База с телефонами, ФИО и другими данными 530 тысяч клиентов UTair снова оказалась в открытом доступе Статьи редакции
Перевозчик сообщил, что подвергся хакерской атаке в 2019 году, но уже всё исправил.
Данные клиентов российской авиакомпании UTair были выложены в открытый доступ 25 августа 2020 года, передаёт Telegram-канал «Утечки информации» компании DLBI, которая специализируется на поиске уязвимостей.
Для скачивания на одном из англоязычных форумов доступны более 530 тысяч записей частных клиентов, включая ФИО, данные заграничных и российских паспортов, адреса и телефоны; более 300 записей корпоративных клиентов (название организации, телефон, e-mail, почтовый адрес), более 250 записей о самолётах, подсчитали специалисты.
Большинство записей в базе могут принадлежать россиянам, поскольку UTair обслуживает, в основном, российские маршруты, рассказал агентству «Прайм» основатель DLBI Ашот Оганесян.
В августе 2019 года базу предлагали к продаже, отметили в DLBI. Её источник — открытый сервер компании Utair Digital, ИТ-подразделения перевозчика Utair, который в марте 2019 года обнаружили специалисты сервиса. После обращения в UTair доступ к серверу был закрыт.
В пресс-службе UTair сообщили, что зимой 2019 года авиакомпания подверглась хакерской атаке, из-за которой один из её серверов пострадал, указывает «Правда УРФО». Хакеры могли получить доступ к «некоторым данным» пассажиров, за исключением банковских карт, подчеркнули в авиакомпании.
«Служба безопасности сразу исправила эту проблему, приняла дополнительные меры по защите данных пользователей и минимизации рисков спама и фишинга», — рассказали в UTair, отметив, что не зафиксировали ни одного несанкционированного доступа к счетам пассажиров в программе лояльности.
Когда уже сделают нормальными штрафы за слив/утечку персональных данных? Чтобы компаниям было дешевле нормальную защиту делать, а не штрафы платить?
Какие штрафы? Как только регаешься в налоговой, начинают звонить все банки в ту же секунду. Штрафы то кому выписывать, самим себе?
Так нужно заводить 1 номер для регистрации в налоговой и другой - для нормальных клиентов\ партнеров
Третий для Авито, чтобы мошенники не звонили/не писали.
Четвёртый для Телеги, чтобы товарищ майор не нашёл.
И пятый для банкинга, для безопасности :)
Комментарий недоступен
Доброе утро. Это легальный сервис который налоговая официально продает.
Ухаха
Никогда. 100% защитить нереально
Когда сидишь в аэропорту Тюмени в ожидании начала посадки на рейс Utair и читаешь этот пост :).
- Здравствуйте, я из службы безопасности Сбербанка!
Зато сэкономили
С другой стороны студентам и фрилансерам тоже нужно на чем-то учиться ...
О, походу UTair нарушил КоАП 13.11. Штраф за нарушение сохранности персональных данных граждан для юридических лиц - от 5000 до 10000 рублей. Да уж, штраф так штраф. Обдолбанные едросы такой размер штрафа утверждали?
Понятно, что это тонкие моменты, но кажется, что такие штрафы должны быть привязаны к размеру утёкшей базы или к стоимости компании, нарушившей закон. Сейчас, по факту - отношение к персональным данным в стране наплевательское!
Хде скачать? Дайте линк!!!
https://webcache.googleusercontent.com/search?q=cache:eRBEm9G7VZ0J:https://raidforums.com/Thread-Ut-Database+&cd=1&hl=ru&ct=clnk&gl=ru&client=safari
Удалили уже тред на форуме и дамп по ссылке.
эээ... тьфу ты..
Если сделать все данные граждан доступными всем, как это было раньше, то не будет сливов :)
"Чтобы все были счастливыми - надо убить всех несчастливых".
в Америке давно есть телефонные спрвочники
кого сейчас таким удивишь
Эта БД - дамп открытого сервера MongoDB вышеуказанного авиаперевозчика, который они успешно оставили в открытом доступе. Датируется началом 2019 года.
Так что никакого слива нет. Обычная экономия на ресурсах и безопасности.
Да и самой новости год без месяца.
Зачем держать 27017 открытым?
он раньше вроде по умолчанию был, помню rbc писал чтобы прикрыли )
а ufw по-умолчанию настроить нельзя или же dst-nat?
Вот для подобного нарушения UTair был бы вполне логичен штраф в 250 тысяч рублей. Это было бы ощутимо и вело бы к сохранности данных. А сейчас - даже наличие такого закона смешно, ибо он никакой существенной ответственности не предполагает. Обесценен.
Какие меры-то, как они собираются «защитить» от спама утекшие телефоны?
Нехуй сайты на пхп писать
Какое отношение php имеет к безопасности данных?
Низкий порог вхождения делает возможность писать системы людям, которые ещё не опытны в защите данных и проектирования систем.
Так каким местом ЯП к утечке данных то?
Это про любой современный ЯП нынче сказать можно, какой нить nodejs по вхождению еще проще.
Комментарий недоступен
"не зафиксировали ни одного несанкционированного доступа к счетам пассажиров в программе лояльности."
Самое страшное - это, конечно, счет с накопленными милями. Иногда странно, как компании беспокоятся о защите счетов лояльности, вводя меры защиты похлеще банковских, а при этом с другими, более чувствительными данными, происходит то, что происходит
Где ссылка на базу?😂
Где посадки?!)
Ну в компании очень странно проходит найм в ИТ и на них экономят. Личный кейс - оговорили одно, потом вместе с оффером "якобы у вас опыт в предметной области отсутствует, поэтому -20%". И сайт у них с багами от джунов.
Базы постоянно сливают и всем пофиг, пользуйтесь р2р системами, как экосистема Утопия, где ваши данные будут храниться У ВАС на компе, а нет на каких-то левых серверах