denis-19 Nov 13 2022 at 08:04

Хакеры выставили на продажу данные пользователей Whoosh

1 min

6.4K

Information Security*Finance in ITTransportIT-companies

Comments 22

vadimk91 Nov 13 2022 at 10:26

Причиной утечки стало нарушение правил информационной безопасности одним из сотрудников компании

Хакеры, кругом одни хакеры.. А на деле свой же сотрудник компании сливает данные, надо же, никогда такого не было, и вот опять.

Areso Nov 13 2022 at 10:41

Причиной утечки стало нарушение правил информационной безопасности одним из сотрудников компании

Хакеры, кругом одни хакеры.. А на деле свой же сотрудник компании сливает данные, надо же, никогда такого не было, и вот опять.

Не всегда. Такая формулировка может быть и при незакрытой БД (MongoDB, к примеру), торчащей в интернет.

Forthright Nov 13 2022 at 10:51

Так социнженерия это же один из классических векторов хакерской атаки.

sergiodev Nov 13 2022 at 11:37

Ещё пишут повсюду "мы там заботимся о безопасности ваших данных, туда-сюда". Ой, ну куда деваться прям, заботливые какие.

MRD000 Nov 13 2022 at 13:35

На самом деле это болезнь сегодня общемировая. Куча компаний и тренинги делают, некоторые даже прикольные видео делают с обыгрыванием ситуаций для обучения сотрудников. Но в конечном итоге все зависит от конкретных людей и что они делают. И даже после кучи просмотров и обсуждений могут, например, при миграции базы данных для упрощения поставить пустой пароль для root на базе, которая доступна через интернет. У них просто в голове ничего не срабатывает ничего, к сожалению.

sergiodev Nov 13 2022 at 13:48

Ага, "потом поменяем пароль", и все дружно забыли, или ответственный чел уволился.

Но мне кажется, что в таких шарашкиных конторах по типу "стартупа" с безопасностью изначально не особо заморачиваются...

marlboro0x Nov 14 2022 at 07:10

Сотрудники вообще не должны видеть данные, тогда они их не передадут хакерам. Как сотрудник получил доступ к данным пользователей, кто ему разрешил? Почему сервис предоставляет данные пользователей своим сотрудникам, есть ли в этом большая необходимость. Человек не должен иметь доступа к данным, он их потеряет...

yett Nov 13 2022 at 11:47

Смотря на все сливы, задумываешься, а не пора ли сократить сбор данных компаниями? Вот зачем подобному сервису имя, номер телефона и адрес электронной почты? Для антифрод системы? Достаточно убрать акции и промокоды для новых пользователей и антифрод уже не понадобится.

Сейчас слишком много компаний стали запрашивать личную информацию, что на мой взгляд совершенно излишне.

Japet Nov 13 2022 at 11:58

зачем подобному сервису имя, номер телефона и адрес электронной почты?

Доставать рекламой.

sergiodev Nov 13 2022 at 13:45

Я тоже не понимаю, зачем им номер телефона, разве что для входа в приложение или авто-поиска клиента в базе при звонке в суппорт, ну и рекламы.

Для входа и эл. почты достаточно так-то, или какого-нибудь аккаунта Google/Apple. Рекламу тоже на почту можно слать или через уведомления.

Просто от балды решили требовать номер телефона, мне кажется. Ведь остальные так делают, давайте тоже сделаем!

werwolflg Nov 13 2022 at 22:41

Создать много новых номеров телефона таки сложнее создания кучи новых адресов электронной почты, так что не совсем от балды.

EvgeniyNuAfanasievich Nov 14 2022 at 11:55

в случае любого мошенничества со стороны клиента, дтп и т.д. где требуется идентификация пользователя однозначная, в случае если даже номера телефона подтвержденного нет (а вроде как в РФ симки без паспорта продавать нельзя) компания остается крайней.

sergiodev Nov 14 2022 at 12:00

Разве реквизитов карты для этого недостаточно?

yett Nov 14 2022 at 12:40

Телефон, как и реквизиты карты не дают возможность однозначно идентифицировать пользователя.

В подобных компаниях для предотвращения мошенничества достаточно убрать акции. Тогда смысл в мошенничестве исчезнет. Или дать выбор пользователям. Ты не вносишь свои данные, но тебе не доступны акции или ты вносишь данные и тебе доступны акции.

alextrof94 Nov 14 2022 at 04:20

Как раз с помощью промокодов новые юзеры в основном и появляются. Сначала это "хммм, бесплатно, от чего же не попробовать", а потом уже "хмм, удобнее было бы до парка в 2х км добраться, и прогулка, считай сразу начнется".

yett Nov 14 2022 at 12:47

В таком случае нужно просто изменить систему штрафов. С фиксированной суммы, на сумму за каждую строчку утечки. Причем эту сумму выплачивать тем, чьи данные утекли. Условно по 50к. Вот утекли данные 7.2 млн пользователей - держи выплату в 360 млрд. Тогда сразу найдутся деньги на ИБ.

sergiodev Nov 13 2022 at 13:51

Утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок

В компании, видимо, не считают номер телефона в комбинации с почтой какими-то чувствительными данными. Понятно всё с ними.

Stavr666 Nov 13 2022 at 18:40

Эту компанию создала горстка банкиров с пухлыми карманами. Думаю, про "безопасность" в такой ситуации сразу всё понятно.

-1

heejew Nov 14 2022 at 06:06

Нет прямой связи между тем, кто основал/создал сервис, и безопасностью. Больший смысл имеет только нынешнее руководство. В любом случае, это просто распиздяйство и ощущение безнаказанности на местах.

Weron2 Nov 13 2022 at 16:52

Я как-то хотел посмотреть просто стоимость поездки, скачал приложение и оно тут же стало заставлять оставить свой телефон. Получается чтобы посмотреть цену, уже попадаешь в сети и рискуешь со временем снова получать новую порцию рекламных звонков от стоматологий, театров, и прочего... Ах да, еще и про "банки" забыл

Areso Nov 13 2022 at 20:23

А если прокатитесь, то вам сотрудники безопасности банка еще и подскажут 4 последних цифры, для пущей убедительности :)

grims Nov 14 2022 at 16:25

Никогда такого не было и вот опять.

Hidden text