пытается.
Говорю прям как старая бабка 😆
Сбивают цену для продажи сберу?
Почему-то склоняюсь к тому, что кому-то не доплатили за работу. Или заранее работник сделал мульку и забыл о ней.
Pickpoint допустил утечку 4млн клиентов компании, клиенты хранились в в больших тысячелитровых баках.
Накажут программистов?
Это бюджетников можно наказать, а программисты могут и на х*й послать
Я бы послал. Пишите адрес.
мне тоже кажется , сбивают цену атаками
скоро их явно кто то купит !
Зачем так сложно то? Какой-то набор "сделай сам" для юных хакеров выходит. Почему самим не скачать, и не продавать сразу готовый продукт?
Автор в сообщении указал что он скачал базу но она слишком большая и информацию о содержимом представит позже. В целом задача урвать по больше денег, сперва продается уязвимость так как информацией по ней владеют несколько человек. потом уже сама БД (если уже не была продана)