Сервисы
Маша Цепелева

OneTwoTrip подтвердил уязвимость, раскрывшую данные о пользователях сервиса Статьи редакции

Исследователи говорят, что в открытом доступе оказались данные о паспортах, платёжной информации и другие. По данным компании — только об активности некоторых пользователей.

  • Об открытой базе данных OneTwoTrip написал в Twitter исследователь информационной безопасности Боб Дьяченко. По его словам, в открытом доступе оказались данные об электронной почте, именах, паспортах, телефонах, платёжной информации, путешествиях и пароли.
  • По словам Дьяченко, технический директор OneTwoTrip объяснил это «изменением, которое внесли несколько дней назад, нарушившим правила firewall и спровоцировавшим открытие порта».
  • В OneTwoTrip подтвердили vc.ru уязвимость, но уточнили, что она не затронула данные для входа в личный кабинет и информацию о банковских картах.

Присутствовала уязвимость, мы её устранили. База с клиентскими данными не была уязвима. Уязвимость касалась данных об активности части пользователей сервиса в непродолжительный период времени. Сейчас данным клиентов ничего не угрожает, на текущий момент мы фиксируем, что утечки персональных данных клиентов OneTwoTrip нет. Мы усилим меры по мониторингу защиты всех наших систем.

OneTwoTrip
  • В компании не раскрыли количество пользователей, которых коснулась утечка. Но сервис принимает вопросы от клиентов на [email protected]
  • Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей. Три коллективных иска из-за утечек подали клиенты «Яндекс Еды», один — клиенты СДЭКа. В августе Минцифры предложило создать спецфонд для компенсаций пострадавшим от слива данных.

По этой теме писал Hakhagmon.

0
30 комментариев
Написать комментарий...
Anton

С вас 60 000 !

Ответить
Развернуть ветку
DeliNaNull

о нет, только не эти гигантские штрафы

Ответить
Развернуть ветку
Борис Хмелев

"Изменения нарушили правила фаервола и спровоцировали открытие порта" - смешно ))) И один открытый порт, привёл к возможности расширить права до такого доступа? )) где вилка, макароны с ушей падают, дайте поправлю, пиздит накидывая не краснея )

Ответить
Развернуть ветку
Дмитрий Струков

Там не нужно прав, порт открыли, эластик висит вовне - подключайся не хочу. Эластик, видимо, из коробки идет без аутентификации и с портом смотрящим вовне, админы не настроили как надо.

Ответить
Развернуть ветку
Cramol

Порт открыли, а вход в базу с с логином и паролем 'admin'/'qwerty'. Вот и решили, что уязвимость в порте.

Ответить
Развернуть ветку
Дмитрий Струков

Да там, скорее всего, по умолчанию не нужен пароль и логин - как в монге, например.

Ответить
Развернуть ветку
Denis Kiselev

Интересно - какая именно база висела внутри сети без аутентификации. Монга?

Ответить
Развернуть ветку
Кирилл Баскус

elasticsearch

Ответить
Развернуть ветку
Кирилл Баскус

Он был вообще в домене twiket.com Суммарный размер всех индексов составлял 12 Тб

Ответить
Развернуть ветку
Carl Herr

"Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей."- какие штрафы большие,наши данные стоят копейки

Ответить
Развернуть ветку
Fedor

Уже 200к! И это только с трёх компаний. А в России 100 тысяч ИТ компаний, это гора бабла!

Ответить
Развернуть ветку
Занятый диод

100 тысяч айти компаний? Где?

Ответить
Развернуть ветку
Артем Порубаев

Ну у течка была, но как бы нет

Ответить
Развернуть ветку
Alexey QuQu

Пытаются сделать хорошую мину, при плохой игре

Ответить
Развернуть ветку
Валерий Михеев

Легче просто самим признаться, чтобы 60к отдать )

Ответить
Развернуть ветку
Evgeniy L

После того как компании поняли, что слить данные стоит всего 60к, вам не кажется, что они там ухахатываются подьебывая друг друга на тему того, что их уволят, или посадят, или 60к большая сумма и они обанкротятся?!

Ответить
Развернуть ветку
Heather Morris

не знаю на счет ухахатываний,но то что они не парятся над безопасностью наших данных это точно

Ответить
Развернуть ветку
Дмитрий Струков

Так говоришь, как будто все прям и рады слить данные своих пользователей, да вот штрафы пугают. Никто не ухахатывается, все понимают что это огромный косяк, репутационные потери и т.п. Уверен, админы получили люлей.

Но штраф - да, смешен.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
ВК

Блин. Только вчера там покупал авиабилеты. Да что же это такое

Ответить
Развернуть ветку
Nikita Kriuchkov

Очень трудно верится в такое, пароли в открытом виде?, все давно использует асимметричное шифрование для авторизации. Платежная информация? PCI DSS такое не пропустит. Что-же все такие взломали?

Ответить
Развернуть ветку
Дмитрий Струков

Про пароли - тоже не вериться, хотя кто его знает.

А вот платежная информация - вполне. Недавно ковырял приложу ихнюю чтоб понять каким эквайером они пользуются. Я так понял, данные карт уходят им, видимо, они прошли самостоятельно PCI DSS и могут оперировать платежными данными.

Соответственно, могут хранить и оперировать ими.

Ответить
Развернуть ветку
Nikita Kriuchkov

Скорее всего весь их эквайринг заканчивается на маршрутизации карточных даных между провайдерами, с минимальным аудитом PCI DSS. Поэтому, максимум, что в логах будет, запросы к провайдерам, но и там , данные должны быть скрыты. Хранить платёжные данные? Нее. Слишком дорого . Не их профиль.

Ответить
Развернуть ветку
Занятый диод

ГРАЖДАНЕ, ХРАНИТЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ НА ТЕРРИТОРИИ РОССИЙСКОЙ ФЕДЕРАЦИИ.
Только так они будут в полной безопасности.

Ответить
Развернуть ветку
Кусок Идиотизма

АХАХАХАХАХАХАХАХА
ну да, ну да

Ответить
Развернуть ветку
Владислав Недзвецкий

Только что ввел туда данные карты и паспорта.

Ответить
Развернуть ветку
Макар Бурак

Почему такие маленькие штрафы??? Слили данные пользователей, а штрафы по 60 тыс)))

Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Эмиль

Меня умиляет вот это "сейчас ничего не угрожает"... т.е. они думают, что злоумышленники строго читают данные с открытого эластика, а если порт закрыли, то обиженно развели ручками и пошли к другому протекшему сайту... а то, что теперь эту базу продают на всех дарквеб форумах, это разве не угроза? по-хорошему, теперь всем юзерам надо менять пароли, паспорта и телефоны. и такая утечка должна стоить компании 60 тыс за каждую потерянную учетку...

Ответить
Развернуть ветку
Alina Lee

никогда такого не было... и вот опять

Ответить
Развернуть ветку
Ник Аватесян
Ответить
Развернуть ветку
Читать все 30 комментариев
null