Новости

Как сообщила сегодня газета «КоммерсантЪ», компания DeviceLock сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру».

По словам основателя и технического директора DeviceLock Ашота Оганесяна, 10 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.

По словам г-на Оганесяна, в базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов. Кроме того, в ней содержатся данные трансакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

По данным SimilarWeb, число посещений сайта в апреле составило 3,35 млн.

Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают опрошенные  изданием эксперты по кибербезопасности. «Туристическая отрасль — конкурентный и далеко не самый высокомаржинальный бизнес, поэтому клиентские базы высоко ценятся на рынке, и для недобросовестных конкурентов база могла представлять интерес»,— указывает аналитик InfoWatch Андрей Арсентьев.

Кроме того, при попадании информации о заказанных турах в руки злоумышленников нельзя исключать случаев фишинговых атак под видом доверенного турагента, отмечает он.

Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости, согласна аналитик Positive Technologies Екатерина Килюшева. Другой вариант использования данных — таргетированные рассылки рекламных предложений, добавляет руководитель отдела страхования финансовых рисков компании АИГ Владимир Кремер.

При этом привлечь виновных в подобных утечках данных лиц к ответственности в России нереально, уверен партнер адвокатского бюро «Деловой фарватер» Сергей Литвиненко. «Законодательство не раскрывают самого понятия утечки персональных данных. Ответственность может наступать не за саму утечку, а за нарушение требований безопасности, административный штраф по которой настолько несерьезен, что легче заплатить его, чем привести системы безопасности в порядок»,— констатирует он.

Закон "О персональных данных" необходимо ужесточить по примеру европейского регламента по защите данных (General Data Protection Regulation, GDPR), "чтобы избегать случаев утечек данных россиян, как произошло с сервисом "Слетать.ру", заявил  между тем сегодня в интервью  РИА «Новости» руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информполитике Евгений Лифшиц.

"GDPR комплексно меняет подход, где хозяин своих данных разрешает, как именно их использовать, это другой подход в отличие от просто разрешения на использование. Компании, нарушив, попадают на огромные штрафы вплоть до процента на оборот компании", - напомнил он.

Между тем в компании «Слетать.ру» сегодня  опровергли опубликованную информацию. Руководитель компании Андрей Вершинин  сообщил СМИ, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. Он предположил, что DeviceLock получила его,  «однако в указанной базе нет паспортных данных туристов, логинов и паролей турагентств, платежных данных и т.д.».

«Сейчас мы пытаемся связаться с компанией DeviceLock. Полагаем, что это заказуха. Кому-то не нравится наш стремительный рост», - заклюсил он.

/TOURBUS.RU

Назад к списку новостей

Добавить комментарий

Ваше Имя:
Ваш e-mail:
Ваш комментарий:
Защита от спама: