Comments 22
Причиной утечки стало нарушение правил информационной безопасности одним из сотрудников компании
Хакеры, кругом одни хакеры.. А на деле свой же сотрудник компании сливает данные, надо же, никогда такого не было, и вот опять.
Причиной утечки стало нарушение правил информационной безопасности одним из сотрудников компании
Хакеры, кругом одни хакеры.. А на деле свой же сотрудник компании сливает данные, надо же, никогда такого не было, и вот опять.
Не всегда. Такая формулировка может быть и при незакрытой БД (MongoDB, к примеру), торчащей в интернет.
Так социнженерия это же один из классических векторов хакерской атаки.
Ещё пишут повсюду "мы там заботимся о безопасности ваших данных, туда-сюда". Ой, ну куда деваться прям, заботливые какие.
На самом деле это болезнь сегодня общемировая. Куча компаний и тренинги делают, некоторые даже прикольные видео делают с обыгрыванием ситуаций для обучения сотрудников. Но в конечном итоге все зависит от конкретных людей и что они делают. И даже после кучи просмотров и обсуждений могут, например, при миграции базы данных для упрощения поставить пустой пароль для root на базе, которая доступна через интернет. У них просто в голове ничего не срабатывает ничего, к сожалению.
Ага, "потом поменяем пароль", и все дружно забыли, или ответственный чел уволился.
Но мне кажется, что в таких шарашкиных конторах по типу "стартупа" с безопасностью изначально не особо заморачиваются...
Сотрудники вообще не должны видеть данные, тогда они их не передадут хакерам. Как сотрудник получил доступ к данным пользователей, кто ему разрешил? Почему сервис предоставляет данные пользователей своим сотрудникам, есть ли в этом большая необходимость. Человек не должен иметь доступа к данным, он их потеряет...
Смотря на все сливы, задумываешься, а не пора ли сократить сбор данных компаниями? Вот зачем подобному сервису имя, номер телефона и адрес электронной почты? Для антифрод системы? Достаточно убрать акции и промокоды для новых пользователей и антифрод уже не понадобится.
Сейчас слишком много компаний стали запрашивать личную информацию, что на мой взгляд совершенно излишне.
зачем подобному сервису имя, номер телефона и адрес электронной почты?
Доставать рекламой.
Я тоже не понимаю, зачем им номер телефона, разве что для входа в приложение или авто-поиска клиента в базе при звонке в суппорт, ну и рекламы.
Для входа и эл. почты достаточно так-то, или какого-нибудь аккаунта Google/Apple. Рекламу тоже на почту можно слать или через уведомления.
Просто от балды решили требовать номер телефона, мне кажется. Ведь остальные так делают, давайте тоже сделаем!
Создать много новых номеров телефона таки сложнее создания кучи новых адресов электронной почты, так что не совсем от балды.
в случае любого мошенничества со стороны клиента, дтп и т.д. где требуется идентификация пользователя однозначная, в случае если даже номера телефона подтвержденного нет (а вроде как в РФ симки без паспорта продавать нельзя) компания остается крайней.
Разве реквизитов карты для этого недостаточно?
Телефон, как и реквизиты карты не дают возможность однозначно идентифицировать пользователя.
В подобных компаниях для предотвращения мошенничества достаточно убрать акции. Тогда смысл в мошенничестве исчезнет. Или дать выбор пользователям. Ты не вносишь свои данные, но тебе не доступны акции или ты вносишь данные и тебе доступны акции.
Как раз с помощью промокодов новые юзеры в основном и появляются. Сначала это "хммм, бесплатно, от чего же не попробовать", а потом уже "хмм, удобнее было бы до парка в 2х км добраться, и прогулка, считай сразу начнется".
Утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок
В компании, видимо, не считают номер телефона в комбинации с почтой какими-то чувствительными данными. Понятно всё с ними.
Эту компанию создала горстка банкиров с пухлыми карманами. Думаю, про "безопасность" в такой ситуации сразу всё понятно.
Я как-то хотел посмотреть просто стоимость поездки, скачал приложение и оно тут же стало заставлять оставить свой телефон. Получается чтобы посмотреть цену, уже попадаешь в сети и рискуешь со временем снова получать новую порцию рекламных звонков от стоматологий, театров, и прочего... Ах да, еще и про "банки" забыл
Никогда такого не было и вот опять.
Хакеры выставили на продажу данные пользователей Whoosh