Сервис Whoosh частично остановил утечку данных миллионов пользователей

Сервис Whoosh частично остановил утечку данных миллионов пользователей

Сервис Whoosh частично остановил утечку данных миллионов пользователей

Сотрудник кикшерингового сервиса Whoosh нарушил правила безопасности. В результате хакеры получили доступ к миллионам телефонов, адресов и неполных номеров банковских карт клиентов. Теперь им могут звонить мошенники.

Служба ИБ Whoosh ведет расследование атаки на данные клиентов, рассказали ТАСС в компании. Инцидент произошел по вине сотрудника, нарушившего правила безопасности. Злоумышленникам удалось получить доступ к миллионам данных пользователей: никнеймам, телефонам, адресам электронной почты и частично закрытым номерам банковских карт.

“Утечка не затронула чувствительные данные пользователей, такие как доступы к аккаунтам, информация о транзакциях или детали поездок”, — заявили в Whoosh.

Процедуры безопасности также исключают возможность получения доступа третьих лиц к полным платежным данным банковских карт пользователей, отмечает пресс-служба. Там заверили, что безопасности и репутации клиентов сервиса сейчас ничего не угрожает.

Whoosh начал внутреннее расследование и уволил сотрудника, из-за которого произошла утечка.

Прокатчики электросамокатов утверждают, что провели дополнительные проверки протоколов безопасности и ужесточили меры защиты, а также написали заявление в полицию.

"Компания приносит извинения всем, кого мог затронуть инцидент. Обратившись в службу поддержки сервиса, можно получить инструкцию, как опознать звонки или письма от мошенников", — отметили в Whoosh.

Когда именно произошел взлом, пресс-служба Whoosh не уточняет.

Напомним, по новому закону о персональных данных, компания должна уведомить Роскомнадзор в течение первых суток после обнаружения утечки. Еще три дня даётся, чтобы принять меры и найти виновного. Минцифры в октябре представило финальный вариант наказаний за утечки.

Размер оборотного штрафа составит 0,02%. Его будут применять, если в Сеть попала база от 10 тыс. записей, из которых минимум 1 тыс. человек можно точно установить. Если в базе больше 100 тыс. строк, идентифицировать должны 10 тыс. человек. Деньги хотят направить в фонд пострадавшим от утечек. Идею такого фонда критикует Ассоциация больших данных.

В Linux и Android нашли баг, который даёт обычному пользователю root-доступ

В ядре Linux раскрыли уязвимость Bad Epoll, она же CVE-2026-46242. Баг позволяет обычному локальному пользователю без особых прав подняться до root и получить полный контроль над системой. Под ударом Linux-десктопы, серверы и Android-устройства на затронутых версиях ядра. Патч уже выпущен.

Проблема сидит в epoll — стандартном механизме Linux, который помогает программам следить сразу за множеством файлов, соединений и событий. Его используют серверы, сетевые сервисы и браузеры.

Bad Epoll относится к классу use-after-free: две части системы одновременно пытаются прибраться за одним внутренним объектом. Одна уже освобождает память, другая всё ещё в неё пишет.

В этот микроскопический момент атакующий может испортить память ядра и залезть туда, куда обычным пользователям вход запрещён.

 

Фокус в том, что окно для атаки крошечное — около шести машинных инструкций. Казалось бы, шанс попасть туда почти нулевой. Но исследователь Джэён Чон не только нашёл баг, а ещё и собрал рабочий эксплойт: на тестовых системах он получал root примерно в 99% случаев. Уязвимость он отправил в Google kernelCTF как 0-day.

 

Есть и неприятный бонус: по данным исследователя, баг можно триггерить из песочницы Chrome, а также довести до Android — туда добирается далеко не каждая Linux-уязвимость.

Обходного пути нет: epoll нужен системе. Затронуты ядра на базе 6.4 и новее без исправления; старые 6.1-based сборки, включая часть Android-устройств, не уязвимы.

RSS: Новости на портале Anti-Malware.ru