Elasticsearch сервер онлайн-сервиса OneTwoTrip, для организации путешествий, был не правильно настроен. Из-за чего в открытом доступе оказалась информацией о клиентах компании.
Исследователь безопасности Боб Дьяченко утверждает, что в открытый доступ попала база данных всех пользователей системы бронирования билетов Onetwotrip, включая электронную почту, имена, паспорта, телефону, частичную информацию об оплате, данные путешествий и пароли.
Технический директор OneTwoTrip подтвердил инцидент, обвиняя «изменение», которое они внесли несколько дней назад, «которое нарушило правила firewall и привело к открытию порта».
Точное количество утекших данных неизвестно, но предположительно 7 млн пользователей
246
показов
3.1K
открытий
1
репост
Ну все, 60 тысяч в казну полетят
эх, эти жестокие законы, разорят бедные компании
Уже на сбор на плене запустили небось
Господа один вопрос? На кой буй вообще такие данные в онлайн режиме хранить?
а как в онлайн сервисе хранить данные, на бумаге?)
оператор ПД должен хранить данные на своих серверах, но горе-бизнесмены об этом не знают.
1) не на своих, а в своей юрисдикции
2) эти данные выгружаются в реальном времени пользователям, то есть они не "для внутреннего использования" (как например, какая-нибудь бухгалтерия)
Комментарий недоступен
эластиксерч self-hosted у них на серверах
Комментарий недоступен
Если обеспечены правила доступа к данным, сертификация интересно каких облачных решений у нас в России прошла для хранения персональных данных?) как облака. Но всем пофигу пока штраф 60к
Любой вменяемый поставщик облачных серверов/сервисов давно уже умеет в ФЗ 152
https://selectel.ru/solutions/pdps/
https://1cloud.ru/services/fz-152
https://cloud.yandex.ru/solutions/152-fz
https://mcs.mail.ru/solutions/152-fz/
https://lancloud.ru/novosti/zaklyuchenie-o-sootvetstvii-fz-152-o-personalnykh-dannykh/
https://www.lankey.ru/company/press-centr/news/all/the-lancloud-cloud-has-received-a-conclusion-on-compliance-with-federal-law-152-on-personal-data/
https://www.xelent.ru/services/oblako-152-fz/
https://help.reg.ru/hc/ru/articles/4408054689425
Забавно, интересно как они этого добились. Но спасибо
эластик серч - поисковый инструмент. когда у вас данных больше 1000 строк - в эксельке на кампуктере уже не похранишь особо
Он не про это пишет. Почему их эластик доступен из инета?
Скажи это FM Logistic))
Комментарий недоступен
Когда сделали поле email обязательным, а пользователи по телефону регистрируются) классический велосипед - номер_телефона @ что_угодно.ком
Комментарий недоступен
Пароли, надеюсь, в зашифрованном виде. За всё остальное тоже обидно
Это сервер полнотекстового поиска, там не может быть паролей. Хотя судя по тому, что они хранили значение всех полей в индексе с них станется.
все от задачи зависит) дай маркетологам доступ к паролям - придумают какое-нибудь сегментирование на этом основании
В свое время в спортмастере пароли в открытом виде в логах лежали. И логи, что забавно, тоже в эластике хранились. Лет пять такое продолжалось. Всем пофиг было
Что значит не может быть? Может быть еще как.
Что-то я не могу представить, зачем индексировать пароли. Причем, очевидно, их нельзя стеммировать и они будут лежать в неизменном виде в файлах индекса.
Если у них ES напрямую в интернет выпущен, кто знает, что у них в головах.
Карма за невозврат денежных средств.
Комментарий недоступен
Классика, сколько уже всего таким образом из эластика утекло.
Комментарий недоступен
А как понять есть ли мои данные там?
С полным списком доступных индексов БД можно ознакомится по ссылке https://app.binaryedge.io/services/query/23.105.239.100
после утечек Яндекс еды и Деливери вас это еще волнует?
Да, на вантутрипе паспортные данные хранились. В яндекс еде вроде тока адрес доставки и телефон утекли.
Ну зае..сь, чо.
Я же правильно понимаю, что стоит зарубежной компании заявить, что они воспользовались этими данными, и 60к превратятся в гос измену или что-то такое же крупное?