База данных туристического сервиса «Слетать.ру» с паспортными данными клиентов временно оказалась в открытом доступе Статьи редакции

Сейчас уязвимость уже устранили, но успел ли кто-то ей воспользоваться — неизвестно.

  • Специалисты компании DeviceLock, специализирующейся на кибербезопасности, обнаружили в открытом доступе базу данных туристического сервиса «Слетать.ру». Об этом пишет «Коммерсантъ» со ссылкой на компанию.

  • 10 мая DeviceLock проинформировала «Слетать.ру» об уязвимости, доступ к базе был закрыт в тот же день. Успел ли кто-то из посторонних воспользоваться базой, не сообщается.

  • По данным DeviceLock, база «Слетать.ру» содержала логины и пароли нескольких сотен подключенных к системе турагентств. Они позволяли войти в личный кабинет агентства и получить доступ к паспортным данным клиентов, информации об их поездках, адресам клиентских e-mail и другим сведениям. Вся информация была загружена с марта 2018 года по май 2019 года.
  • Опрошенные «Коммерсантом» эксперты по кибербезопасности считают, что информация о заказанных турах может использоваться злоумышленниками для фишинговых атак или таргетированных рекламных рассылок. Кроме того, злоумышленники могут попросить клиентов провести дополнительную оплату, например, включив в тур новые услуги.
  • «Слетать.ру» запущен в 2010 году. По собственным данным компании, сайт сервиса посещают 1,5 млн уникальных посетителей в месяц. В 2018 году сервис помог организовать отдых 300 тысячам туристов. В «Слетать.ру» и Ассоциации туроператоров России не предоставили комментариев о возможной утечке базы данных сервиса.
0
43 комментария
Написать комментарий...
Александр Калин

дайте ссыль на гитхаб

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Александр Калин

ты чет долго, ждал такую ссыль в первые полчаса, начал, было, разочаровываться в вц

Ответить
Развернуть ветку
Антон Лисин

Ну и где уголовные дела?

Ответить
Развернуть ветку
Ware Wow

+1 взломщиков нужно искать.
но им не до того...

Сегодня главу отдела управления «К» ФСБ обвинили в получении взяток на $850 тыс.
Ответить
Развернуть ветку
Johnny Vorony

В следственных органах МВД России и Следственном комитете, зависит от состава преступления.

Ответить
Развернуть ветку
Andrew Solovov

Вот случилось такое. Бывает.
Но какого хрена вы не шифруете такие данные в базе?!!

Ответить
Развернуть ветку
Камаз Узбеков

Как ты себе это представляешь?

Ответить
Развернуть ветку
Кирилл Герасименко

Берешь и шифруешь

Ответить
Развернуть ветку
Камаз Узбеков

Ключи будешь хранить в этой же базе? Или другую базу рядом положишь, тоже с открытым доступом?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
ave ego

да, выкладывайте их на гитхаб))

Ответить
Развернуть ветку
Ник Лежневич

ключи хранятся там, где данные обрабатываются (то бишь какой-то программный код)

Ответить
Развернуть ветку
Andrew Solovov

Я себе это не представляю, а делаю так - паспортные данные, еmail, телефон и другие, чувствительны данные хранятся в бд в зашифрованном виде.
При извлечение - дешифруются.
Согласен, что это не панацея. Но слив бд происходит в разы чаще, чем взлом всего кода и это хоть какая-то защита.

Ответить
Развернуть ветку
Сергей Икрин

Как вы потом будете делать поиск по шифрованным данным?

Ответить
Развернуть ветку
Andrew Solovov

$needle = MyClass::Encrypt(паспорт);
select * from table where passport = $needle;

Магия какая то?

Ответить
Развернуть ветку
Сергей Икрин

Это по полному совпадению. Здесь вопросов нет.

Напишите магический вариант для поиска по подстроке. Например по названию населенного пункта из адреса прописки.

Ответить
Развернуть ветку
Andrew Solovov
Напишите магический вариант для поиска по подстроке. Например по названию населенного пункта из адреса прописки

Пишу сайты, android приложения, микросервисы недорого — обращайтесь )

Ответить
Развернуть ветку
Алексис Второй

Нечуйствительные данные можна дублировать в открытом виде. В столбце Syti, нопример.

Ответить
Развернуть ветку
Сергей Икрин

Вы побили рекорд количества ошибок в одном коротком комментарии.

Ответить
Развернуть ветку
Mike Kosulin

Адрес — так себе пример.
Адреса в едином виде, отсекается ненужная информация и все.

Сам справочник можно вообще не в бд держать. Плюс не использовать стандартные коды. Да и вообще в микросервис выделить.

Ответить
Развернуть ветку
Sergei Timofeyev

' drop database;

Ответить
Развернуть ветку
Anton Vlasov

вам нужен поиск регекспами по паспортным данным клиентов? да ну нафиг

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Никита

"содержала логины и пароли нескольких сотен подключенных к системе турагентств"
Ну уж пароли хранить в открытом виде - это совсем зашквар!

Ответить
Развернуть ветку
Ashot Oganesyan
Ответить
Развернуть ветку
Sergei Timofeyev

и без ssl :)

Ответить
Развернуть ветку
Mike Kosulin

Да ну, серты ещё обновлять.

Ответить
Развернуть ветку
Sergei Timofeyev

У меня само...

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Sergei Timofeyev

База в интернет не должна смотреть ни при каких обстоятельствах.

Ответить
Развернуть ветку
Anton Vlasov

ага, такие умники обычно рядом с неторчащей базой кладут скриптец вроде phpmyadmin :)

Ответить
Развернуть ветку
Sergei Timofeyev

c root без пароля. :) Вообще последние пакеты MySQL без пароля очень сильно удивили. Весь мир за безопасность, а тут они решили что-то изменить...

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Sergei Timofeyev

Про дурость некоторых индивидов. :)

Ответить
Развернуть ветку
Alexander Matveev

(нет)

Ответить
Развернуть ветку
Дмитрий Фишер

Сейчас эти ошибки с базами данных всплывают практически везде, о какой конфиденциальности вообще может быть речь.

Ответить
Развернуть ветку
ave ego

ркн не найдет нарушений, тк данные обрабатываются в рамках договоров и законодательных актов) https://rkn.gov.ru/news/rsoc/news67040.htm

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
spn

<font size="9"><b>ВСЕМ ПРИВЕТ!</b></font>

Ответить
Развернуть ветку
Sergei Timofeyev

strong же

Ответить
Развернуть ветку
Alex Lutnev

Вообще эту новость Коммерсу стоило выпустить хотя бы ради заголовка "Хакеров пригласили в тур". Ору тут потихонечку, держу вас в курсе

Ответить
Развернуть ветку
Николя

Легкую юбочку Строгово закона о защите Персональных Данных Россиян сдуло бризом, и она слетела, временно обнажив розовенькую, но уже давно не девственную, потрепанную попку

Ответить
Развернуть ветку
Frédéric Rossif

Виртуальные комнаты данных с шифрованием уже отменили ?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
40 комментариев
Раскрывать всегда