Утечка в Olerex: мошенники получили доступ к данным ста тысяч клиентов

Заправка Olerex. Иллюстративное фото.

ФОТО: Mihkel Maripuu / EESTI MEEDIA/SCANPIX

В понедельник сеть заправок Olerex обнаружила, что преступники, воспользовавшись уязвимостью системы безопасности, получили доступ к информации приблизительно 100 тысяч сделок, с помощью которых стали известны личные данные клиентов, начиная с имени и заканчивая данными документов. Во вторник было зафиксировано предупреждение о нарушении безопасности, но уже известно, что базу данных успели загрузить 71 раз.

«Предполагается, что идет речь о данных ста тысяч сделок, преимущественно касающихся названий компаний, персональных идентификационных кодов, лимитов на топливные карты и других данных. Это довольно обширная утечка. Насколько нам известно, данные также были загружены 71 раз, что вызывает беспокойство», - сказал заместитель генерального директора Департамента государственных инфосистем(RIA) Уку Сяреканно.

Согласно текущей информации, номера кредитных карт не фигурируют в утечке данных.

По сообщению Postimees, Olerex обнаружил публичный доступ к базе данных в понедельник, 8 июля, и сообщил об этом Департаменту во второй половине дня 9 июля, когда уязвимость безопасности уже была закрыта.

Насколько известно Департаменту, данные были предоставлены в связи с перемещением серверов топливной компании. В общей сложности база данных была доступна в интернете полтора месяца. За какой период сделки и информация о клиентах принадлежали украденной базе данных, пока не ясно.

В связи со случившимся Департамент государственных инфосистем и Инспекция по защите данных возбудили производство в отношении Olerex.

По словам Сяреканно, факты указывают на то, что преступники, вероятно, обнаружили публичную доступность данных клиентов с помощью автоматизированного поиска.

Это настройка для компьютеров, которые систематически связывают уязвимости безопасности с конкретными шаблонами с корпоративных серверов. В большинстве случаев такие попытки заканчиваются неудачей, но если компания не была внимательна к защите данных или была допущена человеческая ошибка, данные становятся общедоступными.

«Это аналогично тому факту, что взломщик идет по деревне и в каждом доме проверяет, открыта ли входная дверь», - сказал Сяреканно.

В случае Olerex, база данных, вероятно, была найдена таким образом. Если бы адрес был известен, любой мог бы получить к нему доступ онлайн. По данным RIA, данные о клиентах Olerex могут быть загружены как в Эстонии, так и за рубежом.

Как правило, данные о клиентах, полученные таким образом, используются для вымогательства денег, а также для других целей, таких как рассылка спама или перепродажа данных на черном рынке. До настоящего времени ни RIA, ни полиция не получали никаких жалоб на то, что украденные у Olerex данные использовались в преступных целях.

Olerex еще не прокомментировала утечку.

НАВЕРХ