База с телефонами, ФИО и другими данными 530 тысяч клиентов UTair снова оказалась в открытом доступе Статьи редакции

Перевозчик сообщил, что подвергся хакерской атаке в 2019 году, но уже всё исправил.

Данные клиентов российской авиакомпании UTair были выложены в открытый доступ 25 августа 2020 года, передаёт Telegram-канал «Утечки информации» компании DLBI, которая специализируется на поиске уязвимостей.

Для скачивания на одном из англоязычных форумов доступны более 530 тысяч записей частных клиентов, включая ФИО, данные заграничных и российских паспортов, адреса и телефоны; более 300 записей корпоративных клиентов (название организации, телефон, e-mail, почтовый адрес), более 250 записей о самолётах, подсчитали специалисты.

Большинство записей в базе могут принадлежать россиянам, поскольку UTair обслуживает, в основном, российские маршруты, рассказал агентству «Прайм» основатель DLBI Ашот Оганесян.

В августе 2019 года базу предлагали к продаже, отметили в DLBI. Её источник — открытый сервер компании Utair Digital, ИТ-подразделения перевозчика Utair, который в марте 2019 года обнаружили специалисты сервиса. После обращения в UTair доступ к серверу был закрыт.

В пресс-службе UTair сообщили, что зимой 2019 года авиакомпания подверглась хакерской атаке, из-за которой один из её серверов пострадал, указывает «Правда УРФО». Хакеры могли получить доступ к «некоторым данным» пассажиров, за исключением банковских карт, подчеркнули в авиакомпании.

«Служба безопасности сразу исправила эту проблему, приняла дополнительные меры по защите данных пользователей и минимизации рисков спама и фишинга», — рассказали в UTair, отметив, что не зафиксировали ни одного несанкционированного доступа к счетам пассажиров в программе лояльности.

0
37 комментариев
Написать комментарий...
РосСпам

Когда уже сделают нормальными штрафы за слив/утечку персональных данных? Чтобы компаниям было дешевле нормальную защиту делать, а не штрафы платить?

Ответить
Развернуть ветку
Влад Ижевский

Какие штрафы? Как только регаешься в налоговой, начинают звонить все банки в ту же секунду. Штрафы то кому выписывать, самим себе? 

Ответить
Развернуть ветку
Dmitry Ilyin

Так нужно заводить 1 номер для регистрации в налоговой и другой - для нормальных клиентов\ партнеров

Ответить
Развернуть ветку
Egor Krasnov

Третий для Авито, чтобы мошенники не звонили/не писали.
Четвёртый для Телеги, чтобы товарищ майор не нашёл.
И пятый для банкинга, для безопасности :)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Arseniy Shestakov

Доброе утро. Это легальный сервис который налоговая официально продает.

Ответить
Развернуть ветку
Влад Ижевский
Это легальный сервис

Ухаха

Ответить
Развернуть ветку
Saucedo Puetz

Никогда. 100% защитить нереально

Ответить
Развернуть ветку
selecadm

Когда сидишь в аэропорту Тюмени в ожидании начала посадки на рейс Utair и читаешь этот пост :).

Ответить
Развернуть ветку
Sergei Timofeyev

- Здравствуйте, я из службы безопасности Сбербанка!

Ответить
Развернуть ветку
Mark Khil

Зато сэкономили

Ответить
Развернуть ветку
Vitold S.

С другой стороны студентам и фрилансерам тоже нужно на чем-то учиться ...

Ответить
Развернуть ветку
Dm

О, походу UTair нарушил КоАП 13.11. Штраф за нарушение сохранности персональных данных граждан для юридических лиц - от 5000 до 10000 рублей. Да уж, штраф так штраф. Обдолбанные едросы такой размер штрафа утверждали?
Понятно, что это тонкие моменты, но кажется, что такие штрафы должны быть привязаны к размеру утёкшей базы или к стоимости компании, нарушившей закон. Сейчас, по факту - отношение к персональным данным в стране наплевательское!

Ответить
Развернуть ветку
Dmitry Ilyin

Хде скачать? Дайте линк!!!

Ответить
Развернуть ветку
Григорий Крутеев
Ответить
Развернуть ветку
Григорий Крутеев

Удалили уже тред на форуме и дамп по ссылке.

Ответить
Развернуть ветку
Dmitry Ilyin

эээ... тьфу ты..

Ответить
Развернуть ветку
Sergei Timofeyev

Если сделать все данные граждан доступными всем, как это было раньше, то не будет сливов :)

Ответить
Развернуть ветку
Dm

"Чтобы все были счастливыми - надо убить всех несчастливых".

Ответить
Развернуть ветку
Sergei Timofeyev

в Америке давно есть телефонные спрвочники

Ответить
Развернуть ветку
danil nik

кого сейчас таким удивишь

Ответить
Развернуть ветку
Правильный Взгляд

Эта БД - дамп открытого сервера MongoDB вышеуказанного авиаперевозчика, который они успешно оставили в открытом доступе. Датируется началом 2019 года.
Так что никакого слива нет. Обычная экономия на ресурсах и безопасности.
Да и самой новости год без месяца.

Ответить
Развернуть ветку
Sergei Timofeyev

Зачем держать 27017 открытым?

Ответить
Развернуть ветку
Вадим Чиняев

он раньше вроде по умолчанию был, помню rbc писал чтобы прикрыли ) 

Ответить
Развернуть ветку
Sergei Timofeyev

а ufw по-умолчанию настроить нельзя или же dst-nat?

Ответить
Развернуть ветку
Dm

Вот для подобного нарушения UTair был бы вполне логичен штраф в 250 тысяч рублей. Это было бы ощутимо и вело бы к сохранности данных. А сейчас - даже наличие такого закона смешно, ибо он никакой существенной ответственности не предполагает. Обесценен.

Ответить
Развернуть ветку
Звенислав Николаевич
 дополнительные меры по защите данных пользователей и минимизации рисков спама и фишинга

Какие меры-то, как они собираются «защитить» от спама утекшие телефоны? 

Ответить
Развернуть ветку
Сергей Подливчук

Нехуй сайты на пхп писать

Ответить
Развернуть ветку
dmitri timerizazev

Какое отношение php имеет к безопасности данных?

Ответить
Развернуть ветку
Сергей Подливчук

Низкий порог вхождения делает возможность писать системы людям, которые ещё не опытны в защите данных и проектирования систем.

Ответить
Развернуть ветку
dmitri timerizazev

Так каким местом ЯП к утечке данных то?
Это про любой современный ЯП нынче сказать можно, какой нить nodejs по вхождению еще проще.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
А К

"не зафиксировали ни одного несанкционированного доступа к счетам пассажиров в программе лояльности."

Самое страшное - это, конечно, счет с накопленными милями. Иногда странно, как компании беспокоятся о защите счетов лояльности, вводя меры защиты похлеще банковских, а при этом с другими, более чувствительными данными, происходит то, что происходит

Ответить
Развернуть ветку
Dmitrii Bugrov

Где ссылка на базу?😂

Ответить
Развернуть ветку
Dm

Где посадки?!)

Ответить
Развернуть ветку
Д Хб

Ну в компании очень странно проходит найм в ИТ и на них экономят. Личный кейс - оговорили одно, потом вместе с оффером "якобы у вас опыт в предметной области отсутствует, поэтому -20%". И сайт у них с багами от джунов.

Ответить
Развернуть ветку
Stew Barko

Базы постоянно сливают и всем пофиг, пользуйтесь р2р системами, как экосистема Утопия, где ваши данные будут храниться У ВАС на компе, а нет на каких-то левых серверах

Ответить
Развернуть ветку
34 комментария
Раскрывать всегда