«Вкусвилл» сообщил об утечке номеров и данных о заказах «сотен тысяч» клиентов Статьи редакции
Компания ведёт внутреннее расследование.
- Об утечке личной информации «нескольких сотен тысяч пользователей» «Вкусвилл» рассказал Forbes.
Об утечке мы узнали в ночь с 8 на 9 декабря 2022 года. Наши специалисты самостоятельно обнаружили и оперативно приняли меры. Внимательно изучив ситуацию, мы поняли, что к третьим лицам попали файлы, содержащие публичные данные некоторых наших покупателей, а именно: телефоны и email, даты и суммы заказов, последние четыре цифры номера банковской карты.
- В компании добавили, что утечка не коснулась «никаких угрожающих персональной безопасности данных». Например, имён, адресов и полных данных о банковских картах. Уязвимость закрыли «в первые часы». «Вкусвилл» продолжает внутреннее расследование.
- До заявления компании информация об утечке данных «Вкусвилла» рассказали профильные Telegram-каналы, например, «Утечки информации». По информации основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, хакеры выложили в открытый доступ 242 245 уникальных телефонных номеров, 233 194 адреса электронной почты, даты и время заказов, оплаты и доставки с 5 по 7 декабря 2022 года, а также суммы заказов и последние цифры номеров банковских карт.
- В начале марта 2022 года крупная утечка произошла у сервиса «Яндекс Еда», 22 марта в интернете опубликовали карту с данными. Позже «Яндекс» добился полной блокировки сайта и извинился перед клиентами. За утечку суд оштрафовал сервис на 60 тысяч рублей. А в ноябре постановил взыскать с «Яндекс Еды» компенсацию по коллективному иску — 13 пользователям присудили по 5000 рублей.
8
показов
14K
открытий
Как происходит утечка данных:
Ты хочешь добавить новое поле в публичную апишку и тебе говорят, что сначала нужно пройти две встречи с архитекторами, консилиум сеньйоров, несколько ревью от безопасников, пентесты, потом через три месяца раскатать это на 1% пользователей, собрать аналитику и пройти по новой этот круг для того, чтобы добавить это всем пользователям. Всё во имя безопасности.
А потом приходит джун и ему в первый рабочий день выдают права на все сервисы, все учетки и доступы к продакшен БД, даже если они ему и близко не нужны для работы.
Блин, хочу туда, где в первый рабочий день дают хоть какие-нибудь доступы без 10 кругов согласований со всеми руководителями и бог знает с кем еще. Реально такое бывает?
Любая компания с населением меньше 100 человек
И данные таких компаний обычно никому не нужны. Тут то разговор про больших ребят, утечки от которых все обсуждают.
На самом деле тоже не всегда, если ряд людей мунлайтит, а на постоянке работает в крупной корпорации, то все равно некоторые права возможно придется выгрызать с боем :)
хотите что то дорого продать? что бы дорого продать надо как раз 10 кругов и пройти :)