Исследователи нашли в открытом доступе базу данных пользователей СДЭК Статьи редакции
Это уже вторая утечка за год, из-за первой клиенты сервиса уже подали иск к нему.
- Об этом сообщили Telegram-каналы компании Infosecurity (входит в Softline) и «Утечки информации» компании DLBI.
- По их информации, данные объединены в три файла. Первый содержит более 160 млн строк с данными об отправлениях — имена, адреса электронной почты, название компании-отправителя, идентификаторы отправителя/получателя, код пункта самовывоза.
- Во втором файле 30 млн строк с данными о физлицах и юрлицах — имена, название компании на русском и английском, телефон, электронная почта, почтовый адрес. В третьем файле 90 млн строк, он содержит телефоны и идентификаторы отправителя/получателя. В СДЭК заявили РБК, что компания проводит внутреннее расследование.
- В конце февраля данные пользователей СДЭК уже оказывались в открытом доступе: две таблицы с именами и фамилиями, номерами телефонов, адресами и другими данными пользователей сервиса. В одном файле было 466 млн строк, во втором — 822 млн. В компании подтверждали взлом, а в мае данные появились на отдельном сайте вместе с информацией «Яндекс.Еды», ГИБДД, ВТБ. В июне клиенты СДЭК подали иск из-за утечки данных.
- Вместе с предыдущей утечкой у СДЭК в сумме утекли данные десятков миллионов клиентов, что может стать «рекордом на российском рынке», заявил РБК руководитель блока специальных сервисов Infosecurity Сергей Трухачев. Прошлая затронула около 19 млн пользователей, новая содержит примерно 24,7 млн номеров телефонов и данные о 30 тысячах контрагентов.
- Минцифры готовит изменения в законопроект о наказаниях за утечки данных пользователей: за первый случай компаниям придётся заплатить фиксированный штраф — его размер будет зависеть от объёма информации, попавшей в открытый доступ. Второй штраф будет оборотным.
0
показов
12K
открытий
Исследователи обнаружили...если бы они сидели в том самом пресловутом ТГ канале, они бы обнаруживали их каждый день. Волосы встают дыбом, когда каждый день пишут про сливы в промышленных масштабах, а в новостные ленты попадают только сливы известных компаний.
Да, жопа полная, при этом еще хотят принять закон о регистрации везде по паспорту или через госуслуги.
Вот как раз регистрацию через госуслуги можно сделать вполне безопасной: на стороне сервиса будет храниться только уникальный токен, который ничего не даст злоумышленнику, он нужен будет только для идентификации товарищем майором в случае необходимости. Если при этом добавить грамотных ограничений (запрос данных по токену только с ip сервиса, которому он выдан), безопасность такой системы можно будет считать вполне приемлемой.
Ну а паспорта уже утекали настолько часто, что незасвеченных паспортов остались единицы.
А потом госуслуги лягут и мы в каменном веке?)
Так по api сервисы так же забирают все данные ФИО, дату рождения, норме телефона, email. И хранят у себя, что бы не подгружать и нагружать api при каждом запросе.
Так что это бесполезно.
Если бы это было так, но с Госуслуг подтягивается ФИО, дата рождения, телефон, мыло и все прочее, что запрашивает сайт, и хранится это потом на сайте в анкете профиля.
Шах и мат аферситы! А, не, только мат.
Ну я и не говорю, что это сделано безопасно. Как я написал, это "можно сделать" безопасным. Например, в профиль подтянуть только имя и email (притом даже email не всегда нужен...). А остальные данные (например, телефон - если нужно связаться с клиентом) запрашивать по необходимости и не сохранять в своей базе. Только маловероятно, что кто-то так будет делать, т.к. клиент может в любой момент отозвать авторизацию на сайте, и сервис уже не сможет контактировать с клиентом. С точки зрения бизнеса это плохо, а вот с точки зрения безопасности такое решение было бы просто великолепным.
Много вещей можно было бы. И электронное голосование можно было бы сделать прозрачно, как много раз предлагали это различные технари. Но никому это не надо, никто не хочет сделать хорошо, все хотят только чего-нибудь украсть)
Ладно уж регистрация по паспорту, наши паспорта и так везде валяются, особенно у собственников авто (гибдд базу теряли), но вот хотят биометрию вводить. Уже, кстати, законы приняли о том, что компании должны биометрию граждан государству передавать (те, которые собирают) при этом разрешение от граждан не требуется. Вот заживем, когда наша биометрия еще валяться везде будет.
А не надо биометрию сдавать. Это добровольно, я принципиально никому биометрию не дам
И я тоже не сдаю и не собираюсь, но вы же понимаете, что добровольность не будет вечной. Скоро введут цифровой рубль, отменят наличку, а там будет простой выбор. Хочешь пользоваться безналом - оставляй биометрию. Не хочешь - дохни с голода.
Да уж лучше биометрия, ну будет 3д лицо и что с того? Если им и как-то воспользуются в другом месте, опровергнуть это можно любой предыдущей транзакцией... А сейчас, с бумажным паспортом, попробуй докажи что ты в Уфе кредит не брал))
На словах это легко, на деле никак не опровергнешь. Вот у знакомого было, ехали с ним в машине, заехали на заправку у нас в МО, и поехали дальше. Через 1.5 часа приходят смс о списании несколько раз по 50к с карты, звонят из банка, говорят, что в данный момент снимают деньги в екатеринбурге - это вы или нет? Нет, конечно. Карту заблокировали, заставили ехать в банк (газпромбанк был) и все, более полугода разбирались что к чему, никому и дела не было, что 1.5 часа назад оплачивали бензин с этой карты в МО, а спустя 1.5 часа снимали деньги с этой же карты в ЕКБ. Чем история закончилась я и не знаю, потому как через полгода мы с челом поругались, общаться перестали, потом разок через год встретились, я спросил для приличия, вернули ли ему деньги, он сказал, что нет. Но может и наврал, тут уж я не знаю.