OneTwoTrip подтвердил уязвимость, раскрывшую данные о пользователях сервиса

Исследователи говорят, что в открытом доступе оказались данные о паспортах, платёжной информации и другие. По данным компании — только об активности некоторых пользователей.

  • Об открытой базе данных OneTwoTrip написал в Twitter исследователь информационной безопасности Боб Дьяченко. По его словам, в открытом доступе оказались данные об электронной почте, именах, паспортах, телефонах, платёжной информации, путешествиях и пароли.
  • По словам Дьяченко, технический директор OneTwoTrip объяснил это «изменением, которое внесли несколько дней назад, нарушившим правила firewall и спровоцировавшим открытие порта».
  • В OneTwoTrip подтвердили vc.ru уязвимость, но уточнили, что она не затронула данные для входа в личный кабинет и информацию о банковских картах.

Присутствовала уязвимость, мы её устранили. База с клиентскими данными не была уязвима. Уязвимость касалась данных об активности части пользователей сервиса в непродолжительный период времени. Сейчас данным клиентов ничего не угрожает, на текущий момент мы фиксируем, что утечки персональных данных клиентов OneTwoTrip нет. Мы усилим меры по мониторингу защиты всех наших систем.

OneTwoTrip
  • В компании не раскрыли количество пользователей, которых коснулась утечка. Но сервис принимает вопросы от клиентов на infosecurity@onetwotrip.com.
  • Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей. Три коллективных иска из-за утечек подали клиенты «Яндекс Еды», один — клиенты СДЭКа. В августе Минцифры предложило создать спецфонд для компенсаций пострадавшим от слива данных.

По этой теме писал Hakhagmon.

1111
30 комментариев

о нет, только не эти гигантские штрафы

11

"Изменения нарушили правила фаервола и спровоцировали открытие порта" - смешно ))) И один открытый порт, привёл к возможности расширить права до такого доступа? )) где вилка, макароны с ушей падают, дайте поправлю, пиздит накидывая не краснея )

8

Комментарий недоступен

5

Порт открыли, а вход в базу с с логином и паролем 'admin'/'qwerty'. Вот и решили, что уязвимость в порте.

Интересно - какая именно база висела внутри сети без аутентификации. Монга?

"Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей."- какие штрафы большие,наши данные стоят копейки

3