«Вкусвилл» сообщил об утечке номеров и данных о заказах «сотен тысяч» клиентов Статьи редакции
Компания ведёт внутреннее расследование.
- Об утечке личной информации «нескольких сотен тысяч пользователей» «Вкусвилл» рассказал Forbes.
Об утечке мы узнали в ночь с 8 на 9 декабря 2022 года. Наши специалисты самостоятельно обнаружили и оперативно приняли меры. Внимательно изучив ситуацию, мы поняли, что к третьим лицам попали файлы, содержащие публичные данные некоторых наших покупателей, а именно: телефоны и email, даты и суммы заказов, последние четыре цифры номера банковской карты.
- В компании добавили, что утечка не коснулась «никаких угрожающих персональной безопасности данных». Например, имён, адресов и полных данных о банковских картах. Уязвимость закрыли «в первые часы». «Вкусвилл» продолжает внутреннее расследование.
- До заявления компании информация об утечке данных «Вкусвилла» рассказали профильные Telegram-каналы, например, «Утечки информации». По информации основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, хакеры выложили в открытый доступ 242 245 уникальных телефонных номеров, 233 194 адреса электронной почты, даты и время заказов, оплаты и доставки с 5 по 7 декабря 2022 года, а также суммы заказов и последние цифры номеров банковских карт.
- В начале марта 2022 года крупная утечка произошла у сервиса «Яндекс Еда», 22 марта в интернете опубликовали карту с данными. Позже «Яндекс» добился полной блокировки сайта и извинился перед клиентами. За утечку суд оштрафовал сервис на 60 тысяч рублей. А в ноябре постановил взыскать с «Яндекс Еды» компенсацию по коллективному иску — 13 пользователям присудили по 5000 рублей.
8
показов
14K
открытий
Как происходит утечка данных:
Ты хочешь добавить новое поле в публичную апишку и тебе говорят, что сначала нужно пройти две встречи с архитекторами, консилиум сеньйоров, несколько ревью от безопасников, пентесты, потом через три месяца раскатать это на 1% пользователей, собрать аналитику и пройти по новой этот круг для того, чтобы добавить это всем пользователям. Всё во имя безопасности.
А потом приходит джун и ему в первый рабочий день выдают права на все сервисы, все учетки и доступы к продакшен БД, даже если они ему и близко не нужны для работы.
Почему вся чувствительная информация не хранится в зашифрованном виде?
Чувствительная - хранится. Зачем шифровать чье-то имя или адрес? Шифруют всякие пароли и платежную информацию
Сервер все равно будет информацию выдавать в расшифрованном виде. Эти базы копируют удаленно через уязвимость в программном коде сайта, а не физически.
Так это же не безопасно, могут подобрать шифр и взломать, понимаете..?
Это не имеет особого смысла. Важнее, чтобы доступ был ограничен ответственными лицами. Пароли пользователей хешируются. Просто нужен ограниченный доступ к бд.
Потому что для работы сервиса все равно эту информацию нужно будет расшифровать.
Потому что долбоебы
Потому что всем плевать)
Не минусите. Я имел ввиду - во Вкусвилле, конечно же.