Исследователи нашли в открытом доступе базу данных пользователей СДЭК Статьи редакции
Это уже вторая утечка за год, из-за первой клиенты сервиса уже подали иск к нему.
- Об этом сообщили Telegram-каналы компании Infosecurity (входит в Softline) и «Утечки информации» компании DLBI.
- По их информации, данные объединены в три файла. Первый содержит более 160 млн строк с данными об отправлениях — имена, адреса электронной почты, название компании-отправителя, идентификаторы отправителя/получателя, код пункта самовывоза.
- Во втором файле 30 млн строк с данными о физлицах и юрлицах — имена, название компании на русском и английском, телефон, электронная почта, почтовый адрес. В третьем файле 90 млн строк, он содержит телефоны и идентификаторы отправителя/получателя. В СДЭК заявили РБК, что компания проводит внутреннее расследование.
- В конце февраля данные пользователей СДЭК уже оказывались в открытом доступе: две таблицы с именами и фамилиями, номерами телефонов, адресами и другими данными пользователей сервиса. В одном файле было 466 млн строк, во втором — 822 млн. В компании подтверждали взлом, а в мае данные появились на отдельном сайте вместе с информацией «Яндекс.Еды», ГИБДД, ВТБ. В июне клиенты СДЭК подали иск из-за утечки данных.
- Вместе с предыдущей утечкой у СДЭК в сумме утекли данные десятков миллионов клиентов, что может стать «рекордом на российском рынке», заявил РБК руководитель блока специальных сервисов Infosecurity Сергей Трухачев. Прошлая затронула около 19 млн пользователей, новая содержит примерно 24,7 млн номеров телефонов и данные о 30 тысячах контрагентов.
- Минцифры готовит изменения в законопроект о наказаниях за утечки данных пользователей: за первый случай компаниям придётся заплатить фиксированный штраф — его размер будет зависеть от объёма информации, попавшей в открытый доступ. Второй штраф будет оборотным.
0
показов
12K
открытий
Исследователи обнаружили...если бы они сидели в том самом пресловутом ТГ канале, они бы обнаруживали их каждый день. Волосы встают дыбом, когда каждый день пишут про сливы в промышленных масштабах, а в новостные ленты попадают только сливы известных компаний.
Да, жопа полная, при этом еще хотят принять закон о регистрации везде по паспорту или через госуслуги.
Вот как раз регистрацию через госуслуги можно сделать вполне безопасной: на стороне сервиса будет храниться только уникальный токен, который ничего не даст злоумышленнику, он нужен будет только для идентификации товарищем майором в случае необходимости. Если при этом добавить грамотных ограничений (запрос данных по токену только с ip сервиса, которому он выдан), безопасность такой системы можно будет считать вполне приемлемой.
Ну а паспорта уже утекали настолько часто, что незасвеченных паспортов остались единицы.
Если бы это было так, но с Госуслуг подтягивается ФИО, дата рождения, телефон, мыло и все прочее, что запрашивает сайт, и хранится это потом на сайте в анкете профиля.
Ну я и не говорю, что это сделано безопасно. Как я написал, это "можно сделать" безопасным. Например, в профиль подтянуть только имя и email (притом даже email не всегда нужен...). А остальные данные (например, телефон - если нужно связаться с клиентом) запрашивать по необходимости и не сохранять в своей базе. Только маловероятно, что кто-то так будет делать, т.к. клиент может в любой момент отозвать авторизацию на сайте, и сервис уже не сможет контактировать с клиентом. С точки зрения бизнеса это плохо, а вот с точки зрения безопасности такое решение было бы просто великолепным.
Много вещей можно было бы. И электронное голосование можно было бы сделать прозрачно, как много раз предлагали это различные технари. Но никому это не надо, никто не хочет сделать хорошо, все хотят только чего-нибудь украсть)