Консалтинговая компания потеряла личные данные 300 тыс. человек

Американская консалтинговая компания Southern California Medical-Legal Consultants (SCMLC) в субботу, 11 июня, сообщила о крупной утечке данных, в результате которой в свободном доступе в Сети оказалась личная информация более чем 300 тыс. человек.



 Как говорится в сообщении SCMLC, электронные файлы содержали в себе полные имена и номера социального страхования тех около 300 тыс. налогоплательщиков, которые подали заявки на получение пособий от правительства, предназначенных для работников в Калифорнии, передает CNews

О возможной утечке компании сообщила фирма, которая занимается защитой данных, обнаружившая некоторые из этих файлов с помощью автоматического поиска по индексу Google. По словам представителей SCMLC, скомпрометированные файлы хранились компанией на специальном компьютере, предназначенном исключительно для внутреннего использования и не связанном с любыми публичными веб-страницами SCMLC. Сотрудники фирмы, обнаружившей утечку, уверили SCMLC, что не будут заниматься распространением этих сведений и получили к ним доступ лишь с целью предотвращения кражи личности злоумышленниками.

По словам Джоела Хечта (Joel Hecht), президента SCMLC, компании не известно, по каким именно причинам произошла данная утечка, расследование продолжается. «Мы очень серьезно относимся к безопасности личных данных и конфиденциальности. Сразу после сообщения об утечке мы предприняли меры по устранению этих данных из свободного доступа и усилению защиты наших систем. Мы считаем, что риск кражи личности пострадавших из-за утечки крайне невелик, однако намерены сделать все необходимое, чтобы защитить тех, чьи данные были в скомпрометированных документах», - заявил он.

«Попадание информации в поисковики серьезно усложняет ситуацию с ее защитой. Если с собственного сайта, блога или социальной сети убрать нежелательные данные можно сразу же после их обнаружения, то из кэша поисковиков, а обычно информация попадает сразу в несколько поисковых систем, такая информация автоматически удалится далеко не сразу, — считает директор по маркетингу компании SecurIT Александр Ковалев. — Очевидно, что если об утечке стало известно до того, как кэш поисковиков обновится, фактически любой желающий сможет с ними ознакомиться и при желании воспользоваться».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости ecommerce-платформы Honda сливали данные дилеров и клиентов

Раскрыты детали уязвимостей, найденных в платформе Honda Dealer Sites, облегчающей продажу электрооборудования: генераторов, насосов, газонокосилок. Баги, позволявшие получить информацию о клиентах и торговых партнерах компании, уже устранены.

О наличии серьезных проблем с безопасностью платформы электронной коммерции Honda узнала три месяца назад. Вендор немедленно запустил расследование, подтвердил возможность утечки и к началу апреля устранил все недочеты; признаков злоупотребления не обнаружено.

По словам автора опасных находок, анализ админ-панели, предоставляемой пользователям hondadealersites.com, выявил ошибку в реализации API для восстановления пароля. Ее использование позволяло сбросить пароль тестового аккаунта, а связке с другой найденной уязвимостью (IDOR, небезопасная прямая ссылка на объект) — получить доступ к данным всех дилеров, меняя идентификатор в URL.

Как оказалось, отсюда же можно с помощью особого запроса повысить привилегии до уровня администратора платформы (функциональность, доступная только сотрудникам Honda). Такой эксплойт позволял получить представление о дилерской сети и дивидендах компании в виде платы, взимаемой с подписчиков.

Из-за неадекватного контроля доступа можно было добраться до любой информации на платформе, притом даже из-под тестового аккаунта. А полный админ-доступ позволял получить, например, такие сведения:

  • данные более чем 21 тыс. заказов, оформленных у дилеров в период с 2016 года по 2023-й, с именами, адресами и телефонами клиентов;
  • имена, имейл, пароли 3588 дилеров, с возможностью подмены;
  • имена, фамилии, имейл более 11 тыс. клиентов;
  • формы финансовой отчетности;
  • потенциально — закрытые криптоключи PayPal, Stripe, Authorize.net.

Уязвимости также позволяли получить доступ к 1570 сайтам дилеров и привнести изменения — например, внедрить веб-скиммер. А доступ к детализации заказов можно было использовать для целевого фишинга.

Автомобильный бизнес Honda найденные проблемы не затронули.

В начале года тот же багхантер обнародовал уязвимость в системе управления глобальной цепочкой поставок Toyota. В веб-приложение GSPIMS был случайно привнесен бэкдор, позволявший получить доступ на чтение/запись к аккаунтам более 14 тыс. корпоративных пользователей, а также внутренним документам, проектам, комментариям и рейтингам поставщиков.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru