Хакер: я выложил все, что у меня есть, защита данных Citybee была слабой

Nuotrauka CityBee — imu ir važiuoju/ facebook.com

Хакер, обнародовавший на интернет-форуме данные клиентов каршеринговой компании CityBee, говорит, что меры безопасности этого предприятия были слабые, а у него самого больше данных нет. 

Член форума RaidForums, на котором производится обмен базами данных клиентов, с псевдонимом 000 обнародовал информацию о клиентах, которые зарегистрировались на каршеринговой платформе до февраля 2018 года. 

Впоследствии он опубликовал и свои контакты для журналистов. Новостное агентство BNS связалось с ним посредством приложения Telegram.

«То, что я выложил — все, что у меня есть. Если бы я уделил этому больше времени, скорее всего, я смог бы получить и новейшую информацию», — сказал хакер, который обнародовал данные клиентов CityBee.

Он сказал, что защита данных CityBee — исключительно слабая, по его словам, доступ к ним мог получить кто угодно, кто нашел бы брешь в безопасности и обладал бы некоторыми знаниями в области информационных технологий. 

«CityBee использовала предоставляему Microsoft услугу хранилища данных Azure Blob. Microsoft позволяет обеспечить безопасность этих хранилищ с дополнительной аутентификацией, однако CityBee по какой-то причине предпочла этого не делать», — сказал он. 

«Исследоватеи, хакеры и кодеры используют так называемые DNS-записи, которые представляют собой нечто вроде телефонной книги, которая разветвляется на другие данные, связанные с основным доменом. Я выполнил поиск в DNS-записях типа CNAME на Citybee, через которые и нашел связь с хранилищем Azure», добавил хакер 000.

Он сказал, что открыл CityBee случайно и больше всего интересуется данными компаний США. Хакер не ожидал, что эта история получит такой резонанс. 

«Сначала я думал, что это будет просто еще одна утечка данных, за которую я получу пару кредитов. Однако утром я увидел, что тема «взорвалась», посмотрел на новости в Литве и увидел ущерб», — сказал он. 

«Однако мои темы показывают важную картину, как легко можно получить доступ к данным. Утечки данных пользователей крупных компаний происходят постоянно», — добавил 000.

Пользователь RaidForums, который утверждает, что действовал вместе с другими пользователями Goofy TaeTae и ISUPK, выражает сожаление в связи с ущербом, которые понесли пользователи CityBee, однако подчеркивает, что подобные утечки происходят ежедневно. 

«Я сочувствую простым людям, однако не богатым и не должностным лицам власти», — сказал 000.

О том, что данные пользователей CityBee трехлетней давности были выложены в интернете, стало известно в понедельник вечером. Компания сообщает, что произошла утечки данных примерно 110 тыс. клиентов. 

Были украдены не только имена, фамилии, личные коды части клиентов CityBee, но и номера телефонов, адреса электронной почты, адреса проживания, номера водительских прав и закодированные пароли.

Расследование начало Бюро криминальной полиции Литвы. 

За незаконное перенятие и использование электронных данных грозит штраф или лишение свободы на срок до четырех лет. 

Глава CityBee Кристийонас Кайкарис на пресс-конференции во вторник сказала, что хакеры не украли платежные данные пользователей, так как компания не хранит эти данные. 

Компания призывает своих клиентов, которые регистрировались в система до 22 февраля 2018 года, сменить пароли как в системе CityBee, так и в других системах, если там использовались идентичные или похожие пароли.

Каршеринговая компания CityBee работает в Литве, Латвии, Эстонии и Польше. Парк компании — свыше 2 тыс. транспортных средств, у компании база данных свыше 750 тыс. клиентов.

Добавить комментарий

Ваш адрес email не будет опубликован.