Изтичане на потребителски данни на Whoosh - „Нечувствителни данни“

Здравейте.

Опитът на някой друг трябва да научи нещо, но малко хора го изпробват върху себе си и предприемат нещо

изпълними стъпки.Това ясно се вижда в изтичането на потребителски данни, което се случва в различни компании с доста честота. В началото на ноември се появи съобщение, че данните на потребителите на услугата Whoosh, в която можете да наемете скутери в различни градове на страната, са изтекли в мрежата. Общо паркът от скутери има 75 000 единици, в момента е най-големият играч на пазара. Компанията има големи планове за развитие, през октомври 2022 г. стана известно, че Whoosh планира IPO на Московската борса, параметрите на разположение са следните - набиране на до 10 милиарда рубли. Може да се счита за нещастно съвпадение, че внезапно потребителските данни на Whoosh се появиха в публичното пространство. Но тук има няколко момента, които карат човек да се чуди колко неслучайни са били тези инциденти.

Първите съобщения за изтичане на данни се появиха на 2 ноември, в същото време компанията даде коментари на РИА Новости, ние ще ги дадем изцяло:

„Безопасността и репутацията на клиентите на услугите вв момента няма заплаха. Поради грубо нарушение на правилата и процедурите, установени от компанията от един от служителите, нападателите са получили достъп до някои от първичните данни на няколко милиона клиенти “, се казва в доклада. Whoosh обясни, че става дума за потребителски псевдоними, телефони, имейл адреси и маскирани (непълни) номера на банкови карти.

Отбелязва се, че течът не е засегналчувствителни потребителски данни като достъп до акаунт, информация за транзакции или подробности за пътуване. Компанията провежда вътрешно разследване на инцидента. „Към момента е прекратено трудовото правоотношение със служителя, извършил нарушението. Извършени са допълнителни проверки на протоколите за сигурност и са засилени мерките за защита в работните процеси на служителите. Компанията се е свързала с правоприлагащите органи за по-нататъшно разследване на инцидента.

Един вид победен доклад, от който става ясноследва, че са го спрели, не са го разрешили и всичко е под контрол. По-малко от две седмици по-късно дъмп на базата данни Whoosh се появява за продажба с общо 7,23 милиона записа. В канала на Telegram „Изтичане на информация“ получихме базата данни и прегледахме нейното съдържание. Цената на базата е 4800 долара на един от подземните форуми.

Базата данни съдържа 3 милиона промоционални кода безплатнопътувания, 5,7 милиона записа, съдържащи име и телефонен номер на клиента, 1,9 милиона записа с информация за банкова карта (не всички номера), GPS координати. Има също информация за създаване на запис и неговото удостоверяване.

Сега си спомнете Whoosh комуникацията, коятоизтичането засяга „нечувствителни данни“. За мен GPS координатите и дори непълният номер на банкова карта са чувствителни данни за много клиенти и опитите на Whoosh да омаловажат проблема изглеждат странни. Имам още повече въпроси относно факта, че компанията откри теч в началото на ноември, но нещо се обърка и базата данни се появи в публичен достъп. Служителят стана изкупителната жертва, но не знаем подробности какво точно се е случило. Това беше небрежност, грубо нарушение на правилата за сигурност поради факта, че си е оставил компютъра някъде или изобщо не е следил какво се случва на компютъра, вариантите тук са фургон и малка количка. Не можем да заключим, че компанията се е обърнала към органите на реда не заради инцидента, а с обвинения към служителя, тъй като явно няма достатъчно информация.

Разни

Присъединителен материал

Реалност и перспективи на пазара на ИТ професии

Кои професии са най-популярните и високоплатени?

Съботно кафе #226

Налейте чаша ароматно съботно кафе ивижте новините от седмицата. VK Messenger беше надграден, MediaTek представи флагмански чип, Audio-Technica показа преносим винилов плейър и прекарах седмица с iPhone 14 Pro…

Пълен резервоар #7. Тест на BMW X4

Очакват ви някои новини: Jaguar XE постави рекорд в Дубай, а Hyundai пусна снимки на предстоящия компактен кросоувър – и, разбира се, очаквате тест на новото BMW X4. Отивам!

Защо гъвкавите екрани са обречени

Това наистина ли е същата революция и следващата стъпка в развитието на нашите джобни спътници?

Но казаното в публичното пространство вече е достатъчнообосновавам се. Първо, Whoosh изтече и е виновен за това. Служител на компанията е нарушил правилата, именно той е направил достъпа до данните възможен. И тук не може да има тълкуване, Whoosh разбра това. Второ, не разбирам триковете за балансиране по отношение на „нечувствителните“ данни, това е опит да се покаже добро лице на лоша игра. За някои клиенти откраднатите данни изглеждат като ценни данни, нещо подобно на изтичането на Yandex.Food.

В Русия все още няма закон, който бинаказани компании за такива течове, така че максималното наказание за Whoosh ще бъде до сто хиляди рубли, използвайки примера на Yandex, помним, че глобата беше около 60 хиляди рубли. Индивидуалните съдебни дела срещу компанията са склонни да се провалят поради правни проблеми, съчетани с нежеланието на съдилищата да отворят кутията на Пандора. Следователно за Whoosh ситуацията ще бъде същата като за Yandex, проблеми в публичното поле, но нищо, което засяга бизнеса и представлява заплаха за същото IPO.

Стратегията на Whoosh не е да се покае, а просто да признаесамия факт на изтичане, но не правете нищо по въпроса. Не мисля, че броят на обжалванията в съдилищата ще бъде значителен, примерът на същия Yandex доказва това - масивно изтичане и броят на потребителите, които се обърнаха към съдилищата, се оказа минимален. Ние просто нямаме култура на подобни призиви, на защита на правата си. И причината също е ясна - невъзможно е да се получи обезщетение от компанията.

Проверих изтеклите данни, тъй като използвамсервиз, има запис с мои данни. Още едно изтичане на информация, което има нещо за мен, невъзможно е да се избегне това в нашия свят. Бих искал Whoosh да реагира на такова изтичане не в пресата, а да изпрати писмо до клиентите си, в което те говорят за случилото се, описват проблема и дават това или онова обезщетение. Например, тя предостави отстъпка за пътувания или даде абонамент за следващата година, можете да измислите много неща. Но нищо от това не беше направено, в Whoosh те просто вкараха собствените си клиенти, решиха да не им казват нищо. Единственото, което ми казаха в приложението Whoosh, беше краят на сезона в Москва и региона.

И за мен това е страхотна демонстрация на генералаподход към потребителските данни в Русия, никой не ги третира внимателно и не се тресе от тях. За компаниите няма наказание за изтичане на тези данни или по-скоро е нелепо. Инициативите, които се разработват, са далеч от реализиране и не представляват особена заплаха. Компаниите не искат да инвестират в информационна сигурност, защото това е минус за техните печалби. Така се оказва, че течовете на данни идват едно след друго, в някои компании те се повтарят и са станали обичайни - припомнят се едни и същи течове в ЦДЕК.

Компаниите са разработили защитен отговор наизтичане на лични данни - те са нечувствителни, маловажни, няма пострадали, работим това да не се случи, обърнахме се към правоприлагащите органи. Един вид успокоение за особено притеснените хора, за да не се притесняват отново. Що се отнася до мен, трябва спешно да въведем друга мярка за отговорност за изтичане на информация, за да треперят компаниите от данните на клиентите си и да се страхуват да не изтече поне нещо. И те първи се затичаха да информират клиентите си за теча, а ние самите не научихме за това от новините. Съгласни ли сте, че този подход работи? Или всичко това не е толкова важно за вас, нека данните изтекат по-нататък?

Лични данни и тяхното изтичане. Как да защитите вашите данни

Мащабни течове на лични данни, независимо дали можем да се защитим или не; защо много данни са критични - входът престава да бъде затворено пространство; Тестове за ХИВ и други аспекти на нашите данни.