База данных покупателей магазинов Sony Centre, находящихся под управлением Inventive Retail Group (IRG), оказалась в открытом доступе. Об этом сообщает издание «Коммерсантъ» со ссылкой на компанию DeviceLock.
Всего в базе данных находится более 3 млн записей. Они содержат email-адреса — более 7 млн записей, номера мобильных телефонов, а также более 21 тысяч пар логин-пароль к личным кабинетам покупателей магазинов Sony, включая дублирующиеся записи.
Причиной инцидента стала неправильная конфигурация сервера Elasticsearch, допускающая доступ без авторизации, пояснил причины произошедшего основатель и технический директор компании Ашот Оганесян. По его словам, база включает в себя пользовательские данные с ноября 2018 года. Он утверждает, что 4 июня 2019 года DeviceLock уведомила IRG о возникшем инциденте. Сразу после этого база была закрыта.
«Такое событие в любом случае классифицируется как инцидент информационной безопасности. Эти данные не должны были оказаться в открытом доступе, но оказались. То, что злоумышленники не успели выгрузить данные,— это лишь счастливая случайность. Но уверенности в том, что за все это время никто не обнаружил базу, быть не может»,— прокомментировал ситуацию операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Антон Юдаков.
В сообщении отмечается, что эти данные могут быть использованы в даркнете, в том числе для работы с другими онлайн-сервисами, и даже интернет-банками.
Тем не менее, в IRG уверены, что никто не успел выгрузить базу, а соответственно утечки не произошло. Однако компания все равно обратилась в правоохранительные органы на предмет расследования вероятного хищения.
[Коммерсантъ]
