Незащищенные базы сливали данные 60 млн пользователей LinkedIn

Олег Иванов 19 Апреля 2019 - 08:37

Домашние пользователи

Утечки информации

Умышленные утечки информации

Кража данных

Случайные утечки

...

Незащищенные базы сливали данные 60 млн пользователей LinkedIn

На просторах Сети были найдены восемь незащищенных баз данных, раскрывающих информацию приблизительно 60 миллионов пользователей социальной сети для деловых контактов — LinkedIn. Помимо прочей информации, в базах были указаны адреса электронной почты зарегистрированных в LinkedIn людей.

Первым обратил внимание на странные базы данных исследователь Сеньям Джейн из некоммерческой организации GDI.foundation. Джейн сообщил, что содержащие информацию пользователей LinkedIn базы то исчезали, то снова появлялись в Сети под разными IP-адресами.

«Мой анализ показал, что данные удалялись, а затем загружались на другой IP-адрес ежедневно. Спустя какое-то время база либо становилась недоступна, либо я не мог получить доступ к этому конкретному IP. Это очень странное поведение», — объясняет эксперт.

Суммарно во всех восьми базах содержалась информация приблизительно 60 миллионов пользователей LinkedIn. К счастью, ничего личного не утекло, это всего лишь публичные данные, которые были собраны с какой-то целью.

Общий объем баз данных 229 Гб, а размер каждой варьируется между 25 Гб и 32 Гб.

По словам Джейн, ему удалось проанализировать одну из записей, принадлежащих аккаунту конкретного пользователя LinkedIn. В результате в ней нашлись следующие данные: идентификатор, URL профиля, места работы, места учебы, геолокация, перечисленные навыки, время последнего обновления профиля.

Также в базах содержались адреса электронной почты, на которые были зарегистрированы учетные записи LinkedIn. В этом случае непонятно, как эти данные попали в базы, так как настройки многих пользователей запрещают публичный доступ к email-адресам.

Такие настройки профиля были у Лоуренса Абрамса из BleepingComputer, который также с удивлением обнаружил свой имейл в базах.

Более того, в незащищенных базах также указывалось, какой сервис электронной почты использует тот или иной пользователь. Эти значения имели вид «isProfessional», «isPersonal», «isGmail», «isHotmail» и «isOutlook».

Исследователи связались с компанией Amazon, которая выступала хостером незащищенных баз данных, и попросили ее закрыть доступ к данным пользователей LinkedIn. В LinkedIn заявили, что эти базы не принадлежат социальной сети.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Positive Technologies запустила Bug Bounty для 15 своих продуктов

Екатерина Быстрова 26 Декабря 2025 - 10:33

Уязвимости программ Домашние пользователи Корпорации Средства поиска уязвимостей Bug Bounty Positive Technologies

Positive Technologies запустила Bug Bounty для 15 своих продуктов

Positive Technologies расширила работу с сообществом баг-хантеров и запустила на платформе Standoff Bug Bounty отдельные программы поиска уязвимостей сразу для 15 своих продуктов. Теперь каждое ключевое решение компании можно проверять в рамках собственной, выделенной программы — с понятным списком рисков и фиксированными вознаграждениями.

За обнаружение наиболее опасных уязвимостей исследователям готовы платить до 500 тысяч рублей.

В каждой программе описано от 10 до 15 потенциальных проблем, ранжированных по уровню критичности именно для конкретного продукта. Среди примеров — возможность получения прав администратора в PT NGFW, обход аутентификации в интерфейсе управления PT Application Inspector или удаление следов атак в PT Network Attack Discovery.

За проработку критических рисков выплаты составляют от 300 до 500 тысяч рублей, за уязвимости высокого уровня опасности — от 150 до 300 тысяч. Таким образом компания даёт баг-хантерам чёткое понимание, какие сценарии представляют наибольшую ценность с точки зрения реальной безопасности.

Одновременно Positive Technologies обновила и уже действующие программы Bug Bounty. В запущенную более трёх лет назад инициативу Positive dream hunting, которая ориентирована на поиск недопустимых для бизнеса событий, добавили новый критический сценарий — кражу персональных данных.

Ранее в список входили хищение денег со счетов компании и внедрение условно вредоносного кода. Вознаграждение за исследование таких сценариев может достигать 60 млн рублей.

Расширилась и программа Positive bug hunting, посвящённая поиску уязвимостей в веб-сервисах компании. Теперь в её область действия входят все основные домены и поддомены, доступные исследователям. Общая сумма выплат в рамках этого проекта уже превысила 1,2 млн рублей.

В компании подчёркивают, что рассматривают собственные продукты как эталон защищённости — и именно поэтому активно привлекают независимых экспертов к их проверке. По словам руководителя департамента ИБ Positive Technologies Виктора Гордеева, запуск отдельных программ для каждого продукта и расширение периметра исследований позволит эффективнее тестировать весь продуктовый портфель и быстрее находить наиболее актуальные уязвимости.

В итоге выигрывают обе стороны: баг-хантеры получают прозрачные правила и серьёзные вознаграждения, а разработчики — дополнительный уровень проверки своих решений в боевых условиях.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »