Эксперты компании DeviceLock обнаружили, что база данных сервиса по подбору туров «Слетать.ру» временно оказалась в открытом доступе. Как пишет «Коммерсантъ», база содержала логины и пароли нескольких сотен подключенных к системе турагентств. Они позволяли войти в личный кабинет компании и получить доступ, в том числе к паспортным данным клиентов.
Ашот Оганесян основатель компании DeviceLock «Стоимость туров, кто, куда, когда, каким рейсом, логин и пароль для входа в систему турагентств, которые продавали клиентам непосредственно туры. Первая запись датирована мартом 2018 года, последняя — непосредственно середина мая 2019-го. Поиском открытых баз данных такого рода, кроме нас и следователей, которые находят и сообщают владельцам о том, что у них открытые базы, есть много людей, которые выискивают те же самые базы и продают их на «черном рынке». Утверждать, что она была в открытом доступе несколько месяцев, и ее никто кроме нас не нашел, я не могу. Дело в том, что на теневом рынке масса разных сборных баз данных по всем направлениям. Сотовые операторы — это просто то, что известно широкой публике, управляющие компании, которые ЖКХ занимаются, все, что угодно вообще».
По мнению эксперта, утечка данных клиентов турагентств могла быть интересна тем, кто занимается спам-рассылкой, а также мошенникам. Как мошенники могут использовать такого рода данные? Об этом Business FM спросил у генерального директора компании Zecurion Алексея Раевского:
— Такую прямую опасность непосредственной потери денег довольно сложно придумать из этого всего, хотя мошенники в этом плане очень изобретательны, никогда не знаешь, что им придет в голову. Любая утечка, любая база данных, которая появилась в открытом доступе, — это мина замедленного действия. Никогда неизвестно, когда она может сработать. Например, мы помним прекрасную историю с Петровым и Башировым, когда по базе данных ГИБДД, которая продавалась на каждом углу, удалось сделать предположение об истинных фамилиях и месте работы, попутно еще выявив других людей, которые работали в этом же месте.
— Насколько данные сервисов по подборам туров и авиабилетов уязвимы? Можно ли их как-то обезопасить?
— Вообще сейчас очень многие сервисы уязвимы. Проблема в том, что закон о персональных данных, по сути, не работает. Во-первых, он построен таким образом, что не предусматривает никакой ответственности за утечки, во-вторых, в нем нет ответственного за подобные инциденты.
По данным аналитического портала SimilarWeb, число посещений сайта «Слетать.ру» за апрель текущего года превысило 3 млн.