В сети продают базу с данными 5 млн студентов и сотрудников Skyeng за 40 тысяч рублей

    imageФото: skyeng.ru

    В интернете выставили на продажу данные 5 млн учащихся и сотрудников онлайн-школы английского языка Skyeng. Базу продают за 40 тысяч рублей. Компания факт утечки не подтвердила.

    Базу обнаружил Telegram-канал In4security. Она включает информацию о пользователях сервиса из стран СНГ, в том числе их номера телефонов, адреса электронной почты и идентификаторы в Skype. В базе содержатся данные о 270 тысячах записей россиян — учителях, учениках и работниках компании.

    image

    Журналисты смогли подтвердить подлинность опубликованных данных путем обзвона людей из базы.

    Как заявили в компании, нет оснований считать, что эта БД имеет отношение к Skyeng.

    Основатель DeviceLock Ашот Оганесян отметил, что база могла попасть в сеть около трех месяцев назад в результате открытого доступа к серверу MongoDB.

    Аналитик Infosecurity a Softline Company Александр Вураско же уверен, что информация утекла либо при взломе ресурса школы, либо ее выкачал сотрудник, который мог уволиться. С этим мнением согласен и менеджер по развитию направления DLP Solar Dozor компании «Ростелеком-Солар» Алексей Кубарев. Он, в целом, спрогнозировал рост подобных публикаций данных из-за возросшей текучки кадров.

    Другими вариантами могут быть внешняя атака на сервер с данными пользователей, либо сбор данных от онлайн-кабинетов пользователей с помощью фишингового сайта, который имитировал Skyeng.

    Злоумышленники могут воспользоваться данными не только для хищения средств. Пострадавшим клиентам могут, к примеру, предложить оплатить несуществующие услуги Skyeng. Кроме того, конкуренты могут использовать информацию для контекстной или таргетированной рекламы.

    В Infosecurity a Softline Company в период пандемии зафиксировали до десяти новых утечек баз данных. Это была информация о клиентах интернет-магазинов, посетителях сайтов и др. Ранее на этой неделе в сети обнаружилась база данных 5 млн соискателей, предположительно, с сайта SuperJob. Данные относятся к 2016 году. Они включают ФИО, пол, дату рождения, телефон, адрес эл. почты, город, желаемую з/п. Однако в компании утечку опровергли.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 30

      +14
      Немудрено, учитывая их «отношение» к багхантерам. О багах, приводящих к утечке пользователей в прошлом году сообщили минимум три человека, полученные ответы: дубль, это не продуктовая база и в таком духе. Вот и результат (=.
        +11
        База на 5 млн. теплых лидов за 40к? Ничоси, на месте конкурентов, я б взял. Даже если не сейчас пользовать активно, а на потом.
          +3
          «5кк строк» как написано на картинке, там же видно, что один человек в базе занимает не одну строку. Да и включив логику, можно прикинуть, что 5 кк пользователей это уже корпорация какая-то, вряд ли скайэнг и 1/10 имеет
            +2
            Скайенг активно собирает (собирал до covid-а) ФИО+E-mail+телефон на партнерских оффлайновых мероприятиях для проведения розыгрышей вида «8 занятий в подарок». Возможно, в 5кк входят и эти записи. Конечно, тогда там будет много дублей и неверифицированных данных. Но само число 5кк в таком случае уже не выглядит невероятным.
              +3

              Заголовок получился жёлтым.

            +11
            Председательствующий: Так… (Наливает из графина.) Теперь попросим на трибуну начальника транспортного цеха представителя Skyeng spasibo_kep. Пусть доложит об изыскании внутренних резервов. Доложьте нам!
              –12

              Привет, докладываю: не ведитесь на все, что пишут в советских газетах, это ещё товарищ Булгаков завещал)

                +22
                Так и запишем: «выросли на заветах КомПартии: порочащую информацию скрывать от общественности, утечки отрицать, недовольных закрыть»
                  –6
                  утечки отрицать, недовольных закрыть

                  Меня прям пугает ваш рьяный подход)

                    –6
                    Смотрите. Найти и добавить в какую угодно базу контакты скольких-то наших ребят — легко, мы особо не прячемся, контактные данные публичных ребят открыты, да много где на отраслевые ивенты и т.д. с корп почт регистрируемся. Вот обратите внимание, что на том же скриншоте почта skyeng()ru, то есть она корпоративная.

                    Идем дальше: многие ребята параллельно и наши студенты, подтягивают или поддерживают разговорный английский, имея скидку на продукт. То есть, если набрать кому-то из них и спросить в духе «а вы вот учитесь?», то будет как в том недавнем ролике про мужика, звонок и голосование по поправкам.
                +9

                Не хотим ни на что намекать, но, как пример, в материале говорят:


                "база могла попасть в сеть около трех месяцев назад в результате открытого доступа к серверу MongoDB."


                У нас нет монги, совсем) И другие поинты также вызывают мало доверия.

                  +16

                  Ага, дело не монге, но пароли в «вашей» бд вы храните (хранили в 2019) plaintext’ом. Теперь поинт вызвал доверие?

                    +5
                    Монга это мое предположение на основе того, что продавец предоставил. А предоставил он точно дамп Монги.

                    Совершенно не важно, есть у вас Монга или нет. Важно откуда данные пришли. 100500 кейсов было, когда данные сливались не с продакшена, а со staging или dev серверов, вообще сторонних подрядчиков.
                      +3

                      Есть какие-то подтверждения, что данные изначально хранились в монге? Возможно они были внесены в неё после, т.к. это вполне удобный формат для распространения.


                      Предположение об открытом месяц назад порте, указанное в статье без всяких аргументов, звучит как достаточно точное предположение, имеющее под собой веские основания.
                      А тут вроде как получается, что "убийца повар, потому что орудие убийства кухонный нож".

                    +4
                    Если кратко: вопрос изучаем. Сейчас считаем, что это не наша база.

                    с данными 5 млн студентов

                    Как минимум потому, что у нас, к сожалению, нет и не было 5 миллионов учеников. Даже если сложить их число за все годы существования школы. Пока предполагаем, что какую-то стороннюю базу обогатили несколькими тысячами строк про Skyeng: такие данные можно взять из фишинговых сайтов, а структуру базы посмотреть в различных открытых источниках, например, API.
                      +7
                      На скриншоте заявлено о 5 млн строк, по 15 строк на ученика, т.е. около 300 тыс учеников.
                      Столько было?
                        0
                        В БД 15 строк на ученика это столбцы
                          0
                          В NoSQL всё не так однозначно.
                      +1
                      Судя по местонахождению Skyeng они попали на GDPRный штраф в 4% от глобального оборота.
                        +4
                        Если клиентов из евросоюза нет, то не попали. А если бы клиенты из евросоюза были, то нет никакой разницы по месторасположению конторы.
                          0
                          Можете пояснить, почему?
                          Товарищи находятся на Кипре судя по их оферте (вполне себе ЕС), как следствие — уже без разницы, данные европейцев или иных граждан они обрабатывают.
                          Тут точно нарушено правило 72 часов о репортинге регулятору, судя по ответам представителя компании
                            0
                            Основная причина вот тут:
                            2. This Regulation applies to the processing of personal data of data subjects who are in the Union ...


                            Хотя, подозреваю, что проблема может и быть, т.к. есть большие основания подозревать, что хоть и немного, но жители (не обязательно граждане) ЕС в утечке присутствуют.
                              0
                              Но 2 статья про обработчика вне EU. Если обработчик внутри (как Skyeng) — то там все ПД в объеме
                              1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
                                0
                                Ну, с учетом того, что все законодательство о ПД вытекает из конвенции о защите прав человека, то ЕС кладет болт на тех, кто одновременно неграждане и непроживающие в ЕС. Они никоим образом не входят в официальную сферу интересов.

                                Поэтому по процитированным условиям стоит логическое «И».

                                И соответственно локальный физический магазинчик в Бразилии, который насобирал прямо у себя ПД граждан ЕС, которые физически в него зашли и дали эти данные, не должен выполнять правила ЕС по обработке ПД.
                                  0
                                  Смотрите, 1 статья про обработчика данных в ЕС. Вторая про обработчика вне ЕС, но данные в ЕС (онлайн-магазинчик в бразилии для ЕС).
                                  Более того, Data subjects — это любые люди, не только граждане. Прямая цитата:
                                  Recital 14
                                  (14) The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data.
                                    0
                                    Если честно, то я не вникал в эти тонкости, потому как у меня нет зарегистрированного юрлица в ЕС, но судя по конвенции о защите прав человека и вытекающих прецедентов, ЕС не интересуется «чужими» жителями (кроме своих граждан).
                                      0
                                      Мы разобрались благодаря российским клиентам с «мамой» в EU. В общем пришлось соответствовать еще и GDPR
                                      В общем skyeng попал имхо на несколько сотен тысяч евро как мин имхо, ежели кто наябедничает. За две минуты в гугле нашел пример штрафа
                                      www.cpdp.bg/en/index.php?p=news_view&aid=1514
                                        0
                                        Мы разобрались благодаря российским клиентам с «мамой» в EU. В общем пришлось соответствовать еще и GDPR

                                        Ну, многие перезакладываются, поэтому я бы не стал это считать доказательством. Мне из моего варианта прочтения кажется, что защита идет только ПД граждан и жителей ЕС.
                      0
                      а где пруфы то? где базу можно увидеть на продаже?
                      я хочу дойти до источника и убедиться
                      дайте ссылку в даркнет если есть
                      какой то мутный канал в телеге что-то запостил и куча сми тупо копипастят вставляя мнения «экспертов» ))
                      ну я и раньше догадывался как делаются такие новости, но реально пока не сталкивался

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое