Стремительный рост или клоунада — «Слетать.ру» обвинили в утечке базы

Стремительный рост или клоунада — «Слетать.ру» обвинили в утечке базы

592
0
468*60

Источник: rtournews.ru

Онлайн-сервис несет серьезные имиджевые потери на фоне сообщений об обнаружении в свободном доступе базы данных с логинами и паролями подключенных к системе турагентств.

На минувшей неделе газета «Коммерсант» со ссылкой на компанию DeviceLock (занимается защитой от утечек информации) сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру». В базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов. Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.

Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают эксперты по кибербезопасности. Туристическая отрасль — конкурентный и далеко не самый высокомаржинальный бизнес, поэтому клиентские базы высоко ценятся на рынке, и для недобросовестных конкурентов база могла представлять интерес. Кроме того, при попадании информации о заказанных турах в руки злоумышленников нельзя исключать случаев фишинговых атак под видом доверенного турагента.

Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости. Другой вариант использования данных — таргетированные рассылки рекламных предложений.

В «Слетать.ру» информацию об утечке базы данных опровергли. Руководитель компании Андрей Вершинин через отраслевое СМИ пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: Андрей Вершинин отметил, что никаких доказательств столь серьезных обвинений «Слетать.ру» до сих пор не получила. , – добавил он.

В свою очередь в DeviceLock заявление А. Вершинина назвали клоунадой. Ашот Оганесян утверждает, что найденная база — с логов сервиса, и она содержит логины и пароли турагентств. Персональные данные туристов, включая паспорта, доступны в личном кабинете агентства, доступ в который открывается по найденным логинам и паролям. База также содержит данные о проведенных платежных транзакциях. В подтверждение своих слов технический директор выложил у себя на странице в Facebook скриншоты с кодом базы и аккаунта розничного дилера «Слетать.ру», на котором видны отчества его клиентов и замазаны графы, где должны быть указаны их имена и фамилии, номера телефонов, паспортные данные и другие сведения.

Ранее в журнале RTourNews.ru: Авиакомпания «Россия» сообщила о случаях мошенничества в сети.

НЕТ КОММЕНТАРИЕВ

ОСТАВЬТЕ ОТВЕТ