OneTwoTrip подтвердил уязвимость, раскрывшую данные о пользователях сервиса Статьи редакции
Исследователи говорят, что в открытом доступе оказались данные о паспортах, платёжной информации и другие. По данным компании — только об активности некоторых пользователей.
- Об открытой базе данных OneTwoTrip написал в Twitter исследователь информационной безопасности Боб Дьяченко. По его словам, в открытом доступе оказались данные об электронной почте, именах, паспортах, телефонах, платёжной информации, путешествиях и пароли.
- По словам Дьяченко, технический директор OneTwoTrip объяснил это «изменением, которое внесли несколько дней назад, нарушившим правила firewall и спровоцировавшим открытие порта».
- В OneTwoTrip подтвердили vc.ru уязвимость, но уточнили, что она не затронула данные для входа в личный кабинет и информацию о банковских картах.
Присутствовала уязвимость, мы её устранили. База с клиентскими данными не была уязвима. Уязвимость касалась данных об активности части пользователей сервиса в непродолжительный период времени. Сейчас данным клиентов ничего не угрожает, на текущий момент мы фиксируем, что утечки персональных данных клиентов OneTwoTrip нет. Мы усилим меры по мониторингу защиты всех наших систем.
- В компании не раскрыли количество пользователей, которых коснулась утечка. Но сервис принимает вопросы от клиентов на [email protected].
- Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей. Три коллективных иска из-за утечек подали клиенты «Яндекс Еды», один — клиенты СДЭКа. В августе Минцифры предложило создать спецфонд для компенсаций пострадавшим от слива данных.
По этой теме писал Hakhagmon.
1
показ
4.2K
открытий
1
репост
С вас 60 000 !
о нет, только не эти гигантские штрафы
"Изменения нарушили правила фаервола и спровоцировали открытие порта" - смешно ))) И один открытый порт, привёл к возможности расширить права до такого доступа? )) где вилка, макароны с ушей падают, дайте поправлю, пиздит накидывая не краснея )
Комментарий недоступен
Порт открыли, а вход в базу с с логином и паролем 'admin'/'qwerty'. Вот и решили, что уязвимость в порте.
Комментарий недоступен
Интересно - какая именно база висела внутри сети без аутентификации. Монга?
elasticsearch
Он был вообще в домене twiket.com Суммарный размер всех индексов составлял 12 Тб
"Суд штрафовал за утечки данных «Яндекс» — на 60 тысяч рублей, Delivery Club — на 80 тысяч рублей и «Гемотест» — на 60 тысяч рублей."- какие штрафы большие,наши данные стоят копейки
Уже 200к! И это только с трёх компаний. А в России 100 тысяч ИТ компаний, это гора бабла!
100 тысяч айти компаний? Где?
Ну у течка была, но как бы нет
Пытаются сделать хорошую мину, при плохой игре
Легче просто самим признаться, чтобы 60к отдать )
После того как компании поняли, что слить данные стоит всего 60к, вам не кажется, что они там ухахатываются подьебывая друг друга на тему того, что их уволят, или посадят, или 60к большая сумма и они обанкротятся?!
не знаю на счет ухахатываний,но то что они не парятся над безопасностью наших данных это точно
Комментарий недоступен
Комментарий удален модератором
Блин. Только вчера там покупал авиабилеты. Да что же это такое
Очень трудно верится в такое, пароли в открытом виде?, все давно использует асимметричное шифрование для авторизации. Платежная информация? PCI DSS такое не пропустит. Что-же все такие взломали?
Комментарий недоступен
Скорее всего весь их эквайринг заканчивается на маршрутизации карточных даных между провайдерами, с минимальным аудитом PCI DSS. Поэтому, максимум, что в логах будет, запросы к провайдерам, но и там , данные должны быть скрыты. Хранить платёжные данные? Нее. Слишком дорого . Не их профиль.
ГРАЖДАНЕ, ХРАНИТЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ НА ТЕРРИТОРИИ РОССИЙСКОЙ ФЕДЕРАЦИИ.
Только так они будут в полной безопасности.
АХАХАХАХАХАХАХАХА
ну да, ну да
Только что ввел туда данные карты и паспорта.
Почему такие маленькие штрафы??? Слили данные пользователей, а штрафы по 60 тыс)))
Комментарий недоступен
Меня умиляет вот это "сейчас ничего не угрожает"... т.е. они думают, что злоумышленники строго читают данные с открытого эластика, а если порт закрыли, то обиженно развели ручками и пошли к другому протекшему сайту... а то, что теперь эту базу продают на всех дарквеб форумах, это разве не угроза? по-хорошему, теперь всем юзерам надо менять пароли, паспорта и телефоны. и такая утечка должна стоить компании 60 тыс за каждую потерянную учетку...
никогда такого не было... и вот опять