Исследователи DLBI обнаружили в открытом доступе базу данных пользователей CDEK.Shopping и «СДЭК.Маркет» Статьи редакции
В компании подтвердили утечку и заявили, что данных паспортов и банковских карт в базе нет.
- Об утечке сообщил сервис разведки утечек данных и мониторинга даркнета DLBI в своём Telegram-канале. По его словам, слитая база содержит около 120 тысяч строк.
- В случае со CDEK.Shopping это 19,8 тысяч строк — имена, электронные адреса, хешированные пароли, телефоны, даты рождения, а также даты создания и обновления профилей с 19 апреля по 15 августа 2022 года. В базе «СДЭК-Маркет» 100 тысяч строк — имена и фамилии, логины, электронные адреса, телефоны, хешированные пароли и даты создания профиля и последнего входа в систему с 27 августа 2018 года по 15 марта 2022 года.
- В СДЭК подтвердили утечку ТАСС. «Мы изучаем базу данных, выложенных в сеть, и выясняем обстоятельства случившегося. Данные в базе похожи на базу клиентов CDEK.Shopping и "СДЭК.Маркет". Уже известно, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. Мы делаем всё, чтобы предотвратить распространение утечки», — заявили в компании.
- CDEK.Shopping — это платформа для заказа товаров из-за рубежа: смартфонов, одежды, компьютеров, товаров для красоты и здоровья. «СДЭК-Маркет» — маркетплейс для бизнеса, который работает по принципу Aliexpress.
- СДЭК сталкивалась с утечками и до этого. В феврале 2022 года в открытом доступе оказалась база из 1,2 млрд строк, а в июле — из 280 млн строк.
- В апреле глава Минцифры Максут Шадаев заявил, что Минцифры вместе с Роскомнадзором выступят с инициативой об оборотных штрафах для бизнеса за утечки в 2022 году. В мае источники «Коммерсанта» сообщили, что ведомство согласовало законопроект. 29 августа источники РБК рассказали, что компании, допустившие утечку данных больше чем 10 тысяч пользователей, будут получать оборотный штраф.
0
показов
5.9K
открытий
А вот и первые кандидаты на оборотные штрафы?
CDEK.Shopping старался, но 19,8 тысяч строк больше допустимых «условно-бесплатных» 10 000.
https://vc.ru/legal/491004-kompanii-poluchat-oborotnyy-shtraf-esli-dopustyat-utechku-dannyh-bolshe-chem-10-tysyach-chelovek-rbk
"законопроект в стадии разработки, его представят в сентябре"
Так что можно безболезненно сливать и дальше.
Комментарий недоступен
скажут, что утечка была до того как придумали это наказание, так что не считается
Скажут - 9,800 - это наши тестовые пользователи, ну так совпало..
Такое ощущение, что в СДЭКе проходной двор. Заходишь к ним в айти-отдел, берёшь со специальной полочки флешку "последние сливы" и уходишь.
ШЫСЯТ ТЫЩ РУБЛЕЙ СДЕК! ШЫСЯТ! ВАМ КОНЕЦ!
🔥
У меня есть ощущение что у СДЕКа есть целый «Департамент по сливам и утечкам». Ебаные дебилы, не иначе. Заебали.
Реально, сколько можно
Пфф, утечку? А разве СДЭК не сам данные сливает?
Мне впервые позвонили из "службы безопасности банка" на следующий день после заказа через СДЭК
Апишечка наверное есть
Тоже самое. Знали адрес откуда забирал посылку
Комментарий недоступен
По-моему, самая гнилая в плане информационной безопасности грузовая компания. Порой кажется, что основной их профиль - продажа персональных данных, а посылками они занимаются в свободное от работы время
у меня такое было, только когда выбрал доставку сдеком.
Эффективнее не штрафовать за утечку, а штрафовать за ненадлежащее хранение, обработку и т.д., т.е. вести контроль и сами процедуры хранения и обработки детально прописать. Штрафы за утечку ни как не помогут конечным пострадавшим...
Ну почему же. По факту такой штраф это подтверждение, что компания виновата, если прописать обязанность компенсировать моральный вред как сделано например в трудовом законодательстве (если работодатель допустил нарушение то ТК предполагает, что моральный вред есть, и его не нужно доказывать), то клоунам вроде СДЭК может стать накладно демонстративно ничего не делать в данной сфере.
Рассмотрение коллективного иска к СДЭК вроде назначено на 12 сентября, не знаю как это работает, но вот эта новость по логике должна быть на руку агенству, которое подает коллективный иск от имени пользователей и очень не кстати самому СДЭКу т.к. заявить, что "Мы сделали все возможное, чтобы предотвратить подобное в будущем, простите нас пожалуйста" на фоне очередной утечки может не прокатить.
Пока не накажут на миллионы рублей — этот беспредел будет продолжаться. Владельцам какой смысл тратить сотни тысяч ежемесячно на безопасность, если тебе ничего за это не будет? :)
Как не будет? А штраф в 60k?
Хех
в итоге ты получишь штраф 200к, а они 60к
база сдэк уже давно слита в глаз бога
Комментарий недоступен
https://vc.ru/491004
Ваще уже перестаю реагировать на новости о сливе баз. И так понятно что все везде есть.
Дней без слитых баз данных: 0
Никогда такого не было и вот опять
Дыра помойная сдэк, уже минимум 3 раз за пол года
СДЭК и безопасность данных в этом году стали абсолютными антонимами.
Передайте 60 тысяч за проезд, пожалуйста 🤣
Сообщение удалено
Комментарий недоступен
Сколько в этот раз штраф? 50к₽? По 50 копеек за каждого?
Безопасник каждый раз когда его зовут в кабинет начальника
СДЭК и безопасность данных в этом году стали абсолютными антонимами.
Ну норм так могут деньги грести, пока штрафов нормальных не будет(никогда не будет, видимо)
Когда уже будет новость, что в открытом доступе НЕ ОБНАРУЖЕНЫ базы клиентов СДЭК?
Комментарий недоступен
Потому что имена, фамилии, телефоны и т.д. не нужно хранить в открытом виде, а хотя бы применять к ним алгоритм симметричного шифрования или выносить сенситивные данные в отдельный, более защищенный, микросервис. Хорошо хоть пароли научились хешировать.
Как проверить есть ты в этом сливе или нет?
Мы изучаем базу данных, выложенных в сеть, и уже выясняем обстоятельства случившегося. Как только завершим проверку, мы расскажем о результатах.
Эти "исследователи" и есть воры.
уже совсем не удивляет такое. Все данные утекают...