/nginx/o/2012/03/28/1029662t1hf863.jpg)
:format(webp)/nginx/o/2019/07/11/12353972t1h697b.jpg)
В понедельник сеть заправок Olerex обнаружила, что преступники, воспользовавшись уязвимостью системы безопасности, получили доступ к информации приблизительно 100 тысяч сделок, с помощью которых стали известны личные данные клиентов, начиная с имени и заканчивая данными документов. Во вторник было зафиксировано предупреждение о нарушении безопасности, но уже известно, что базу данных успели загрузить 71 раз.
«Предполагается, что идет речь о данных ста тысяч сделок, преимущественно касающихся названий компаний, персональных идентификационных кодов, лимитов на топливные карты и других данных. Это довольно обширная утечка. Насколько нам известно, данные также были загружены 71 раз, что вызывает беспокойство», - сказал заместитель генерального директора Департамента государственных инфосистем(RIA) Уку Сяреканно.
Согласно текущей информации, номера кредитных карт не фигурируют в утечке данных.
По сообщению Postimees, Olerex обнаружил публичный доступ к базе данных в понедельник, 8 июля, и сообщил об этом Департаменту во второй половине дня 9 июля, когда уязвимость безопасности уже была закрыта.
Насколько известно Департаменту, данные были предоставлены в связи с перемещением серверов топливной компании. В общей сложности база данных была доступна в интернете полтора месяца. За какой период сделки и информация о клиентах принадлежали украденной базе данных, пока не ясно.
В связи со случившимся Департамент государственных инфосистем и Инспекция по защите данных возбудили производство в отношении Olerex.
По словам Сяреканно, факты указывают на то, что преступники, вероятно, обнаружили публичную доступность данных клиентов с помощью автоматизированного поиска.
Это настройка для компьютеров, которые систематически связывают уязвимости безопасности с конкретными шаблонами с корпоративных серверов. В большинстве случаев такие попытки заканчиваются неудачей, но если компания не была внимательна к защите данных или была допущена человеческая ошибка, данные становятся общедоступными.
«Это аналогично тому факту, что взломщик идет по деревне и в каждом доме проверяет, открыта ли входная дверь», - сказал Сяреканно.
В случае Olerex, база данных, вероятно, была найдена таким образом. Если бы адрес был известен, любой мог бы получить к нему доступ онлайн. По данным RIA, данные о клиентах Olerex могут быть загружены как в Эстонии, так и за рубежом.
Как правило, данные о клиентах, полученные таким образом, используются для вымогательства денег, а также для других целей, таких как рассылка спама или перепродажа данных на черном рынке. До настоящего времени ни RIA, ни полиция не получали никаких жалоб на то, что украденные у Olerex данные использовались в преступных целях.
Olerex еще не прокомментировала утечку.