28 августа 2022 года онлайн-кинотеатр Start.ru подтвердил факт утечки данных миллионов пользователей платформы.
В сервисе считают эту проблему некритичной. По поводу компенсации пострадавшим пользователям компания ничего не объявила.
«Действительно, мы столкнулись с очень неприятной ситуацией. Мы уже исправили уязвимость, и доступ к нашим данным закрыт. Бережное обращение с персональными данными пользователей очень важно для нас.Ранее Telegram-канал «Утечки информации» сообщил об обнаружении в открытом доступе базы данных пользователей онлайн-кинотеатра Start.ru в виде дампа в формате JSON, вероятно, выгруженного из MongoDB. Размер утечки составил 72 ГБ, там есть также много тестовых записей.
Информация в базе не является полностью актуальной, данные в ней за 2021 год.
База не представляет собой большого интереса для злоумышленников, самое существенное, что там есть — email или телефон, с которого пользователь мог подключаться.
В базе нет паролей в открытом виде, истории просмотров и главное — нет и не может быть данных банковских карт и другой финансовой информации.
Пароль менять не обязательно, но мы рекомендуем всем пользователям регулярно это делать и придумывать уникальные для каждого сервиса.
Извините нас, пожалуйста. Мы постоянно работаем над улучшением защиты базы пользователей»,
— пояснили в команде Start.ru.
Согласно анализу инцидента от экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в текущей утечке находятся 43 937 127 строк, содержащих такие данные:
- имя и фамилия на русском или английском языках);
- адрес элекронной почты (7 455 926 уникальных адресов);
- хешированный (частично md5crypt) пароль;
- IP-адрес пользователя;
- страна регистрации (24,6 млн строк клиентов из России; 2,3 млн из Казахстана; 2,1 млн из Китая; 1,7 млн из Украины);
- дата начала/окончания подписки, последнего входа и другая служебная информация (с 19 сентября 2017 года по 22 сентября 2021 года.
Эксперты DLBI выборочно проверили случайные записи из дампа через функцию восстановления пароля на сайте start.ru. Все логины (электронная почта) из этих записей оказались действительными.
В случае проведения проверки по этому инциденту со стороны Роскомнадзора и подтверждения факта утечки, Start.ru за несоблюдение сохранности персональных данных грозит штраф до 100 тыс. рублей, согласно ст. 13.11 КоАП РФ. Представитель РКН ранее советовал в таких ситуациях всем пострадавшим клиентам требовать от компаний за компрометацию ПД соразмерной компенсации как в досудебном, так и в судебном порядке.
Видеосервис Start запущен в 2017 году компанией Yellow, Black and White, которой владеет «МегаФон». В мае этого года «МегаФон» объединил сервисы Start и «МегаФон ТВ».
