Эксперты DLBI проанализировали выставленную хакерами на продажу за $4200 информацию по утечке данных пользователей сервиса Whoosh.
Специалисты DLBI выяснили, что в выложенных хакерами на продажу текстовых файлах содержатся данные с информацией о 7,23 млн пользователей Whoosh, включая:
- имя/никнейм пользователя;
- номер телефона (7,23 млн уникальных номеров);
- адрес электронной почты (6,89 уникальных адресов);
- маскированный (неполный) номер банковской карты — 6 первых и 4 последних цифры;
- другая информация по банковским картам: имя/фамилия латиницей, тип карты (VISA, MASTERCARD и т.п.);
- дата создания записи и последней аутентификации (с 23.01.2019 по 19.09.2022);
- GPS-координаты (может место сдачи самоката или наоборот взяли где его, там для каждого пользователя указана одна координата, это точно не маршрут).
Также хакеры продают файл с промокодами Whoosh. Основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян пояснил для Хабра, что хакеры как минимум пару месяцев брали электросамокаты покататься бесплатно, используя промокоды.
2 ноября Whoosh объявил СМИ, что компания выявила и пресекла хакерскую атаку и утечку персональных данных нескольких миллионов пользователей кикшеринга. Whoosh обратился в правоохранительные органы для расследования произошедшего инцидента.
Причиной утечки стало нарушение правил информационной безопасности одним из сотрудников компании. В процессе этого инцидента злоумышленники смогли получить доступ к части первичных данных нескольких миллионов клиентов.
«Утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информацию о транзакциях или детали поездок. Процедуры безопасности Whoosh также исключают возможность получения доступа третьих лиц к полным платёжным данным банковских карт пользователей», — добавили в пресс-службе сервиса компании.
В случае обращения внимания на этот инцидент со стороны Роскомнадзора, подтверждения факта утечки в компании и получения регулятором доказательств несоблюдения ею сохранности персональных данных Whoosh грозит штраф до 100 тыс. рублей, согласно ст. 13.11 КоАП РФ. Представитель РКН ранее советовал в таких ситуациях всем пострадавшим клиентам требовать от компаний за компрометацию ПД соразмерной компенсации как в досудебном, так и в судебном порядке.