Сервисы Татьяна Боброва
4 445

База данных туристического сервиса «Слетать.ру» с паспортными данными клиентов временно оказалась в открытом доступе

Сейчас уязвимость уже устранили, но успел ли кто-то ей воспользоваться — неизвестно.

  • Специалисты компании DeviceLock, специализирующейся на кибербезопасности, обнаружили в открытом доступе базу данных туристического сервиса «Слетать.ру». Об этом пишет «Коммерсантъ» со ссылкой на компанию.

  • 10 мая DeviceLock проинформировала «Слетать.ру» об уязвимости, доступ к базе был закрыт в тот же день. Успел ли кто-то из посторонних воспользоваться базой, не сообщается.

  • По данным DeviceLock, база «Слетать.ру» содержала логины и пароли нескольких сотен подключенных к системе турагентств. Они позволяли войти в личный кабинет агентства и получить доступ к паспортным данным клиентов, информации об их поездках, адресам клиентских e-mail и другим сведениям. Вся информация была загружена с марта 2018 года по май 2019 года.
  • Опрошенные «Коммерсантом» эксперты по кибербезопасности считают, что информация о заказанных турах может использоваться злоумышленниками для фишинговых атак или таргетированных рекламных рассылок. Кроме того, злоумышленники могут попросить клиентов провести дополнительную оплату, например, включив в тур новые услуги.
  • «Слетать.ру» запущен в 2010 году. По собственным данным компании, сайт сервиса посещают 1,5 млн уникальных посетителей в месяц. В 2018 году сервис помог организовать отдых 300 тысячам туристов. В «Слетать.ру» и Ассоциации туроператоров России не предоставили комментариев о возможной утечке базы данных сервиса.

#новость #утечкиданных

{ "author_name": "Татьяна Боброва", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 44, "likes": 16, "favorites": 9, "is_advertisement": false, "subsite_label": "services", "id": 67441, "is_wide": true, "is_ugc": false, "date": "Thu, 16 May 2019 11:24:58 +0300" }
SMS-чат для клиентов
{ "id": 67441, "author_id": 283507, "diff_limit": 1000, "urls": {"diff":"\/comments\/67441\/get","add":"\/comments\/67441\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/67441"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 200396, "last_count_and_date": null }

44 комментария 44 комм.

Популярные

По порядку

Написать комментарий...
3

дайте ссыль на гитхаб

Ответить
4

ты чет долго, ждал такую ссыль в первые полчаса, начал, было, разочаровываться в вц

Ответить
4

Ну и где уголовные дела?

Ответить
4

+1 взломщиков нужно искать.
но им не до того...

Сегодня главу отдела управления «К» ФСБ обвинили в получении взяток на $850 тыс.

Ответить
0

В следственных органах МВД России и Следственном комитете, зависит от состава преступления.

Ответить
0

Вот случилось такое. Бывает.
Но какого хрена вы не шифруете такие данные в базе?!!

Ответить
0

Как ты себе это представляешь?

Ответить
16

Берешь и шифруешь

Ответить
3

Ключи будешь хранить в этой же базе? Или другую базу рядом положишь, тоже с открытым доступом?

Ответить
1

Зачем ключи в базе хранить?

Ответить
4

да, выкладывайте их на гитхаб))

Ответить
1

ключи хранятся там, где данные обрабатываются (то бишь какой-то программный код)

Ответить
7

Я себе это не представляю, а делаю так - паспортные данные, еmail, телефон и другие, чувствительны данные хранятся в бд в зашифрованном виде.
При извлечение - дешифруются.
Согласен, что это не панацея. Но слив бд происходит в разы чаще, чем взлом всего кода и это хоть какая-то защита.

Ответить
–1

Как вы потом будете делать поиск по шифрованным данным?

Ответить
3

$needle = MyClass::Encrypt(паспорт);
select * from table where passport = $needle;

Магия какая то?

Ответить
3

Это по полному совпадению. Здесь вопросов нет.

Напишите магический вариант для поиска по подстроке. Например по названию населенного пункта из адреса прописки.

Ответить
2

Напишите магический вариант для поиска по подстроке. Например по названию населенного пункта из адреса прописки

Пишу сайты, android приложения, микросервисы недорого — обращайтесь )

Ответить
0

Нечуйствительные данные можна дублировать в открытом виде. В столбце Syti, нопример.

Ответить
2

Вы побили рекорд количества ошибок в одном коротком комментарии.

Ответить
0

Адрес — так себе пример.
Адреса в едином виде, отсекается ненужная информация и все.

Сам справочник можно вообще не в бд держать. Плюс не использовать стандартные коды. Да и вообще в микросервис выделить.

Ответить
0

' drop database;

Ответить
0

вам нужен поиск регекспами по паспортным данным клиентов? да ну нафиг

Ответить
2

Поиск по полям, всякие выборки перестают работать. Повезет если пароли хешируют, а чтобы данные по которым воронки делают шифровали, это редкость.

Ответить
4

"содержала логины и пароли нескольких сотен подключенных к системе турагентств"
Ну уж пароли хранить в открытом виде - это совсем зашквар!

Ответить
2

и без ssl :)

Ответить
0

Да ну, серты ещё обновлять.

Ответить
0

У меня само...

Ответить
0

Направления для изучения на примере Mysql:
AES_ENCRYPT() - шифрование AES
AES_DECRYPT() - расшифровка AES
COMPRESS() - возвращение результата в бинарном виде
DES_ENCRYPT() - шифрование DES
DES_DECRYPT() - дешифрование DES
ENCODE() - шифрование строки поверхностным паролем (на выходе
получается шифрованное слово первоначальной "plaintext" длины
DECODE() - расшифровка текста, обработанного функцией ENCODE()
ENCRYPT() - шифрование с помощью Unix’ового системного вызова crypt
MD5() - подсчет MD-5 суммы
SHA1(), SHA() - подсчет SHA-1 (160-бит)

Конечно, нагрузка выростет, но это лучше, чем голой жопой в интернет смотреть.

Ответить
3

База в интернет не должна смотреть ни при каких обстоятельствах.

Ответить
0

ага, такие умники обычно рядом с неторчащей базой кладут скриптец вроде phpmyadmin :)

Ответить
1

c root без пароля. :) Вообще последние пакеты MySQL без пароля очень сильно удивили. Весь мир за безопасность, а тут они решили что-то изменить...

Ответить
0

Да, а чём статья которую мы обсуждаем? =)

Ответить
0

Про дурость некоторых индивидов. :)

Ответить
2

Сейчас эти ошибки с базами данных всплывают практически везде, о какой конфиденциальности вообще может быть речь.

Ответить
1

ркн не найдет нарушений, тк данные обрабатываются в рамках договоров и законодательных актов) https://rkn.gov.ru/news/rsoc/news67040.htm

Ответить
–5

<a href="https://homeandhoby.blogspot.com/"; target="_blank">Дом и хобби</a>

Ответить
0

<font size="9"><b>ВСЕМ ПРИВЕТ!</b></font>

Ответить
0

strong же

Ответить
0

Вообще эту новость Коммерсу стоило выпустить хотя бы ради заголовка "Хакеров пригласили в тур". Ору тут потихонечку, держу вас в курсе

Ответить
0

Легкую юбочку Строгово закона о защите Персональных Данных Россиян сдуло бризом, и она слетела, временно обнажив розовенькую, но уже давно не девственную, потрепанную попку

Ответить
0

Виртуальные комнаты данных с шифрованием уже отменили ?

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления
{ "page_type": "default" }