База данных туристического сервиса «Слетать.ру» с паспортными данными клиентов временно оказалась в открытом доступе Статьи редакции
Сейчас уязвимость уже устранили, но успел ли кто-то ей воспользоваться — неизвестно.
Специалисты компании DeviceLock, специализирующейся на кибербезопасности, обнаружили в открытом доступе базу данных туристического сервиса «Слетать.ру». Об этом пишет «Коммерсантъ» со ссылкой на компанию.
10 мая DeviceLock проинформировала «Слетать.ру» об уязвимости, доступ к базе был закрыт в тот же день. Успел ли кто-то из посторонних воспользоваться базой, не сообщается.
- По данным DeviceLock, база «Слетать.ру» содержала логины и пароли нескольких сотен подключенных к системе турагентств. Они позволяли войти в личный кабинет агентства и получить доступ к паспортным данным клиентов, информации об их поездках, адресам клиентских e-mail и другим сведениям. Вся информация была загружена с марта 2018 года по май 2019 года.
- Опрошенные «Коммерсантом» эксперты по кибербезопасности считают, что информация о заказанных турах может использоваться злоумышленниками для фишинговых атак или таргетированных рекламных рассылок. Кроме того, злоумышленники могут попросить клиентов провести дополнительную оплату, например, включив в тур новые услуги.
- «Слетать.ру» запущен в 2010 году. По собственным данным компании, сайт сервиса посещают 1,5 млн уникальных посетителей в месяц. В 2018 году сервис помог организовать отдых 300 тысячам туристов. В «Слетать.ру» и Ассоциации туроператоров России не предоставили комментариев о возможной утечке базы данных сервиса.
0
показов
4.9K
открытий
дайте ссыль на гитхаб
Комментарий недоступен
ты чет долго, ждал такую ссыль в первые полчаса, начал, было, разочаровываться в вц
Ну и где уголовные дела?
+1 взломщиков нужно искать.
Сегодня главу отдела управления «К» ФСБ обвинили в получении взяток на $850 тыс.но им не до того...
В следственных органах МВД России и Следственном комитете, зависит от состава преступления.
Вот случилось такое. Бывает.
Но какого хрена вы не шифруете такие данные в базе?!!
Как ты себе это представляешь?
Берешь и шифруешь
Ключи будешь хранить в этой же базе? Или другую базу рядом положишь, тоже с открытым доступом?
Комментарий недоступен
да, выкладывайте их на гитхаб))
ключи хранятся там, где данные обрабатываются (то бишь какой-то программный код)
Я себе это не представляю, а делаю так - паспортные данные, еmail, телефон и другие, чувствительны данные хранятся в бд в зашифрованном виде.
При извлечение - дешифруются.
Согласен, что это не панацея. Но слив бд происходит в разы чаще, чем взлом всего кода и это хоть какая-то защита.
Как вы потом будете делать поиск по шифрованным данным?
$needle = MyClass::Encrypt(паспорт);
select * from table where passport = $needle;
Магия какая то?
Это по полному совпадению. Здесь вопросов нет.
Напишите магический вариант для поиска по подстроке. Например по названию населенного пункта из адреса прописки.
Пишу сайты, android приложения, микросервисы недорого — обращайтесь )
Нечуйствительные данные можна дублировать в открытом виде. В столбце Syti, нопример.
Вы побили рекорд количества ошибок в одном коротком комментарии.
Адрес — так себе пример.
Адреса в едином виде, отсекается ненужная информация и все.
Сам справочник можно вообще не в бд держать. Плюс не использовать стандартные коды. Да и вообще в микросервис выделить.
' drop database;
вам нужен поиск регекспами по паспортным данным клиентов? да ну нафиг
Комментарий недоступен
"содержала логины и пароли нескольких сотен подключенных к системе турагентств"
Ну уж пароли хранить в открытом виде - это совсем зашквар!
и без ssl :)
Да ну, серты ещё обновлять.
У меня само...
Комментарий недоступен
База в интернет не должна смотреть ни при каких обстоятельствах.
ага, такие умники обычно рядом с неторчащей базой кладут скриптец вроде phpmyadmin :)
c root без пароля. :) Вообще последние пакеты MySQL без пароля очень сильно удивили. Весь мир за безопасность, а тут они решили что-то изменить...
Комментарий недоступен
Про дурость некоторых индивидов. :)
(нет)
Сейчас эти ошибки с базами данных всплывают практически везде, о какой конфиденциальности вообще может быть речь.
ркн не найдет нарушений, тк данные обрабатываются в рамках договоров и законодательных актов) https://rkn.gov.ru/news/rsoc/news67040.htm
Комментарий удален модератором
<font size="9"><b>ВСЕМ ПРИВЕТ!</b></font>
strong же
Вообще эту новость Коммерсу стоило выпустить хотя бы ради заголовка "Хакеров пригласили в тур". Ору тут потихонечку, держу вас в курсе
Легкую юбочку Строгово закона о защите Персональных Данных Россиян сдуло бризом, и она слетела, временно обнажив розовенькую, но уже давно не девственную, потрепанную попку
Виртуальные комнаты данных с шифрованием уже отменили ?
Комментарий удален модератором