OneTwoTrip подтвердил уязвимость, раскрывшую данные о пользователях сервиса
Исследователи говорят, что в открытом доступе оказались данные о паспортах, платёжной информации и другие. По данным компании — только об активности некоторых пользователей.
- Об открытой базе данных OneTwoTrip написал в Twitter исследователь информационной безопасности Боб Дьяченко. По его словам, в открытом доступе оказались данные об электронной почте, именах, паспортах, телефонах, платёжной информации, путешествиях и пароли.
- По словам Дьяченко, технический директор OneTwoTrip объяснил это «изменением, которое внесли несколько дней назад, нарушившим правила firewall и спровоцировавшим открытие порта».
- В OneTwoTrip подтвердили vc.ru уязвимость, но уточнили, что она не затронула данные для входа в личный кабинет и информацию о банковских картах.
Присутствовала уязвимость, мы её устранили. База с клиентскими данными не была уязвима. Уязвимость касалась данных об активности части пользователей сервиса в непродолжительный период времени. Сейчас данным клиентов ничего не угрожает, на текущий момент мы фиксируем, что утечки персональных данных клиентов OneTwoTrip нет. Мы усилим меры по мониторингу защиты всех наших систем.
- В компании не раскрыли количество пользователей, которых коснулась утечка. Но сервис принимает вопросы от клиентов на infosecurity@onetwotrip.com.
- Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей. Три коллективных иска из-за утечек подали клиенты «Яндекс Еды», один — клиенты СДЭКа. В августе Минцифры предложило создать спецфонд для компенсаций пострадавшим от слива данных.
По этой теме писал Hakhagmon.
С вас 60 000 !
о нет, только не эти гигантские штрафы
"Изменения нарушили правила фаервола и спровоцировали открытие порта" - смешно ))) И один открытый порт, привёл к возможности расширить права до такого доступа? )) где вилка, макароны с ушей падают, дайте поправлю, пиздит накидывая не краснея )
Комментарий недоступен
Порт открыли, а вход в базу с с логином и паролем 'admin'/'qwerty'. Вот и решили, что уязвимость в порте.
Интересно - какая именно база висела внутри сети без аутентификации. Монга?
"Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей."- какие штрафы большие,наши данные стоят копейки