Хакеров пригласили в тур
Данные турагентств и их клиентов обнаружили в открытом доступе
Компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру». Сейчас база закрыта, но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, которые позволяли получить доступ к паспортным данным клиентов и информации о билетах, а также не менее 11,7 тыс. клиентских e-mail. Эксперты по кибербезопасности высоко оценивают ценность таких данных для потенциальных злоумышленников.
База данных туристического сервиса «Слетать.ру» была обнаружена в открытом доступе, сообщили “Ъ” в компании DeviceLock. По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00. По словам господина Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов. Кроме того, в ней содержатся данные трансакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.
В «Слетать.ру» “Ъ” комментариев не предоставили, так же поступили и в Ассоциации туроператоров России. На сайте сервиса говорится, что он помогает в «поиске туров по всем туроператорам». По данным SimilarWeb, число посещений сайта в апреле составило 3,35 млн.
Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают опрошенные “Ъ” эксперты по кибербезопасности. «Туристическая отрасль — конкурентный и далеко не самый высокомаржинальный бизнес, поэтому клиентские базы высоко ценятся на рынке, и для недобросовестных конкурентов база могла представлять интерес»,— указывает аналитик InfoWatch Андрей Арсентьев. Кроме того, при попадании информации о заказанных турах в руки злоумышленников нельзя исключать случаев фишинговых атак под видом доверенного турагента, отмечает он.
Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости, согласна аналитик Positive Technologies Екатерина Килюшева. Другой вариант использования данных — таргетированные рассылки рекламных предложений, добавляет руководитель отдела страхования финансовых рисков компании АИГ Владимир Кремер.
Случаи похищения данных из облачных хранилищ происходят регулярно. Ранее DeviceLock изучила более 1,9 тыс. серверов в российском сегменте интернета, использующих популярные облачные базы данных MongoDB, Elasticsearch и Yandex ClickHouse, и пришла к выводу, что более половины из них (52%) предоставляли возможность неавторизованного доступа, а каждая десятая содержала персональные данные россиян или коммерческую информацию компаний. Еще 4% уже были до этого взломаны хакерами и получали требования о выкупе. Эксперты тогда указывали, что это распространено в небольших компаниях и связано с низкой квалификацией администраторов.
Привлечь виновных в подобных утечках данных лиц к ответственности в России нереально, уверен партнер адвокатского бюро «Деловой фарватер» Сергей Литвиненко. «Законодательство не раскрывают самого понятия утечки персональных данных. Ответственность может наступать не за саму утечку, а за нарушение требований безопасности, административный штраф по которой настолько несерьезен, что легче заплатить его, чем привести системы безопасности в порядок»,— констатирует он.
На следующий день после выхода заметки «Слетать.ру» предоставила комментарий. В компании утверждают, что DeviceLock получила доступ к истории запросов в поисковой системе сервиса, который «предоставляется ряду крупнейших туроператоров-партнеров Слетать.ру для анализа информации». В ней называют содержащиеся в базе данные безобидными и утверждают, что в базе нет паспортных данных туристов, а также логинов и паролей турагенств.
В DeviceLock возражают. «Это база с логов сервиса, она содержит логины и пароли турагентств. Персональные данные туристов, включая паспорта, доступны в личном кабинете агентства, доступ в который открывается по найденным логинам и паролям. База также содержит данные о проведенных платежных трансакциях»,— настаивает господин Оганесян, подкрепляя свои слова скриншотами, с которыми ознакомился “Ъ”.