Seсurity Lab: в даркнете появилась уязвимость на Pickpoint, она позволяет скачать полную базу клиентов

Как сообщает SecurityLab, в даркнете выставлена на продажу SQLi уязвимость на Pickpoint.ru, которая позволяет скачать полную базу данных клиентов компании, в которой содержится ФИО, даты рождения, телефоны, адреса, эл. почты, хешированные (MD5) пароли и т.п. Возможно обнаруженная уязвимость также использовалась в предыдущей атаке в начале декабря, в результате которой было украдено более 1000 посылок.

0
16 комментариев
Написать комментарий...
PickPoint

По следам кибератаки началась активность мошенников, которые пытаются продать несуществующие данные. PickPoint не имеет в своей базе данных о ФИО, днях рождения и тем более каких-либо персональных паролей пользователей. Эта информация не передаётся нам со стороны интернет-магазинов, для выдачи заказов мы не запрашиваем ее у получателей, личного кабинета у пользователей PickPoint нет. Это провокация со стороны мошенников, которые используют все возможные методы, чтобы нажиться. Все последствия кибератаки были отработаны в декабре прошлого года. По итогам пострадало 198 заказов, которые полностью компенсированы покупателям.

Ответить
Развернуть ветку
Владислав Пасюк

Что значит нет личного кабинета? А это что? История заказов, ФИО, почта, телефон. Даты рождения нет, согласен. НО! Я вписываю фамилию. Сохраняю. Деавторизуюсь. Удаляю приложение. Скачиваю снова и прохожу авторизацию по коду который приходит на мой номер, захожу и вижу в профиле свою фамилию. Ещё раз. Это по Вашему называется "нет личного кабинета и Вы не храните персональные данные"?

Ответить
Развернуть ветку
Денис Демидов

100%, дату Рождения мы вам точно не передаем, хотя емаил передаем.
Кстати, когда вы будете код открывания постамата на емаил дублировать? А то частенько у людей проблемы с телефоном.

Ответить
Развернуть ветку
PickPoint

Денис, спасибо! Код открытия мы высылаем в нотификации на e-mail, если пользователь при оформлении заказа оставил свой e-mail и Вы его передали нам. 

Ответить
Развернуть ветку
Денис Демидов

Отлично, тогда не понятны жалобы людей, видимо и телефон и емаил некоторые передают нам некорректный.

Ответить
Развернуть ветку
Ol Ka

Что-то вокруг них нехорошее. Или внутри обиделся кто-то, или снаружи загрызть пытается.

Говорю прям как старая бабка 😆

Ответить
Развернуть ветку
Денис Демидов

Сбивают цену для продажи сберу?

Ответить
Развернуть ветку
Ol Ka
Ответить
Развернуть ветку
Кирилл Вечкасов - Маркетолог

Почему-то склоняюсь к тому, что кому-то не доплатили за работу. Или заранее работник сделал мульку и забыл о ней.

Ответить
Развернуть ветку
KSA

Pickpoint допустил утечку 4млн клиентов компании, клиенты хранились в в больших тысячелитровых баках.

Ответить
Развернуть ветку
Антон

Накажут программистов?

Ответить
Развернуть ветку
KSA

Это бюджетников можно наказать, а программисты могут и на х*й послать

Ответить
Развернуть ветку
Антон

Я бы послал. Пишите адрес.

Ответить
Развернуть ветку
Константин Алабай

мне тоже кажется , сбивают цену атаками 
скоро их явно кто то купит ! 

Ответить
Развернуть ветку
Andrey Vladimirsky
в даркнете выставлена на продажу SQLi уязвимость на Pickpoint.ru, которая позволяет скачать полную базу данных клиентов компании

Зачем так сложно то? Какой-то набор "сделай сам" для юных хакеров выходит. Почему самим не скачать, и не продавать сразу готовый продукт?

Ответить
Развернуть ветку
Ольга
Автор

Автор в сообщении указал что он скачал базу но она слишком большая и информацию о содержимом представит позже. В целом задача урвать по больше денег, сперва продается уязвимость так как информацией по ней владеют несколько человек. потом уже сама БД (если уже не была продана)

Ответить
Развернуть ветку
13 комментариев
Раскрывать всегда