Данные почти 9 млн абонентов Билайн найдены в открытом доступе

Олег Иванов 07 Октября 2019 - 08:07

...

Данные почти 9 млн абонентов Билайн найдены в открытом доступе

Буквально на прошлой неделе в Сети была обнаружена база данных миллионов клиентов Сбербанка. Теперь та же участь постигла оператора связи «Билайн»: информация почти 9 миллионов абонентов, подключивших домашний интернет, найдена в открытом доступе.

Эксперты, успевшие прокомментировать последнюю утечку, утверждают, что слитых данных хватит для проведения атак с использованием социальной инженерии.

Сотрудники издания «Коммерсант», получившие ссылку на загрузку утёкшей базы данных от источников в банковских службах, успели проверить актуальность скомпрометированной информации. В ходе проверки работники «Ъ», пользующиеся интернетом от «Билайн», нашли в БД свои полные имена, адреса, мобильные и домашние телефоны.

Данные в общедоступной базе датируются ноябрём 2016 года, то есть утекла информация как действующих, так и уже истёкших или закрытых договоров. Представители «Билайн» заверили, что компания инициировала внутреннее расследование.

Пресс-служба оператора связи также отметила, что утёкшие данные клиентов представляют собой лишь часть базы 2017 года. При этом сам оператор выявил утечку два года назад.

Руководство «Билайн», по его словам, наказало всех виновных, а большая часть находящихся в открытом доступе данных уже устарели.

Эксперты в области кибербезопасности обращают внимание, что такая база может быть полезна разного рода онлайн-мошенникам, которые привыкли в ходе своей деятельности использовать социальную инженерию. Как правило, утёкшая информация позволяет подобрать верную стратегию для атак клиентов.

На прошлой неделе мы писали, что участники одного из форумов хакерской тематики пытаются продать внушительную базу данных, содержащую, по их заявлениям, личную информацию клиентов Сбербанка. Данные 60 миллионов кредитных карт — такую цифру приводят продавцы.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 14:41

Утечки информации Случайные утечки Случайное разглашение данных Домашние пользователи

Одноразовые СМС-ссылки годами открывают доступ к личным данным

Одноразовые ссылки, которые сервисы рассылают по СМС для входа или подтверждения действий, на практике часто оказываются вовсе не одноразовыми. Новое исследование показало, что такие URL могут годами оставаться активными и открывать доступ к персональным данным пользователей.

Исследователи собрали данные через публичные СМС-шлюзы — сайты, где отображаются сообщения, отправленные на временные номера.

В общей сложности специалисты проанализировали более 33 млн сообщений, связанных с 30 тыс. телефонных номеров, и извлекли около 323 тысячи уникальных ссылок, ведущих на 10,9 тыс. доменов.

Из примерно 147 тыс. доступных URL удалось выявить 701 конечную точку, раскрывающую персональные данные пользователей. Эти ссылки относились к 177 сервисам. В открытом доступе оказывались имена, номера телефонов, адреса, даты рождения, банковские реквизиты, номера социального страхования и кредитные данные. Во многих случаях одной ссылки хватало для сбора подробного профиля человека.

Особую тревогу вызвал срок жизни таких ссылок. Все 701 URL оставались рабочими на момент проверки. Более половины из них были возрастом от одного до двух лет, ещё 46% — старше двух лет, а некоторые датировались 2019 годом. По словам авторов исследования, чем дольше ссылка остаётся активной, тем выше риск её утечки — через пересылку сообщений, логи, взломанные устройства или повторное использование номеров.

Во всех подтверждённых случаях доступ к данным строился по принципу bearer-link: сама ссылка служила единственным «ключом» и не требовала дополнительной аутентификации. В 15 сервисах по таким URL можно было изменять персональные данные, а в шести случаях — фактически получить доступ к аккаунту пользователя.

Отдельной проблемой стали слабые токены. Около 73% сервисов использовали ссылки с низкой энтропией, которые можно было подобрать. В ряде случаев исследователям удавалось получить доступ к чужим данным менее чем за десять попыток.

Авторы исследования уведомили 150 компаний, чьи сервисы оказались уязвимыми. Ответили лишь 18, а реальные фиксы внедрили только семь. По мнению исследователей, сама модель доверия к СМС-ссылкам как «безопасному» каналу остаётся системной проблемой: пока такие механизмы проектируются ради удобства, а не безопасности, утечки данных будут неизбежны.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »