Из-за ошибки админа данные юзеров «РЖД Бонус» попали в чужие руки
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Из-за ошибки админа данные юзеров «РЖД Бонус» попали в чужие руки

Татьяна Никитина 10 Ноября 2020 - 14:14
...
Из-за ошибки админа данные юзеров «РЖД Бонус» попали в чужие руки

Архивная копия базы данных программы лояльности «РЖД Бонус» попала в открытый доступ. До блокировки дамп размером около 2,4 ГБ скачали как минимум несколько раз. ОАО «РЖД» сочло инцидент попыткой взлома и рекомендует пользователям сайта сменить пароль.

Информация об утечке была опубликована в Telegram и Facebook. По данным Telegram-канала «Утечки информации», причиной слива стала ошибка администратора, который по какой-то причине поместил резервную копию клиентской базы «РЖД Бонус» в корневой каталог сайта. Туда же попали поисковый bash-скрипт с паролем пользователя и приватный ключ RSA.

 

При регистрации на сайте «РЖД Бонус» пользователь заполняет анкету, вводя такую информацию, как ФИО, дата рождения, город, паспортные данные, номер телефона, email. Анализ слитого дампа показал, что он содержит около 1,4 млн записей с данными участников программы накопления бонусов. В нем также есть логины и хешированные пароли (MD5 с солью), ID пользователей, даты регистрации и последнего входа в систему (с IP-адресом, User-Agent и версией ОС).

В своем комментарии на площадке Facebook создатель профильного сервиса DLBI Ашот Оганесян напомнил, что скачивание и распространение чужих дампов можно расценить как преступление. В УК РФ для этого есть две статьи — 183 («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну») и 272 («Неправомерный доступ к компьютерной информации»).

Журналисты «РИА Новости» попытались прояснить ситуацию, обратившись в пресс-службу «РЖД». В ответ на запрос они услышали следующее:

«Шестого ноября зафиксирована попытка взлома программы лояльности «РЖД Бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов».

Представитель «РЖД» также отметил, что в компании приняты надлежащие меры защиты и ведется служебное расследование. В целях безопасности участникам «РЖД Бонус» при входе на сайт предложат сменить пароль.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России родителей хотят обязать сообщать оператору о детских сим-картах
Екатерина Быстрова 17 Октября 2025 - 10:28
Соответствие законодательству РФ Общее Родительский контроль
В России родителей хотят обязать сообщать оператору о детских сим-картах

В России планируют ввести новые правила, согласно которым родители обязаны будут уведомлять оператора связи, если их сим-картой пользуется ребёнок. Операторы будут передавать информацию о детских номерах в государственную систему мониторинга ГИС «КСИМ», которую ведёт Роскомнадзор.

Эта база уже используется для контроля «серых» сим-карт и подключена ко всем основным операторам — МТС, «Мегафон», Т2 и «Билайн». Такая норма содержится во втором пакете антимошеннических поправок, с текстом которых ознакомился Forbes.

Кроме того, соцсети, мессенджеры и другие интернет-ресурсы, входящие в реестр «распространителей информации» (ОРИ), при аутентификации по номеру телефона должны будут проверять, принадлежит ли он ребёнку или взрослому. От этого будет зависеть, какой контент пользователь сможет просматривать.

По замыслу законодателей, это поможет ограничить доступ несовершеннолетних к «заведомо вредной информации» — например, к материалам 18+. Конкретные правила и порядок реализации правительство определит позже.

В Минцифры пояснили: оформить сим-карту на себя можно с 14 лет. Если номер покупает родитель, он сможет указать, что отдаёт сим-карту ребёнку — тогда оператор присвоит ей статус «передано ребёнку».

Операторы связи отмечают, что пока не ясно, как технически будет работать новая система. В «Мегафоне» предполагают, что родителям добавят возможность отмечать «детские» сим-карты в личном кабинете, чтобы автоматически применять возрастные ограничения. В Т2 говорят о возможном появлении добровольного «флага», который оператор сможет передавать в систему «КСИМ» и далее — интернет-площадкам.

Юристы и представители отрасли считают, что поправки пока «сырые» и оставляют много неясностей. Например, не описан порядок, следуя которому несовершеннолетние будут подтверждать свой возраст. Эксперты не исключают, что на некоторых сайтах может появиться обязательная идентификация пользователей.

По словам источников Forbes, нововведение может стать шагом к более жёсткому регулированию детского доступа к интернет-контенту.

«Сейчас это отдано на саморегулирование, но в будущем государство может само определять, что можно смотреть детям, а что — нет», — отмечает один из собеседников издания.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники применяют новую схему с обратным переводом
Новость
Мошенники применяют новую схему с обратным переводом
С 1 сентября под блокировку попадают не только спам, но и звонки компаний
Новость
С 1 сентября под блокировку попадают не только спам, но и зв...
Шесть популярных менеджеров паролей уязвимы к кликджекингу
Новость
Шесть популярных менеджеров паролей уязвимы к кликджекингу

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.